Wer weiß was über tspy_puper? |
||
---|---|---|
#0
| ||
10.10.2006, 18:20
Member
Beiträge: 15 |
||
|
||
11.10.2006, 02:04
Ehrenmitglied
Beiträge: 29434 |
#2
poste diese logs, ich schaue dann nach
http://board.protecus.de/t23187.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2006, 00:36
Member
Themenstarter Beiträge: 15 |
#3
Hallo Sabrina,
hier sind mal die gewünschten logs. Logfile of HijackThis v1.99.1 Scan saved at 00:23:04, on 12.10.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\VM_STI.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Hijackthis\HijackThis.exe O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 302 O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [MS Office1 Startup] OfficeGUI1.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D98E8054-B85D-4247-B315-A61F28914985}: NameServer = 217.237.150.115 217.237.150.188 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing) Hier der log von combofix: ComboFix 06.10.11 - Running from: "C:\Dokumente und Einstellungen\Martin\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-09-12 to 2006-10-12 )))))))))))))))))))))))))))))))))) 2006-10-10 16:57 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2006-10-10 16:42 9,728 --a------ C:\WINDOWS\system32\drivers\pxscinst.dll 2006-10-10 16:42 7,680 --a------ C:\WINDOWS\system32\drivers\pxinst.dll 2006-10-10 16:42 7,552 --a------ C:\WINDOWS\system32\drivers\pxcom.sys 2006-10-10 16:42 266,112 --a------ C:\WINDOWS\system32\drivers\pxfsf.sys 2006-10-10 16:42 18,432 --a------ C:\WINDOWS\system32\drivers\pxtdi.sys 2006-10-10 16:42 13,568 --a------ C:\WINDOWS\system32\drivers\pxrd.sys 2006-10-10 16:42 100,864 --a------ C:\WINDOWS\system32\drivers\PxEmu.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-12 00:16 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype 2006-10-12 00:13 -------- d-------- C:\Programme\Prevx1 2006-10-10 16:57 -------- d-------- C:\Programme\Mozilla Firefox 2006-10-10 16:42 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Prevx 2006-10-10 14:27 -------- d-------- C:\Programme\Juice 2006-10-04 01:46 1787 --a------ C:\Programme\i_view32.ini 2006-09-25 23:10 -------- d-------- C:\Programme\eMule 2006-09-08 11:19 11648 --a------ C:\WINDOWS\system32\drivers\pxscrmbl.sys 2006-08-27 01:44 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Sun 2006-08-27 01:39 -------- d-------- C:\Programme\Java 2006-08-21 09:27 -------- d-------- C:\Programme\EdenCity 2006-08-19 18:53 -------- d-------- C:\Programme\Media-Codec (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet" "MS Office1 Startup"="OfficeGUI1.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BigDogPath"="C:\\WINDOWS\\VM_STI.EXE USB PC Camera 302" "ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_5\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart" "ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup" "ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "PrevxOne"="\"C:\\Programme\\Prevx1\\PXConsole.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "DisableTaskMgr"=dword:00000000 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time: 12.10.2006 0:25:48.70 ComboFix.txt Und datfind.bat logs: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F493-E412 Verzeichnis von C:\WINDOWS\system32 10.10.2006 15:36 5.442 ikhcore.log 10.10.2006 10:39 2.184 wpa.dbl 27.08.2006 01:39 7.006 jupdate-1.5.0_06-b05.log 18.08.2006 20:42 0 TFTP4052 Verzeichnis von C:\DOKUME~1\Martin\LOKALE~1\Temp 12.10.2006 00:28 289 datFind.zip 12.10.2006 00:14 16.384 Perflib_Perfdata_794.dat 2 Datei(en) 16.673 Bytes 0 Verzeichnis(se), 788.393.984 Bytes frei Verzeichnis von C:\WINDOWS 12.10.2006 00:14 877 win.ini 12.10.2006 00:13 0 0.log 12.10.2006 00:13 159 wiadebug.log 12.10.2006 00:13 50 wiaservc.log 12.10.2006 00:11 2.048 bootstat.dat 12.10.2006 00:11 32.564 SchedLgU.Txt 11.10.2006 22:30 63.441 wmsetup.log 10.10.2006 16:44 126.775 pxinstall_log.txt 24.08.2006 21:21 3.962 mozver.dat 01.07.2006 06:31 174.215 setupact.log Verzeichnis von C:\WINDOWS\temp Verzeichnis von C:\WINDOWS\Downloaded Program Files 16.02.2005 16:15 401.408 isusweb.dll 12.10.2006 00:34 0 sys.txt 12.10.2006 00:33 704 down.txt 12.10.2006 00:33 117 tmp.txt 12.10.2006 00:32 4.668 system.txt 12.10.2006 00:32 355 systemtemp.txt 12.10.2006 00:30 89.996 system32.txt 12.10.2006 00:25 5.360 ComboFix.txt 12.10.2006 00:11 133.746.688 hiberfil.sys 12.10.2006 00:11 201.326.592 pagefile.sys Verzeichnis von C:\ 12.10.2006 00:34 0 sys.txt 12.10.2006 00:33 704 down.txt 12.10.2006 00:33 117 tmp.txt 12.10.2006 00:32 4.668 system.txt 12.10.2006 00:32 355 systemtemp.txt 12.10.2006 00:30 89.996 system32.txt 12.10.2006 00:25 5.360 ComboFix.txt 12.10.2006 00:11 133.746.688 hiberfil.sys 12.10.2006 00:11 201.326.592 pagefile.sys So, hoffe, dass ich alles hier reinkopiert hast, was du brauchst. Vielen Dank schonmal für deine Hilfe ;-) |
