Problem mit Spyware infection (ich weis es nervt ) ;)

#1 Hallo ,
habe mich hier in diesem Forum mal umgeschaut und suchte hilfe für mein problem.
Da ich ein absoluter nichts könner in sachen pc bin würde ich euch BITTE Bitte um hilfe bitten.
Als ich im internet surfgte erscheinte aufeinmal ein roten kreis mit nem kreuz in der taskleiste der mir nen virus angekünmdigt hat.
nachdem ich antivir und ad aware durchlaufen hab lassen und zusätzlich noch spybot search&destroy verschwund er nun aber hab ich jetzt ein gelbes dreiehc und ein kreis mit nem fetten ausrufe zeichen in der taskleiste.die mir andauernd eine meldung sagen
der kreis : Spyware infection detected
und das dreieck: System ALert!!

Was soll ich tun?? bitte um hilfe

hab das mit dem programm mal gemacht HIJACKTHIS und die auswertung war folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 23:27:54, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WinRAR\WinRAR.exe
C:\DOKUME~1\Pedro\LOKALE~1\Temp\Rar$EX01.971\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKCU\..\Run: [Skype] "C:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: spysheriff.lnk = C:\Programme\SpywareSheriff\spysheriff.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

#2 Pedro83

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi hier sind die dateien die das programm ausgespuckt hat:
17.04.2006 10:55 0 asfiles.txt
17.04.2006 10:52 2.550 Uninstall.ico
17.04.2006 10:52 1.406 Help.ico
17.04.2006 10:52 30.590 pavas.ico
16.04.2006 22:31 2 regedit.com
16.04.2006 22:31 2 cmd.com
16.04.2006 22:31 2 tasklist.com
16.04.2006 22:31 2 tracert.com
16.04.2006 22:31 2 ping.com
16.04.2006 18:06 1.717 ikhcore.log
16.04.2006 18:02 75.264 winbrume.dll
16.04.2006 17:21 0 wupdmgr.tmp
16.04.2006 17:18 8.192 udpmod.dll
16.04.2006 17:18 8.192 questmod.dll
16.04.2006 17:18 8.192 jao.dll
16.04.2006 17:18 8.192 a.exe
16.04.2006 17:18 8.192 dailytoolbar.dll
16.04.2006 17:16 71.172 winsrv32.exe
16.04.2006 17:05 11.249 azebar.xml
14.04.2006 00:31 11.120 LexFiles.ulf
13.04.2006 12:45 2.278 wpa.dbl
26.03.2006 13:57 40.972 perfc009.dat
26.03.2006 13:57 314.644 perfh009.dat
26.03.2006 13:57 320.424 perfh007.dat
26.03.2006 13:57 49.372 perfc007.dat
26.03.2006 13:57 732.342 PerfStringBackup.INI
24.03.2006 23:08 111.784 FNTCACHE.DAT
24.03.2006 22:37 16.832 amcompat.tlb
24.03.2006 22:37 23.392 nscompat.tlb
24.03.2006 22:06 507.392 winlogon.exe
24.03.2006 21:59 7.006 jupdate-1.5.0_06-b05.log
24.03.2006 21:54 507.392 winlogon.bak
24.03.2006 21:51 3.534 jupdate-1.5.0_03-b07.log
24.03.2006 20:40 266 $winnt$.inf
24.03.2006 20:37 2.951 CONFIG.NT
24.03.2006 20:35 488 WindowsLogon.manifest
24.03.2006 20:35 488 logonui.exe.manifest
24.03.2006 20:35 749 cdplayer.exe.manifest
24.03.2006 20:35 749 wuaucpl.cpl.manifest
24.03.2006 20:35 749 sapi.cpl.manifest
24.03.2006 20:35 749 nwc.cpl.manifest
24.03.2006 20:35 749 ncpa.cpl.manifest
24.03.2006 20:33 21.740 emptyregdb.dat
24.03.2006 20:29 0 h323log.txt
09.03.2006 17:21 4.799.320 MRT.exe
10.02.2006 11:43 287.170 SrchSTS.exe
24.01.2006 20:34 118.784 sirenacm.dll
18.01.2006 14:05 57.344 avsda.dll
09.01.2006 10:36 40.960 swsc.exe
09.01.2006 10:36 42.496 swreg.exe
04.01.2006 05:35 68.096 webclnt.dll


