spyware.webhancer mit Spyware Doctor entdeckt

#1 Hallo,

bei einem Scan mit dem Spyware Doctor meldetet er mit den Befall durch spyware.webhancer
dies geschieht bei der SpOrder.dll
Spybot S+D findet dieses nicht, auch Ad-Aware-2007 zeigt keinen Befall.
Nach dem durchforsten unzähliger Foren, hab ich Hijackthis installiert

Hier ist die Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:11, on 29.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5727 bytes


Ich hoff es kann mir jemand helfen, diesen Befall zu beseitigen, so dass ich wieder sicher sein kann, dass niemand, meine Privatspähre ausspioniert.

Vielen Dank schonmal im vorraus.

MfG

Christian

#2 Hallo,
poste bitte das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

+
kopiere ab, wo der Scanner den Befall meldet ...ein Registry-Schlüssel oder eine Datei ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo,

danke für die Hilfe, hab Combofix ausgeführt und hier ist der Log:

ComboFix 08-01-29.3 - Sepp(l) 2008-01-29 22:07:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1559 [GMT 1:00]
ausgeführt von:: E:\Eigene Dateien\Mozilla Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
/wow section - STAGE 34

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\media
C:\WINDOWS\system32\media\AvidRender.wav

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-29 20:43 . 2008-01-29 20:43 <DIR> d-------- C:\Programme\Trend Micro
2008-01-29 20:22 . 2008-01-29 20:22 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-01-29 16:02 . 2008-01-29 16:02 <DIR> d-------- C:\Programme\Lavasoft
2008-01-29 16:02 . 2008-01-29 16:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-29 16:02 . 2008-01-29 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-29 14:52 . 2008-01-29 15:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-28 23:50 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-01-28 21:00 . 2008-01-29 20:58 8,405,015 --a------ C:\WINDOWS\TempFile
2008-01-28 21:00 . 2001-06-21 21:39 73,728 --a------ C:\WINDOWS\system32\drivers\SENTINEL.SYS
2008-01-28 20:58 . 2008-01-28 20:58 <DIR> d-------- C:\Programme\Autodesk
2008-01-28 20:34 . 2008-01-28 21:00 <DIR> d-------- C:\WINDOWS\system32\RNBOSENT
2008-01-28 20:34 . 2008-01-28 20:34 <DIR> d-------- C:\Programme\GLOBEtrotter Software Inc
2008-01-28 20:34 . 2005-07-28 08:18 685,056 --a------ C:\WINDOWS\system32\drivers\hardlock.sys
2008-01-28 20:34 . 2008-01-28 20:34 47,616 --a------ C:\WINDOWS\system32\drivers\Haspnt.sys
2008-01-28 20:34 . 2001-06-21 21:39 20,032 -ra------ C:\WINDOWS\system32\drivers\SNTNLUSB.SYS
2008-01-28 20:34 . 1998-07-10 04:31 7,328 --a------ C:\WINDOWS\system32\drivers\ds1410d.sys
2008-01-28 20:34 . 2008-01-28 20:34 6,656 --a------ C:\WINDOWS\system32\haspvdd.dll
2008-01-28 20:34 . 2008-01-28 21:00 3,000 --a------ C:\WINDOWS\system32\config.hsp
2008-01-28 20:34 . 2008-01-28 20:34 383 --a------ C:\WINDOWS\system32\haspdos.sys
2008-01-28 20:31 . 2008-01-28 20:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-01-28 20:31 . 2008-01-28 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alias Shared
2008-01-28 20:23 . 2005-09-20 09:36 155,648 --a------ C:\WINDOWS\system32\igfxres.dll
2008-01-28 20:15 . 2008-01-29 17:31 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-28 20:09 . 2008-01-29 00:12 <DIR> d-------- C:\Programme\CDex_170b2
2008-01-28 20:06 . 2008-01-28 20:06 <DIR> d-------- C:\Programme\VideoLAN
2008-01-28 20:03 . 2008-01-28 20:03 1,142 --a------ C:\WINDOWS\mozver.dat
2008-01-28 19:59 . 2008-01-28 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Sepp(l)\Anwendungsdaten\Apple Computer
2008-01-28 19:55 . 2008-01-29 22:04 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-28 19:49 . 2008-01-28 19:49 <DIR> d-------- C:\Programme\QuickTime
2008-01-28 19:49 . 2008-01-28 19:49 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-28 19:49 . 2008-01-28 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-28 19:49 . 2008-01-28 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-28 19:29 . 2008-01-28 21:03 <DIR> d-------- C:\FLEXLM
2008-01-28 18:51 . 2008-01-28 18:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Digidesign
2008-01-28 18:49 . 2008-01-28 18:49 <DIR> d-------- C:\Programme\SafeNet Sentinel
2008-01-28 18:49 . 2008-01-28 18:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel
2008-01-28 18:49 . 2008-01-28 18:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Avid
2008-01-28 18:49 . 2008-01-28 18:51 <DIR> d-------- C:\Programme\Avid
2008-01-28 18:49 . 2006-08-07 21:57 2,981,888 --a------ C:\WINDOWS\system32\iplw7.dll
2008-01-28 18:49 . 2006-08-07 21:57 2,973,696 --a------ C:\WINDOWS\system32\iplA6.dll
2008-01-28 18:49 . 2006-08-07 21:57 2,785,280 --a------ C:\WINDOWS\system32\iplM6.dll
2008-01-28 18:49 . 2006-08-07 21:57 2,686,976 --a------ C:\WINDOWS\system32\iplM5.dll
2008-01-28 18:49 . 2006-08-07 21:57 2,531,328 --a------ C:\WINDOWS\system32\iplP6.dll
2008-01-28 18:49 . 2006-08-07 21:57 2,502,656 --a------ C:\WINDOWS\system32\iplPX.dll
2008-01-28 18:49 . 2006-08-07 21:57 53,248 --a------ C:\WINDOWS\system32\ipl.dll
2008-01-28 18:49 . 2006-08-07 22:09 45,056 --a------ C:\WINDOWS\system32\wnaspi32.dll
2008-01-28 18:49 . 2006-08-07 22:09 25,244 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2008-01-28 18:49 . 2006-08-07 22:09 5,600 --a------ C:\WINDOWS\system\winaspi.dll
2008-01-28 18:49 . 2006-08-07 22:09 4,672 --a------ C:\WINDOWS\system\wowpost.exe
2008-01-28 18:45 . 2008-01-28 19:27 <DIR> d-------- C:\Temp
2008-01-28 18:43 . 2008-01-29 22:08 6,762,528 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-28 18:43 . 2008-01-29 20:57 81,956 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-28 18:37 . 2008-01-28 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-01-28 18:35 . 2008-01-29 20:59 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-28 18:26 . 2008-01-28 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Sepp(l)\Anwendungsdaten\T-Online