|
|
||
12.10.2006, 00:42
Ehrenmitglied
Beiträge: 29434 |
#4
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** scanne mit kaspersky und poste hier den scanreport http://virus-protect.org/onlinescan.html _____________________________________________________________________________-- Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\OfficeGUI1.exe. * Deletes file 1. ... Creates value "MS Office1 Startup"="OfficeGUI1.exe" http://nepenthes.mwcollect.org/analysis:norman:5f111142872863385ee0f2c6530b4093 Zitat [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2006, 12:21
Member
Themenstarter Beiträge: 15 |
#5
Hallo Sabrina,
habe den Avenger durchlaufen lassen, der konnte aber die Dateien C:\WINDOWS\system32\OfficeGUI1.exe C:\WINDOWS\SYSTEM\OfficeGUI1.exe nicht finden. Der hat nur C:\WINDOWS\system32\TFTP4052 gefunden und entfernt. Den Kaspersky Online-Scan kann ich nicht starten, weil beim klicken auf "Nutzungsbedingungen akzeptieren" nichts passiert und ich nicht weitergeleitet werde. Wenn ich auf "ablehnen" klicke bricht Kaspersky dann allerdings den Vorgang wie vermutet ab. Kannst du mir da vielleicht nochmal nen Tipp geben? P.S.: Hatte schonmal die Kaspersky-Testversion für 30 Tage runtergeladen, die allerdings abgelaufen ist und eine neue Testversion lässt sich wegen des abgelaufenen Lizenzschlüssels nicht mehr installieren. Das dürfte aber doch nichts mit dem Online-Scan zu tun haben!? Habe natürlich vor dem Versuch der Neuinstallation die ursprüngliche Kaspersky-Version deinstalliert. Aber zugegebenermaßen sind meine PC-Kenntnisse auch nicht die detailliertesten, was das angeht. Nette Grüße |
|
|
||
12.10.2006, 12:57
Ehrenmitglied
Beiträge: 29434 |
#6
http://virus-protect.org/multiavtool.html
scanne mit Trend Micro (Option 2) und mit Sophos (Option 1) und poste hier die scanreporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.10.2006, 00:28
Member
Themenstarter Beiträge: 15 |
#7
Hallo nochmal,
der Link ist leider momentan inaktiv. Soll ich warten, bis er evtl. wieder funktioniert oder kannst du mir noch eine Alternative für entsprechende Online-Scans nennen? Vielen Dank und Gruss |
|
|
||
14.10.2006, 00:41
Ehrenmitglied
Beiträge: 29434 |
#8
ich habe mal einen Alternativdownload hochgeladen schau mal, ob es klappt
http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.10.2006, 02:31
Member
Themenstarter Beiträge: 15 |
#9
Diesmal hats geklappt und beide Scans sind durchgelaufen :-)
Nur hab ich bei keinem der beiden die Möglichkeit bekommen, wie in der Anleitung beschrieben, einen Scan-Report zu kopieren, weil das entsprechende Fenster sich nach dem Scan geschlossen hat. Beim Micro Trend steht aber in dem Fenster (das ich leider nicht kopieren kann), dass in keinem Ordner irgendeine Infizierung festgestellt wurde. Mein PC hat zu mindest auch im Laufe der Bereinigungsaktionen zu alter Schnelligkeit wiedergefunden. Ich hoffe, das Problem hat sich damit erledigt. Vielen lieben Dank für deine Tipps un den Rat. Bin echt froh, dass es geklappt hat. Falls ich deiner Meinung nach noch mit anderen Werkzeugen scannen soll, mach ich es natürlich gerne. P.S.: Kannst du mir vielleicht noch sagen, ob es im Netz irgendwo ein vernünftiges Anti-Viren, bzw. Anti-Spyware Programm zum freien download gibt, dass du empfehlen kannst? Dieser Beitrag wurde am 14.10.2006 um 02:40 Uhr von timthaler editiert.
|
|
|
||
14.10.2006, 09:24
Ehrenmitglied
Beiträge: 29434 |
#10
timthaler
den einzigen Rat, den ich dir gebe : du musst umgehend die Windowsupdates machen ! Ich verstehe nicht, wie man sich heutzutage ohne ins Internet traut. wenn du sie nicht machst, wirst du im Handumdrehen wieder Probleme haben Active Virus Shield http://virus-protect.org/activevirusshield.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe heute mal meinen PC mit dem Online-Scan TrendMicro House Call 6.5 gescannt, weil mein PC seit Tagen bzw Wochen während des surfens total eingebremst wurde und relativ schnell die Meldung kam, dass der virtuelle Speicher voll wäre und die Auslagerungsdatei vergrössert werden müsse, obwohl kaum ein anderes Pgramm lief und ich auch nichts gedownloadet habe. Und promt erkannte TrendMicro diverse Infektionen, die lt. Programm alle gelöscht wurden, bis auf eines und zwar tspy_puper. Wer weiss von euch vielleicht, ob dieses Programm die Ursache für meine schneckenhafte PC-Performance ist wie ich das Ding runter bekomme?
Vielen Dank und Gruß
Tim