SpywareLocked 3.5, Trojanisches Pferd/dringend löschen!

#1 Ich habe ein Problem mit meinem PC!
Er hat sich einfach dieses SpywareLocked 3.5 gedownloaded!
Als ich das bemerkt habe versuchte ich es zu löschen aber es ging nicht!
Mein AntiViren Programm kann es auch nicht lösche und dann stand da aufeinmal etwas vom Trojanischen Pferd!!!
Bitte helft mir ich bin echt verzweifelt da dieses Programm meine Daten usw. an den Hersteller senden wird!

Viele dringende und verzweifelte Grüße
Wings

#2 Nutze bitte das hier: http://siri.geekstogo.com/SmitfraudFix_De.php

und danach bitte die INfos aus diesem Thread posten: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hier ist der Logfile von hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:13:59, on 20.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Stephanie\Lokale Einstellungen\Temp\wz2138\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "F:\Downloadcenter\ErrorSafeGermanNewReleaseInstall.exe" -nag
O4 - HKLM\..\Run: [SpyHeal 2.8] "C:\Programme\SH\SpyHeal 2.8\SpyHeal 2.8.exe" /h
O4 - HKLM\..\RunOnce: [fat.exe] "C:\Programme\WinAntiVirus Pro 2006\fat.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

#4 Hast du smitfraudfix schon genutzt?

Hake bitte folgende eintraege in Hijackthis an und druecke fix checked:

O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "F:\Downloadcenter\ErrorSafeGermanNewReleaseInstall.exe" -nag
O4 - HKLM\..\Run: [SpyHeal 2.8] "C:\Programme\SH\SpyHeal 2.8\SpyHeal 2.8.exe" /h
O4 - HKLM\..\RunOnce: [fat.exe] "C:\Programme\WinAntiVirus Pro 2006\fat.exe"


Poste bitte noch ein Combofix Report aus obigen Thread.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hier ist das von ComboFix
Und smitfraudfix habe ich schon benutzt

"Stephanie" - 07-04-20 18:44:03 Service Pack 1
ComboFix 07-04-20.3V - Running from: C:\Dokumente und Einstellungen\Stephanie\Desktop\


((((((((((((((((((((((((((((((( Files Created from 2007-03-20 to 2007-04-20 ))))))))))))))))))))))))))))))))))


2007-04-20 18:23 0 --a------ C:\WINDOWS\nsreg.dat
2007-04-20 17:48 2,604 --a------ C:\WINDOWS\system32\tmp.reg
2007-04-20 17:42 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-04-20 17:42 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-04-20 17:42 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-04-20 16:45 91,856 --a------ C:\DOKUME~1\STEPHA~1\ANWEND~1\winantiviruspro2006freeinstall_de[1].exe
2007-04-20 16:38 <DIR> d-------- C:\Programme\SH
2007-04-20 16:31 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2007-04-20 16:31 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-04-20 16:31 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-04-20 16:31 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-04-20 16:31 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2007-04-20 16:31 <DIR> d-------- C:\Programme\WinAntiVirus Pro 2006
2007-04-20 15:27 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-04-18 16:06 <DIR> d-------- C:\Programme\Animake
2007-04-18 10:05 <DIR> d-------- C:\Programme\iPod
2007-04-18 10:04 <DIR> d-------- C:\Programme\iTunes
2007-04-18 10:01 <DIR> d-------- C:\Programme\QuickTime
2007-04-17 19:47 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-04-13 18:00 <DIR> d-------- C:\DOKUME~1\STEPHA~1\ANWEND~1\Google
2007-04-13 17:25 <DIR> d-------- C:\Temp
2007-04-13 17:23 <DIR> d-------- C:\Program Files
2007-04-13 17:23 <DIR> d-------- C:\DOKUME~1\STEPHA~1\ANWEND~1\ICQ Toolbar
2007-04-13 17:22 <DIR> d-------- C:\Programme\ICQToolbar
2007-04-13 17:21 <DIR> d-------- C:\Programme\ICQLite
2007-04-13 17:21 <DIR> d-------- C:\DOKUME~1\STEPHA~1\ANWEND~1\ICQLite
2007-04-13 17:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-04-13 17:12 <DIR> d-------- C:\Programme\Google


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-04 10:29 48354 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-04 10:29 316924 --a------ C:\WINDOWS\system32\perfh007.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D} C:\Programme\ICQToolbar\toolbaru.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NI.UERSU_9999_N91S2009"="\"F:\\Downloadcenter\\ErrorSafeGermanNewReleaseInstall.exe\" -nag "
"SpyHeal 2.8"="\"C:\\Programme\\SH\\SpyHeal 2.8\\SpyHeal 2.8.exe\" /h"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-20 18:45:41
C:\ComboFix-quarantined-files.txt ... 07-04-20 18:45

#6 Das sieht gut aus. Loesche noch diese Datei C:\DOKUME~1\STEPHA~1\ANWEND~1\winantiviruspro2006freeinstall_de[1].exe


Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246
und installiere dir ueber www.windowsupdate.com alle ausstehenden Updates!
__________
MfG Ralf
SEO-Spam Hunter

#7 Was soll ich denn bei Windowsupdate instalieren?
Und diese eine Datei habe ich jetzt auch gelöscht

#8 Installiere alles, was dir angeboten wird und waehe bei Start/Systemsteuerung/zur klassischen Ansicht wechseln/automatische Updates "automatisch" aus.
Du kannst dir auch als erstes das komplette sp2 herunterladen und auf deinem PC lokal installieren: http://www.chip.de/downloads/c1_downloads_13012933.html
__________
MfG Ralf
SEO-Spam Hunter