nächster:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00FF-D5E6

Verzeichnis von C:\DOKUME~1\Pedro\LOKALE~1\Temp

18.04.2006 10:51 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}7239.html
18.04.2006 10:51 16.384 ~DF5477.tmp
18.04.2006 10:51 512 ~DF40B4.tmp
18.04.2006 10:51 16.384 ~DF40AC.tmp
18.04.2006 10:50 204 jusched.log
18.04.2006 10:41 16.384 ~DFB5D2.tmp
18.04.2006 10:41 16.384 ~DF5574.tmp
7 Datei(en) 67.230 Bytes
0 Verzeichnis(se), 59.877.019.648 Bytes frei

dann kam dass

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00FF-D5E6

Verzeichnis von C:\WINDOWS

18.04.2006 10:48 1.212.695 WindowsUpdate.log
18.04.2006 10:41 0 0.log
18.04.2006 10:41 159 wiadebug.log
18.04.2006 10:41 313 wiaservc.log
18.04.2006 10:40 2.048 bootstat.dat
17.04.2006 14:14 11.822 SchedLgU.Txt
17.04.2006 14:03 179.187 setupact.log
17.04.2006 14:03 317.164 ntbtlog.txt
17.04.2006 11:39 735 win.ini
17.04.2006 11:39 227 system.ini
17.04.2006 10:53 661.170 setupapi.log
16.04.2006 22:02 116 NeroDigital.ini
16.04.2006 17:21 145.920 rfscanax.dll
16.04.2006 17:18 8.192 susp.exe
16.04.2006 17:16 10.809 win-sec-center-logo.gif
16.04.2006 17:16 1.014 warning-bar-ico.gif
16.04.2006 17:16 6.575 remove-spyware-btn.gif
16.04.2006 17:16 64 close-bar.gif
16.04.2006 17:16 177 blue-bg.gif
16.04.2006 17:08 780 hosts
16.04.2006 17:05 7.050 sc.exe
16.04.2006 17:05 292 form.js
13.04.2006 15:38 67 AVIConverter.INI
13.04.2006 12:58 44.864 wmsetup.log
27.03.2006 23:11 3.409 nero.INI
25.03.2006 15:23 19.797 Codec Pack - All In 1 Setup Log.txt
25.03.2006 15:22 737.280 iun6002.exe
25.03.2006 12:23 86 KE.log
25.03.2006 12:09 1.830 spupdsvc.log
25.03.2006 02:49 36.582 iis6.log
25.03.2006 02:49 13.197 ocmsn.log
25.03.2006 02:49 89.552 comsetup.log
25.03.2006 02:49 93.250 tsoc.log
25.03.2006 02:49 1.374 imsins.log
25.03.2006 02:49 52.567 ntdtcsetup.log
25.03.2006 02:49 6.207 KB911565.log
25.03.2006 02:49 119.661 ocgen.log
25.03.2006 02:49 11.791 msgsocm.log
25.03.2006 02:49 234.113 FaxSetup.log
24.03.2006 23:04 1.374 imsins.BAK
24.03.2006 23:04 51.588 KB912919.log
24.03.2006 23:04 15.002 updspapi.log
24.03.2006 23:04 27.357 KB886185.log
24.03.2006 23:04 50.585 KB904706.log
24.03.2006 23:03 51.194 KB905749.log
24.03.2006 23:03 49.979 KB896428.log
24.03.2006 23:03 50.152 KB908519.log
24.03.2006 23:03 28.005 KB913446.log
24.03.2006 23:03 53.722 KB890859.log
24.03.2006 22:38 459 wmsetup10.log
24.03.2006 22:37 316.640 WMSysPr9.prx
24.03.2006 22:16 38.998 KB899587.log
24.03.2006 22:16 38.113 KB896422.log
24.03.2006 22:16 38.208 KB885835.log
24.03.2006 22:15 36.868 KB885836.log
24.03.2006 22:15 37.830 KB885250.log
24.03.2006 22:15 38.118 KB911927.log
24.03.2006 22:15 37.290 KB901017.log
24.03.2006 22:15 37.604 KB899591.log
24.03.2006 22:15 37.730 KB896424.log
24.03.2006 22:15 37.090 KB893756.log
24.03.2006 22:15 34.219 KB896423.log
24.03.2006 22:14 34.530 KB873339.log
24.03.2006 22:14 34.591 KB888113.log
24.03.2006 22:14 35.285 KB887742.log
24.03.2006 22:14 35.897 KB896358.log
24.03.2006 22:14 24.554 KB910437.log
24.03.2006 22:14 21.224 KB911564.log
24.03.2006 22:14 400 ODBC.INI
24.03.2006 22:13 38.481 KB905915.log
24.03.2006 22:13 28.756 KB891781.log
24.03.2006 22:12 33.350 KB902400.log
24.03.2006 22:12 24.000 KB890046.log
24.03.2006 22:11 23.301 KB905414.log
24.03.2006 22:11 22.571 KB901214.log
24.03.2006 22:11 21.035 KB888302.log
24.03.2006 22:11 22.743 KB900725.log
24.03.2006 21:44 838.674 setuplog.txt
24.03.2006 21:23 10.543 KB887472.log
24.03.2006 21:12 9.063 KB894391.log
24.03.2006 20:53 7.750 KB893803v2.log
24.03.2006 20:53 8.819 KB898461.log
24.03.2006 20:45 829 OEWABLog.txt
24.03.2006 20:44 8.192 REGLOCS.OLD
24.03.2006 20:37 0 control.ini
24.03.2006 20:36 4.161 ODBCINST.INI
24.03.2006 20:35 749 WindowsShell.Manifest
24.03.2006 20:32 36 vb.ini
24.03.2006 20:32 37 vbaddin.ini
24.03.2006 20:32 133 DtcInstall.log
24.03.2006 20:32 1.023 sessmgr.setup.log
24.03.2006 20:30 200 cmsetacl.log
24.03.2006 20:25 0 Sti_Trace.log
24.03.2006 20:22 1.348 regopt.log
24.03.2006 20:20 0 setuperr.log


