Wer weiß was über tspy_puper?

#1 Hallo,

ich habe heute mal meinen PC mit dem Online-Scan TrendMicro House Call 6.5 gescannt, weil mein PC seit Tagen bzw Wochen während des surfens total eingebremst wurde und relativ schnell die Meldung kam, dass der virtuelle Speicher voll wäre und die Auslagerungsdatei vergrössert werden müsse, obwohl kaum ein anderes Pgramm lief und ich auch nichts gedownloadet habe. Und promt erkannte TrendMicro diverse Infektionen, die lt. Programm alle gelöscht wurden, bis auf eines und zwar tspy_puper. Wer weiss von euch vielleicht, ob dieses Programm die Ursache für meine schneckenhafte PC-Performance ist wie ich das Ding runter bekomme?

Vielen Dank und Gruß
Tim

#2 poste diese logs, ich schaue dann nach
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabrina,

hier sind mal die gewünschten logs.

Logfile of HijackThis v1.99.1
Scan saved at 00:23:04, on 12.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 302
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MS Office1 Startup] OfficeGUI1.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D98E8054-B85D-4247-B315-A61F28914985}: NameServer = 217.237.150.115 217.237.150.188
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)


Hier der log von combofix:

ComboFix 06.10.11 - Running from: "C:\Dokumente und Einstellungen\Martin\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-12 to 2006-10-12 ))))))))))))))))))))))))))))))))))


2006-10-10 16:57 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2006-10-10 16:42 9,728 --a------ C:\WINDOWS\system32\drivers\pxscinst.dll
2006-10-10 16:42 7,680 --a------ C:\WINDOWS\system32\drivers\pxinst.dll
2006-10-10 16:42 7,552 --a------ C:\WINDOWS\system32\drivers\pxcom.sys
2006-10-10 16:42 266,112 --a------ C:\WINDOWS\system32\drivers\pxfsf.sys
2006-10-10 16:42 18,432 --a------ C:\WINDOWS\system32\drivers\pxtdi.sys
2006-10-10 16:42 13,568 --a------ C:\WINDOWS\system32\drivers\pxrd.sys
2006-10-10 16:42 100,864 --a------ C:\WINDOWS\system32\drivers\PxEmu.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-12 00:16 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype
2006-10-12 00:13 -------- d-------- C:\Programme\Prevx1
2006-10-10 16:57 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-10 16:42 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Prevx
2006-10-10 14:27 -------- d-------- C:\Programme\Juice
2006-10-04 01:46 1787 --a------ C:\Programme\i_view32.ini
2006-09-25 23:10 -------- d-------- C:\Programme\eMule
2006-09-08 11:19 11648 --a------ C:\WINDOWS\system32\drivers\pxscrmbl.sys
2006-08-27 01:44 -------- d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Sun
2006-08-27 01:39 -------- d-------- C:\Programme\Java
2006-08-21 09:27 -------- d-------- C:\Programme\EdenCity
2006-08-19 18:53 -------- d-------- C:\Programme\Media-Codec


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"MS Office1 Startup"="OfficeGUI1.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE USB PC Camera 302"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_5\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"PrevxOne"="\"C:\\Programme\\Prevx1\\PXConsole.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 12.10.2006 0:25:48.70
ComboFix.txt

Und datfind.bat logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F493-E412

Verzeichnis von C:\WINDOWS\system32

10.10.2006 15:36 5.442 ikhcore.log
10.10.2006 10:39 2.184 wpa.dbl
27.08.2006 01:39 7.006 jupdate-1.5.0_06-b05.log
18.08.2006 20:42 0 TFTP4052

Verzeichnis von C:\DOKUME~1\Martin\LOKALE~1\Temp

12.10.2006 00:28 289 datFind.zip
12.10.2006 00:14 16.384 Perflib_Perfdata_794.dat
2 Datei(en) 16.673 Bytes
0 Verzeichnis(se), 788.393.984 Bytes frei

Verzeichnis von C:\WINDOWS

12.10.2006 00:14 877 win.ini
12.10.2006 00:13 0 0.log
12.10.2006 00:13 159 wiadebug.log
12.10.2006 00:13 50 wiaservc.log
12.10.2006 00:11 2.048 bootstat.dat
12.10.2006 00:11 32.564 SchedLgU.Txt
11.10.2006 22:30 63.441 wmsetup.log
10.10.2006 16:44 126.775 pxinstall_log.txt
24.08.2006 21:21 3.962 mozver.dat
01.07.2006 06:31 174.215 setupact.log

Verzeichnis von C:\WINDOWS\temp


Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.02.2005 16:15 401.408 isusweb.dll


