spyware. ardakey

#1 hallo allen,
ich habe da ein problem,ab und zu führt norton symatec eine prüfung bei mir aus(is normal) da kommt immer das ich spyware ardakey habe und das der sich nicht entfernen lässt.in google hab ich schon gesucht nur leider war die anleitung die ich gefunden habe auf englisch also könnt ihr mir irgendwie helfen?

danke
pcman
__________
Irren ist menschlich.Aber wer richtigen Mist bauen will,braucht einen Computer !!!

#2 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 also nur ma so ich kenn mich ziemlich schlecht mit computern aus also den ersten schritt hab ich gemacht(merkwürdiger wiese ging des internet erst nach neustart)
und jetzt hab ich so eine text datei brauchste die oder soll ich die restlichen schritte machen?
__________
Irren ist menschlich.Aber wer richtigen Mist bauen will,braucht einen Computer !!!

#4 Wenn es von ComboFix ist hier rein kopieren sowie is in der Anleitung stet

Zitat

und jetzt hab ich so eine text datei

__________
MfG Argus

#5 hier ist die datei
ComboFix 07-12-21.4 - Bibik Daniel 2007-12-27 15:56:08.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.234 [GMT 1:00]
ausgeführt von:: G:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-27 bis 2007-12-27 ))))))))))))))))))))))))))))))
.

