Spywarefighter die 5.

12.01.2008, 12:21

ChrisseM

...neu hier

Beiträge: 2

#1 Hallo

zuerst einmal für meinen ersten Thread: Danke für das Forum!
Mein problem wurde schon einmal beschrieben, aber noch einmal:
- hatte Trojaner
- habe mir spywarefighter-freeware installiert
- im fortgeschrittenen Verlauf der Installation: Computer startet sich neu
- nach neustart: nochmal neustart und so weiter und so fort
- zum glück hatte ich den startupmanager auf dem desktop, konnte spywarefighter rausmachen
- habe den spywarefighter-ordner von hand gelöscht, zwei datein bleiben, lassen sich nicht löschen, obwohl sie weder schreibgeschützt sind noch mit alt+strg+entf als prozess erkennbar sind: spfext.dll und spfrm.dll
- seit da an will sich diese ärgerliche spyware-fighter-installation immer starten wenn ich (1) im arbeitsplatz eine datei lösche und (2) wenn ich eine datei mit der rechten maustaste anklicke
- außerdem, keine ahnung ob das zusammenhängt: seit da an spielt mein rechner weder mit winamp noch mit vlc mediendateien ab

was ich bisher gemacht habe?
- deinstallation (geht nicht)
- mit addremove den spywarefighter entfernt
- mit hijack alle spywarefighter-einträge entfernt
- mit regedit + tuneuputilities die registry von spywarefighter leergemacht

aber es hilft alles nichts

so, hier meine hijack-log:
Logfile of HijackThis v1.99.1
Scan saved at 12:17:02, on 12.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F78F0A8-4C28-4352-AF58-7A091B0F35AB}: NameServer = 192.168.123.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

und hier noch die combofix: (in der ist spywarefighter drin, wie bekomme ich den denn raus?)

ComboFix 08-01-11.3 - user 2008-01-12 11:49:56.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.235 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Helper
C:\Programme\Helper\prolooker.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-12 bis 2008-01-12 ))))))))))))))))))))))))))))))
.

2008-01-12 11:48 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-12 11:41 . 2008-01-12 11:41 1 --a------ C:\WINDOWS\AR.DAT
2008-01-12 11:40 . 2008-01-12 11:40 <DIR> d-------- C:\Programme\AddRemove
2008-01-12 10:21 . 2008-01-12 10:21 <DIR> d--hs---- C:\FOUND.002
2008-01-11 18:58 . 2008-01-12 11:34 734 --a------ C:\WINDOWS\system32\eRLog.ini
2008-01-11 17:07 . 2008-01-11 17:07 <DIR> d--hs---- C:\FOUND.001
2008-01-11 17:03 . 2008-01-11 17:14 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-11 17:03 . 2008-01-11 17:14 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-11 17:02 . 2008-01-11 17:02 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-01-11 17:02 . 2008-01-11 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-11 17:02 . 2008-01-12 11:31 26,912 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-11 17:02 . 2008-01-12 11:31 1,412 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-11 17:02 . 2008-01-12 11:31 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-11 17:02 . 2008-01-12 11:31 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-11 16:57 . 2008-01-11 16:57 <DIR> d-------- C:\Programme\KapAntiVir
2008-01-11 16:55 . 2008-01-11 16:55 <DIR> d-------- C:\Programme\KapVirenschutz
2008-01-11 14:36 . 2008-01-11 14:36 <DIR> d--hs---- C:\FOUND.000
2008-01-11 14:32 . 2008-01-11 14:32 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-01-11 14:32 . 2008-01-11 14:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2008-01-11 14:03 . 2008-01-11 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-29 20:27 . 2007-12-29 20:27 0 --a------ C:\WINDOWS\Irremote.ini
2007-12-29 20:10 . 2007-12-29 20:10 <DIR> d-------- C:\Programme\Startup Manager
2007-12-29 20:00 . 2007-12-29 20:00 <DIR> d-------- C:\Programme\TuneUp Utilities 2004
2007-12-29 20:00 . 2007-12-29 20:00 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\TuneUp Software
2007-12-29 19:59 . 2007-12-29 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-12-24 21:43 . 2007-12-24 21:43 <DIR> d-------- C:\Programme\XviD
2007-12-24 21:43 . 2007-12-24 21:43 <DIR> d-------- C:\Programme\Lame MP3 Codec
2007-12-24 21:43 . 2002-12-03 22:13 1,048,576 --a------ C:\WINDOWS\system32\lameACM.acm
2007-12-24 21:43 . 2005-05-03 09:33 299,008 --a------ C:\WINDOWS\system32\LAME_MP3.dll
2007-12-24 21:43 . 2007-12-24 21:43 65,024 --a------ C:\WINDOWS\IFinst26.exe
2007-12-24 21:43 . 2004-12-10 21:29 401 --a------ C:\WINDOWS\system32\lame_acm.xml
2007-12-24 21:43 . 2007-12-27 15:39 40 --a------ C:\SYSTEM.VER
2007-12-24 20:41 . 2007-12-24 20:41 <DIR> d-------- C:\Programme\MarkAny
2007-12-24 20:40 . 2007-12-24 20:40 <DIR> d-------- C:\Programme\Samsung
2007-12-24 20:40 . 2004-10-11 23:20 118,784 --a------ C:\WINDOWS\system32\MaDRM.dll
2007-12-21 11:35 . 2007-12-21 11:35 <DIR> d-------- C:\finalburner
2007-12-21 11:35 . 2007-12-21 11:35 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\FinalBurner Video DVD
2007-12-21 11:34 . 2007-12-21 11:34 <DIR> d-------- C:\Programme\FinalBurner
2007-12-20 21:18 . 2007-12-20 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-20 20:50 . 2007-12-20 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NtiDvdCopy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-11 17:13 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\dvdcss
2007-11-06 13:53 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2005-03-23 10:01 245760]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys [2004-12-17 17:14]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 15:18]
R3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 POWERKEY;POWERKEY;C:\Programme\Launch Manager\POWERKEY.sys [2000-12-19 18:29]
S3 SI15CI;SI15CI;c:\elements\1stboot\SI15CI.SYS []
S3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2007-06-08 11:52]
S4 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" [2007-06-08 11:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ef33cea-74ef-11dc-8a6d-00038a000015}]
\Shell\AutoRun\command - G:\LaunchU3.exe

*Newly Created Service* - INT15.SYS
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2008-01-11 16:17:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 11:59:48
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-12 12:01:45
ComboFix-quarantined-files.txt 2008-01-12 11:01:40

12.01.2008, 12:43

Pinguin

Ehrenmitglied

Beiträge: 1441

#2 ChrisseM

1.
Combofix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Folder::
C:\Programme\SPYWAREfighter

und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Combofix noch mal anwenden - tippe 1
------

2.
poste das neue Log, was erscheint

----------------------------------------------------------------
3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Application" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

12.01.2008, 12:53

ChrisseM

...neu hier

Themenstarter

Beiträge: 2

#3 he, danke für die schnelle Antwort....

hab aber jetzt aus lauter verzweiflung einfach unter regedit mit der suchen-funktion alles gesucht, was spywarefighter war und dann manuell gelöscht...beinahe alles zumindest.

und jetzt lässt sich der spywarefighter-ordner löschen, JUHUUU!!!! Freiheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

» SPYWAREFighter deinstalliert?
»
» spywarefighter, trojaner, was kann ich noch tun?
»
»

Seite(n): 1