2008-01-28 18:25 . 2008-01-28 18:25 <DIR> d-------- C:\Programme\T-Online
2008-01-28 18:25 . 2008-01-28 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2008-01-28 18:09 . 2008-01-28 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
2008-01-28 18:07 . 2001-06-26 08:15 38,912 -ra------ C:\WINDOWS\system32\picn20.dll
2008-01-28 18:06 . 2008-01-28 18:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-01-28 18:06 . 2008-01-28 18:07 <DIR> d-------- C:\Programme\Ahead
2008-01-28 18:06 . 2001-07-06 14:41 569,344 -ra------ C:\WINDOWS\system32\imagr5.dll
2008-01-28 18:06 . 2001-07-06 12:44 544,768 -ra------ C:\WINDOWS\system32\imagx5.dll
2008-01-28 18:06 . 2001-07-06 18:24 283,920 -ra------ C:\WINDOWS\system32\ImagXpr5.dll
2008-01-28 18:06 . 2001-07-09 11:50 155,648 -ra------ C:\WINDOWS\system32\NeroCheck.exe
2008-01-28 18:04 . 2008-01-28 18:04 <DIR> d-------- C:\Programme\CyberLink
2008-01-28 18:03 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-01-28 18:03 . 2008-01-28 18:03 400 --a------ C:\WINDOWS\ODBC.INI
2008-01-28 18:02 . 2008-01-28 18:02 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-01-28 18:00 . 2008-01-28 18:00 <DIR> dr-h----- C:\MSOCache
2008-01-28 17:58 . 2008-01-28 17:58 <DIR> d-------- C:\Programme\Macromedia
2008-01-28 17:43 . 2008-01-28 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-01-28 17:40 . 2008-01-28 17:40 <DIR> d-------- C:\Programme\VOB
2008-01-28 17:40 . 2002-08-28 11:09 611,840 --a------ C:\WINDOWS\system32\vobhw.dll
2008-01-28 17:40 . 2002-09-26 17:34 153,088 --a------ C:\WINDOWS\system32\IWUninstall.exe
2008-01-28 17:40 . 2000-04-27 12:31 19,456 --a------ C:\WINDOWS\system32\asapi.dll
2008-01-28 17:40 . 2002-04-17 20:27 11,264 --a------ C:\WINDOWS\system32\drivers\asapi.sys
2008-01-28 17:39 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-01-28 17:38 . 2008-01-28 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\Sepp(l)\WINDOWS
2008-01-28 17:22 . 2008-01-28 17:22 <DIR> d-------- C:\Programme\Image-Line
2008-01-28 17:22 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm
2008-01-28 17:19 . 2003-10-26 15:19 101,376 --a------ C:\WINDOWS\system32\synsoacc.dll
2008-01-28 17:16 . 2008-01-28 17:31 <DIR> d-------- C:\Programme\Steinberg
2008-01-28 17:00 . 2008-01-28 18:49 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-01-24 23:42 . 2001-02-05 03:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-01-24 23:42 . 2003-12-24 01:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-01-24 23:42 . 2004-04-27 10:14 120,832 --a------ C:\WINDOWS\system32\BrWia04a.dll
2008-01-24 23:42 . 2002-04-12 01:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-01-24 23:42 . 2001-12-13 01:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-01-24 23:42 . 2004-01-23 08:58 37,376 --a------ C:\WINDOWS\system32\BrUSi04a.dll
2008-01-24 23:42 . 2003-12-19 13:15 15,263 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 13:57 --------- d-----w C:\Programme\Spyware Doctor
2008-01-28 19:31 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-28 19:14 --------- d-----w C:\Programme\ICQLite
2008-01-28 19:13 --------- d-----w C:\Dokumente und Einstellungen\Sepp(l)\Anwendungsdaten\ICQLite
2008-01-28 18:50 74,240 ----a-w C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-28 18:50 56,832 ----a-w C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-28 18:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-28 17:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-28 15:42 5,824 ----a-w C:\Programme\uninstal.log
2008-01-28 15:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-01-28 15:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-01-28 15:30 611,064 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-28 15:24 --------- d-----w C:\Programme\GNUGS
2008-01-28 15:24 --------- d-----w C:\Programme\Acro Software
2008-01-28 15:21 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
2008-01-28 15:21 --------- d-----w C:\Programme\Eraser
2008-01-28 15:11 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools
2008-01-28 15:10 --------- d-----w C:\Programme\Avira
2008-01-28 15:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-28 15:03 --------- d-----w C:\Programme\Analog Devices
2008-01-28 15:00 5 ----a-w C:\WINDOWS\system32\drivers\DELL_DIM_3000.MRK
2008-01-28 15:00 5 ----a-w C:\WINDOWS\system32\drivers\1028_DELL_DIM_3000.MRK
2008-01-28 14:57 --------- d--h--w C:\Programme\Uninstall Information
2008-01-28 14:54 --------- d-----w C:\Programme\microsoft frontpage
2008-01-28 14:52 --------- d-----w C:\Programme\Online-Dienste
2008-01-28 14:51 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-28 14:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-28 14:43 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-28 14:43 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-22 23:03 91,472 ----a-w C:\WINDOWS\system32\Erasext.dll
2007-12-22 23:03 41,296 ----a-w C:\WINDOWS\system32\Eraserl.exe
2007-12-22 23:03 316,752 ----a-w C:\WINDOWS\system32\Eraser.dll
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 18:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2007-12-13 18:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-12-13 18:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-07 09:49 734,720 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:35 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2007-12-23 00:03 916240]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 14:42 1404928]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-28 18:42 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 09:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 09:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 09:36 114688]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-11-02 17:24 1065800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2003-12-19 13:15]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84126614-cdb6-11dc-a6cc-0013206b70a8}]
\Shell\AutoRun\command - I:\AutoPlay.exe -auto