2007-12-23 22:29 . 2007-12-23 22:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2007-12-18 00:54 . 2007-12-18 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\DivX
2007-12-16 11:47 . 2007-12-11 20:46 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-12-16 11:47 . 2007-12-11 20:46 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-12-16 11:47 . 2007-12-11 20:46 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-12-11 20:46 . 2007-12-11 20:46 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 20:46 . 2007-12-11 20:46 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-12-11 20:46 . 2007-12-11 20:46 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2007-12-11 20:46 . 2007-12-11 20:46 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2007-12-11 20:45 . 2007-12-11 20:45 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 20:45 . 2007-12-11 20:45 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 20:43 . 2007-12-11 20:43 12,288 --a--c--- C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-11 20:43 . 2007-12-11 20:43 8,523 --a--c--- C:\WINDOWS\system32\dpude.qm
2007-12-11 20:43 . 2007-12-11 20:43 3,136 --a--c--- C:\WINDOWS\system32\dtu_de.qm
2007-12-03 13:47 . 2007-12-13 19:44 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-03 13:47 . 2007-12-03 13:47 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-02 01:55 . 2007-12-27 13:25 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-02 01:55 . 2007-12-02 01:55 <DIR> d-------- C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\PC Tools
2007-12-02 01:55 . 2007-12-27 15:39 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-02 01:55 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-02 01:55 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-02 01:55 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-02 01:55 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-02 01:55 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-02 01:54 . 2007-12-21 15:00 <DIR> d-------- C:\Programme\Norton Security Scan
2007-12-02 01:50 . 2007-12-02 01:50 <DIR> d-------- C:\models
2007-12-01 18:08 . 2007-12-27 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\Hamachi
2007-12-01 18:07 . 2007-12-01 18:07 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-01 17:33 . 2007-12-01 17:33 401,875 --a------ C:\WINDOWS\Bid For Power Uninstaller.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-26 19:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-12-24 13:24 --------- d-----w C:\Programme\ICQToolbar
2007-12-22 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-16 10:47 --------- d-----w C:\Programme\DivX
2007-12-16 09:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo
2007-12-13 18:56 --------- d-----w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\Corel
2007-12-11 19:46 43,528 -c----w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-12-11 19:46 120,056 -c----w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-11 19:46 118,520 -c----w C:\WINDOWS\system32\pxinsi64.exe
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-11 19:44 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-12-11 19:44 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-11 19:44 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-12-11 19:44 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-12-11 19:44 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-12-11 19:44 53,248 -c--a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-12-11 19:44 344,064 -c--a-w C:\WINDOWS\system32\dpus11.dll
2007-12-11 19:44 294,912 -c--a-w C:\WINDOWS\system32\dpu10.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-12-11 19:44 196,608 -c--a-w C:\WINDOWS\system32\dtu100.dll
2007-12-11 19:44 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-12-11 15:59 --------- d-----w C:\Programme\TuneUp Utilities 2007
2007-11-24 17:30 --------- d-----w C:\Programme\Google
2007-11-24 13:47 --------- d-----w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\ICQ
2007-11-24 13:46 --------- d-----w C:\Programme\ICQ6
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-12 13:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-11 21:37 1,207,026 ----a-w C:\Dokumente und Einstellungen\neu-installationen\wrar370.exe
2007-11-11 09:22 --------- d-----w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\ChessBase
2007-11-10 23:24 --------- d-----w C:\Programme\Java
2007-11-10 23:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-11-06 16:11 --------- d-----w C:\Programme\Norton CleanSweep
2007-11-06 13:45 454,015,657 ----a-w C:\Dokumente und Einstellungen\neu-installationen\Metin2_20071009.exe
2007-11-06 13:38 --------- d-----w C:\Programme\Avira
2007-11-06 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-06 13:36 17,820,592 ----a-w C:\Dokumente und Einstellungen\neu-installationen\antivir_workstation_win7u_de_h270.exe
2007-11-05 19:42 --------- d-----w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\ICQ Toolbar
2007-11-05 18:15 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-05 18:13 --------- d-----w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\InstallShield
2007-11-05 17:53 12,829,368 ----a-w C:\Dokumente und Einstellungen\neu-installationen\Install_ICQ6.exe
2007-11-05 17:53 --------- d-----w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\TuneUp Software
2007-11-05 17:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-11-05 17:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-05 17:50 10,717,440 ----a-w C:\Dokumente und Einstellungen\neu-installationen\TU2007TrialDE2311.exe
2007-11-05 16:56 --------- d-----w C:\Programme\MSXML 4.0
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
2006-02-08 19:03 19,656 -c--a-w C:\Dokumente und Einstellungen\Bibik Daniel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-07-03 11:30 598,016 -c--a-w C:\Programme\EasyMain.dll
2003-07-03 11:30 172,032 -c--a-w C:\Programme\EasyGPRS.exe
2003-07-03 11:30 110,592 -c--a-w C:\Programme\EasyEMSPDU.dll
2003-07-03 11:29 90,112 -c--a-w C:\Programme\EasyImportExport.dll
2003-07-03 11:29 49,152 -c--a-w C:\Programme\EasyImportOutlook.dll
2003-07-03 11:28 98,304 -c--a-w C:\Programme\EasyMelody.dll
2003-07-03 11:28 77,824 -c--a-w C:\Programme\EasySYS.mdb
2003-07-03 11:28 7,634,944 -c--a-w C:\Programme\EasyRes.dll
2003-07-03 11:28 643,072 -c--a-w C:\Programme\EasyMyPhoto.dll
2003-07-03 11:28 1,384,448 -c--a-w C:\Programme\EasyVod.dll
2003-07-03 11:27 69,632 -c--a-w C:\Programme\EasyPbO.dll
2003-07-03 11:27 57,344 -c--a-w C:\Programme\EasyEMS.dll
2003-07-03 11:27 516,096 -c--a-w C:\Programme\EasyWizard.dll
2003-07-03 11:27 40,960 -c--a-w C:\Programme\EasyCall.dll
2003-07-03 11:27 147,456 -c--a-w C:\Programme\EasyImg.dll
2003-07-03 11:26 53,248 -c--a-w C:\Programme\EasySchd.dll
2003-07-03 11:26 483,328 -c--a-w C:\Programme\EasyComposer.dll
2003-07-03 11:26 40,960 -c--a-w C:\Programme\XPbutton.dll
2003-07-03 11:26 40,960 -c--a-w C:\Programme\EasyToDo.dll
2003-07-03 11:26 151,552 -c--a-w C:\Programme\EasyComm.dll
2003-05-09 20:36 350,826 -c--a-r C:\Programme\040CEasyGPRS.chm
2003-05-09 20:36 349,843 -c--a-r C:\Programme\0410EasyGPRS.chm
2003-05-09 20:36 318,277 -c--a-r C:\Programme\0407EasyGPRS.chm
2003-05-09 20:36 308,613 -c--a-r C:\Programme\0816EasyGPRS.chm
2003-05-09 20:36 303,273 -c--a-r C:\Programme\040AEasyGPRS.chm
2003-05-09 20:35 346,865 -c--a-r C:\Programme\0804EasyGPRS.chm
2003-05-09 20:35 340,693 -c--a-r C:\Programme\0404EasyGPRS.chm
2003-05-09 20:35 307,677 -c--a-r C:\Programme\0413EasyGPRS.chm
2003-05-09 20:35 270,861 -c--a-r C:\Programme\0409EasyGPRS.chm
2002-12-17 08:02 120,832 -c--a-w C:\Programme\EasyGPRS.mdb
2002-10-31 14:43 716,800 -c--a-w C:\Programme\ma3smwemu_gsm.dll
2002-10-31 14:43 180,224 -c--a-w C:\Programme\ijl11.dll
2002-09-17 18:32 65,024 -c--a-w C:\Programme\msvcrt40.dll
2002-09-17 18:32 290,869 -c--a-w C:\Programme\msvcrt.dll
2002-09-17 18:32 253,952 -c--a-w C:\Programme\msvcrt20.dll
2002-04-23 09:15 766 -c--a-w C:\Programme\uninstall.ico
2001-08-29 19:00 995,384 -c--a-w C:\Programme\mfc42u.dll
2001-08-29 19:00 995,383 -c--a-w C:\Programme\mfc42.dll
2001-08-29 19:00 924,432 -c--a-w C:\Programme\mfc40u.dll
2001-08-29 19:00 924,432 -c--a-w C:\Programme\mfc40.dll
2001-08-29 19:00 53,248 -c--a-w C:\Programme\mfc42loc.dll
2001-08-29 19:00 1,700,352 -c--a-w C:\Programme\GdiPlus.dll
2000-07-14 22:00 274,485 -c--a-w C:\Programme\Mfcd42d.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-10-07 14:08]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 15:03]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-05 18:18]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-10-11 14:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-06-15 16:20 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10]
"Corel Photo Downloader"="C:\Programme\Corel\Corel Snapfire\Corel Photo Downloader.exe" [2006-08-04 11:00]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-06 14:39]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-10-02 16:27]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57]