12.10.2006 00:34 0 sys.txt
12.10.2006 00:33 704 down.txt
12.10.2006 00:33 117 tmp.txt
12.10.2006 00:32 4.668 system.txt
12.10.2006 00:32 355 systemtemp.txt
12.10.2006 00:30 89.996 system32.txt
12.10.2006 00:25 5.360 ComboFix.txt
12.10.2006 00:11 133.746.688 hiberfil.sys
12.10.2006 00:11 201.326.592 pagefile.sys


Verzeichnis von C:\

12.10.2006 00:34 0 sys.txt
12.10.2006 00:33 704 down.txt
12.10.2006 00:33 117 tmp.txt
12.10.2006 00:32 4.668 system.txt
12.10.2006 00:32 355 systemtemp.txt
12.10.2006 00:30 89.996 system32.txt
12.10.2006 00:25 5.360 ComboFix.txt
12.10.2006 00:11 133.746.688 hiberfil.sys
12.10.2006 00:11 201.326.592 pagefile.sys

So, hoffe, dass ich alles hier reinkopiert hast, was du brauchst.

Vielen Dank schonmal für deine Hilfe ;-)

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS Office1 Startup

Files to delete:
C:\WINDOWS\system32\TFTP4052
C:\WINDOWS\system32\OfficeGUI1.exe
C:\WINDOWS\SYSTEM\OfficeGUI1.exe

Folders to delete:
C:\Programme\Media-Codec

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne mit kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html

_____________________________________________________________________________--

Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\OfficeGUI1.exe. * Deletes
file 1. ... Creates value "MS Office1 Startup"="OfficeGUI1.exe"
http://nepenthes.mwcollect.org/analysis:norman:5f111142872863385ee0f2c6530b4093

Zitat

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MS Office1 Startup"="OfficeGUI1.exe"

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabrina,

habe den Avenger durchlaufen lassen, der konnte aber die Dateien
C:\WINDOWS\system32\OfficeGUI1.exe
C:\WINDOWS\SYSTEM\OfficeGUI1.exe
nicht finden.
Der hat nur
C:\WINDOWS\system32\TFTP4052
gefunden und entfernt.

Den Kaspersky Online-Scan kann ich nicht starten, weil beim klicken auf "Nutzungsbedingungen akzeptieren" nichts passiert und ich nicht weitergeleitet werde. Wenn ich auf "ablehnen" klicke bricht Kaspersky dann allerdings den Vorgang wie vermutet ab.

Kannst du mir da vielleicht nochmal nen Tipp geben?

P.S.: Hatte schonmal die Kaspersky-Testversion für 30 Tage runtergeladen, die allerdings abgelaufen ist und eine neue Testversion lässt sich wegen des abgelaufenen Lizenzschlüssels nicht mehr installieren. Das dürfte aber doch nichts mit dem Online-Scan zu tun haben!? Habe natürlich vor dem Versuch der Neuinstallation die ursprüngliche Kaspersky-Version deinstalliert. Aber zugegebenermaßen sind meine PC-Kenntnisse auch nicht die detailliertesten, was das angeht.

Nette Grüße

#6 http://virus-protect.org/multiavtool.html
scanne mit Trend Micro (Option 2)
und mit Sophos (Option 1)
und poste hier die scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo nochmal,

der Link ist leider momentan inaktiv. Soll ich warten, bis er evtl. wieder funktioniert oder kannst du mir noch eine Alternative für entsprechende Online-Scans nennen?

Vielen Dank und Gruss

#8 ich habe mal einen Alternativdownload hochgeladen schau mal, ob es klappt
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Diesmal hats geklappt und beide Scans sind durchgelaufen :-)
Nur hab ich bei keinem der beiden die Möglichkeit bekommen, wie in der Anleitung beschrieben, einen Scan-Report zu kopieren, weil das entsprechende Fenster sich nach dem Scan geschlossen hat. Beim Micro Trend steht aber in dem Fenster (das ich leider nicht kopieren kann), dass in keinem Ordner irgendeine Infizierung festgestellt wurde. Mein PC hat zu mindest auch im Laufe der Bereinigungsaktionen zu alter Schnelligkeit wiedergefunden. Ich hoffe, das Problem hat sich damit erledigt.

Vielen lieben Dank für deine Tipps un den Rat. Bin echt froh, dass es geklappt hat.
Falls ich deiner Meinung nach noch mit anderen Werkzeugen scannen soll, mach ich es natürlich gerne.

P.S.: Kannst du mir vielleicht noch sagen, ob es im Netz irgendwo ein vernünftiges Anti-Viren, bzw. Anti-Spyware Programm zum freien download gibt, dass du empfehlen kannst?

#10 timthaler

den einzigen Rat, den ich dir gebe : du musst umgehend die Windowsupdates machen ! Ich verstehe nicht, wie man sich heutzutage ohne ins Internet traut.
wenn du sie nicht machst, wirst du im Handumdrehen wieder Probleme haben

Active Virus Shield
http://virus-protect.org/activevirusshield.html
__________
MfG Sabina

rund um die PC-Sicherheit