Home » Spyware & Browser Hijacker Support Forum » spyware kommt alle 15 minuten » Themenansicht

spyware kommt alle 15 minuten
#0
20.03.2006, 03:02
lennoxx
...neu hier

Beiträge: 3
#1 Hallo Leute.

Hoffe das Ihr mir helfen könnt. Alle 15 mins kommt bei mir Werbung, obwohl ich auf keiner Seite bin. Daduch fliege ich aus Spielen und jeglichen Programmen. Hoffe Ihr könnt mir helfen. Habe mich eben hier umgeschaut und habe mir daraufhin highjackthis runtergeladen. Hier ist das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 03:00:12, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\halflife2\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\rofers.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\JOCHEN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll
O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\system32\sfi2.dll
O3 - Toolbar: gulli - real underground toolbar - {de1f0316-a350-4dbf-940f-13198f71b6cf} - C:\Programme\gulli - real underground\tbgul0.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "d:\halflife2\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [rofers] C:\WINDOWS\rofers.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/08d40a72d3bd1a562b06/netzip/RdxIE601_de.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

Ich bitte um HILFE!!!
Gruß Lennoxx
Seitenanfang Seitenende
20.03.2006, 16:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 lennoxx

1.
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> hier posten, bitte ;)
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\rofers.exe
C:\WINDOWS\system32\sfi2.dll
C:\WINDOWS\system32\replaceSearch.dll
C:\Programme\DR_S\DR_S.exe
http://www.sophos.de/virusinfo/analyses/trojdloadercd.html

--------------------------------------------------------------------
2.
Gehe in die Registry
Start-->Ausfuehren--> regedit
bearbeiten --> suchen --> drs.n / DR_S

HKEY_CLASSES_ROOT\drs.n --> loeschen
HKEY_CURRENT_USER\Software\DR_S --> loeschen

3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

C:\WINDOWS\system32\replaceSearch.dll
C:\WINDOWS\system32\sfi2.dll
C:\Programme\DR_S\DR_S.exe
C:\WINDOWS\rofers.exe

PC neustarten
------------------------------------------------------------------------

4.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll
O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\system32\sfi2.dll
O3 - Toolbar: gulli - real underground toolbar - {de1f0316-a350-4dbf-940f-13198f71b6cf} - C:\Programme\gulli - real underground\tbgul0.dll
O4 - HKCU\..\Run: [rofers] C:\WINDOWS\rofers.exe
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab

PC neustarten

6.
Loesche (deinstalliere)
C:\PROGRAMME\Web Offer
C:\Programme\gulli - real underground
C:\Programme\DR_S

7.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

-----------------------------------------------------------

Zitat

ist fuer mich:

process: sf.exe: MD5 Hash: 2527796dadb85651bb7...
process: installer.exe: MD5 Hash: 5948bfcf8f5d96dd512...
process: bdomdrr.exe: MD5 Hash: 5725d9a7983c1371a96...
process: sf.exe: MD5 Hash: 1c1041807f87205d2f0...
process: satl.exe: MD5 Hash: 3821495f4ee8b37c4e3...
process: rofers.exe: MD5 Hash: e72a77515f28c8764b0...

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.03.2006, 17:37
lennoxx
...neu hier

Themenstarter

Beiträge: 3
#3 Vorweg schonmal vielen Dank für die schnelle Antwort. Bin mir allerdings nicht sicher ob ich alles richtig Verstanden habe. Kenne mich da nicht so aus ;-)

VirusTotal:

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.20.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 suspicious
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.20.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found


Ich weiß leider nicht, was ich auf der Seite Sophos machen soll :-(
Seitenanfang Seitenende
21.03.2006, 01:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> hier posten, bitte
http://www.virustotal.com/flash/index_en.html

4 Dateien !!!!!!!!!!

Zitat

C:\WINDOWS\rofers.exe
C:\WINDOWS\system32\sfi2.dll
C:\WINDOWS\system32\replaceSearch.dll
C:\Programme\DR_S\DR_S.exe
schreibe dann bitte auch mit, welche Datei du gerade gescannt hast. Und lasse bitte alle 4 ueberpruefen !

P.S. auf der sophos-Seite musst du garnichts machen..nur lesen, welche Trojaner du dir eingefangen hast

-------------------

dann arbeite auch bitte alles andere ab, was ich geschrieben hatte...aber bitte nicht wieder nur die Haelfte, sondern alles korrekt.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.03.2006, 18:26
lennoxx
...neu hier

Themenstarter

Beiträge: 3
#5 sorry bin schritt eins, zwei und drei in einem durchgegangen. nachdem ich mit der killbox fertig wahr hat der pc sich von allein runtergefahren (das wusste ich nicht) und somit habe ich die anderen ergebnisse verloren. aber es ist alles gelöscht denke ich. wollte das ganze bei VirusTotal nochmal durchführen, war aber alles schon gelöscht. mache jetzt mit schritt vier weiter
Seitenanfang Seitenende
22.03.2006, 00:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 nun gut ;)
Wenn man mit Virustotal arbeitet...kopierst man die erhaltenen Ergebnisse gleich hier ...........
Nun ist alles geloescht...aber kein Problem..ich weiss ja, was es ist
Poste unbedingt hier den scanreport vom ewido....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1