C:\Dokumente und Einstellungen\Bibik Daniel\Startmen�\Programme\Autostart\
hamachi.lnk - G:\hamachi\hamachi.exe [2007-12-01 18:07:53]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-11-05 18:18:29]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
VIA RAID TOOL.lnk - C:\Programme\VIA\RAID\raid_tool.exe [2005-07-02 18:56:17]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2004-05-18 09:55]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs []
S2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys []
S3 cdiskdun;cdiskdun;C:\DOKUME~1\BIBIKD~1\LOKALE~1\Temp\cdiskdun.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f3ca6b6-ebf7-11d9-9ef8-806d6172696f}]
\Shell\AutoRun\command - D:\Install.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-21 16:41:05 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-12-21 18:12:45 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-27 15:58:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-27 15:59:50
C:\ComboFix2.txt ... 2007-12-22 18:53
.
2007-12-27 13:59:53 --- E O F ---
__________
Irren ist menschlich.Aber wer richtigen Mist bauen will,braucht einen Computer !!!

#6 Hallo pcman

von dem Keylogger-Programm ist nichts zu sehen....
http://www.symantec.com/security_response/writeup.jsp?docid=2004-052616-5512-99&tabid=2

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 ja also 1. ich habe den listen.bat ausgeführt des kann ich ach posten aber vorher ne frage den ich hab den norton security scan nochmals durchgeführt und jetzt hab ich auch die infizierte datei soll ich jetzt nur die infizierte datei posten oder reicht auch nur die infizierte datei?
__________
Irren ist menschlich.Aber wer richtigen Mist bauen will,braucht einen Computer !!!

#8

Zitat

soll ich jetzt nur die infizierte datei posten oder reicht auch nur die infizierte datei?

es reicht, wenn du postest, wo die infizierte Datei ist, laut Symantec
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 ok gut also hier soll die infektion sein:Infektion:
c:\dokumente und einstellungen\all users\anwendungsdaten\antispyinfo\wcay.006.q_d2c1e00_q
Browser-Cache
Infektion:
c:\windows\system32\sys32\akv.exe
c:\windows\system32\sys32\wcay.007
__________
Irren ist menschlich.Aber wer richtigen Mist bauen will,braucht einen Computer !!!