und zuletzt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00FF-D5E6

Verzeichnis von C:\

18.04.2006 11:02 0 sys.txt
18.04.2006 11:00 8.242 system.txt
18.04.2006 10:54 634 systemtemp.txt
18.04.2006 10:53 95.213 system32.txt
18.04.2006 10:40 536.383.488 hiberfil.sys
18.04.2006 10:40 805.306.368 pagefile.sys
17.04.2006 14:04 361 rapport.txt
17.04.2006 11:39 211 boot.ini
24.03.2006 20:37 0 AUTOEXEC.BAT
24.03.2006 20:37 0 CONFIG.SYS
24.03.2006 20:37 0 IO.SYS
24.03.2006 20:37 0 MSDOS.SYS
31.10.2005 17:56 700.416 StubInstaller.exe
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 251.184 ntldr
31.12.2002 14:00 47.564 NTDETECT.COM
16 Datei(en) 1.342.798.633 Bytes
0 Verzeichnis(se), 59.876.646.912 Bytes frei

VIELEN DANK FÜR DEINE HILFEE!!!


Mfg pedro

#4 Pedro83

Windows Security Center
http://virus-protect.org/artikel/spyware/mirarsearch.html

----------------------------------------------------------------------
1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareSheriff

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

---------------------------------------------------------------------------

2.
Gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten - suchen - SpywareSheriff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareSheriff_is1] --> loeschen !

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\wupdmgr.tmp
C:\WINDOWS\system32\udpmod.dll
C:\WINDOWS\system32\questmod.dll
C:\WINDOWS\system32\jao.dll
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\dailytoolbar.dll
C:\WINDOWS\system32\winsrv32.exe
C:\WINDOWS\system32\azebar.xml
C:\WINDOWS\system32\susp.exe
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\rfscanax.dll
C:\WINDOWS\susp.exe
C:\WINDOWS\win-sec-center-logo.gif
C:\WINDOWS\warning-bar-ico.gif
C:\WINDOWS\remove-spyware-btn.gif
C:\WINDOWS\close-bar.gif
C:\WINDOWS\blue-bg.gif
C:\WINDOWS\hosts
C:\WINDOWS\sc.exe
C:\WINDOWS\form.js
C:\StubInstaller.exe

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - Startup: spysheriff.lnk = C:\Programme\SpywareSheriff\spysheriff.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

PC neustarten

5.
deinstallieren:
C:\Programme\SpywareSheriff
C:\Programme\PartyGaming

6.
arbeite die bfu und ewido ab
http://virus-protect.org/artikel/bfu/winlog_bfu.html

poste den scanreport vom Avenger und vom Ewido

dann sehen wir weiter....
__________
MfG Sabina

rund um die PC-Sicherheit