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 22:08:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 22:09:09
ComboFix-quarantined-files.txt 2008-01-29 21:09:06
.
2008-01-29 16:32:01 --- E O F ---



der spyware-doctor meldet nach der anwendung von Combofix nun diese im Anhang befindliche Ergebniss

#4 XVX

findest du denn einen Ordner Webhancer auf deinem Rechner ? Und eine sporder.dll ?
Ich habe den Eindruck, dass der Scanner übers Ziel hinausschiesst... den Combofix ist kein Trojaner... die wollen, dass man das Proggie kauft....so wird standardmässig oft (nicht immer) etwas sehr bedrohliches angezeigt, ob es das nun gibt..oder nicht ...

««
scanne mit ewido + poste den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hi,

also einen ordern webhancer konnte durch die Windwossuche nicht gefunden werden.

Aber die Datei SpOrder.dll konnt in Spywaredoctor-Ordner gefunden werden und im c:\Windows\system32-Ordner

Heißt das jetzt das mein rechner nicht befallen ist und das nur eine sehr sehr schlechte methode ist, mich zum kauf des Programms zu bringen?
weil ich mir gerade überlegt habe, dass sporder , ja soviel wie spyware-doctor-order sein könnte.
Hab aber da leider nicht genug ahnung davon.

#6 Hallo,

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Code

dir /s /a "c:\sporder*.*" > c:\find.txt & start notepad c:\find.txt

der Texteditor wird sich öffnen - poste den Inhalt hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Ok, hab ich gemacht.

hier das ergebniss


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: D8F7-973D

Verzeichnis von c:\Programme\Spyware Doctor

05.11.2007 16:20 14.152 sporder.dll
1 Datei(en) 14.152 Bytes

Verzeichnis von c:\WINDOWS\system32

27.04.2004 04:40 11.264 SpOrder.dll
1 Datei(en) 11.264 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 25.416 Bytes
0 Verzeichnis(se), 25.601.667.072 Bytes frei





Bekomm ich eigentlich auch das wieder weg, was durch den combofix entstanden ist?, auch wenn es kein Trojaner ist?

#8 ««
SpOrder.dll - ist von 2004 - dennoch überprüfe die dll

die dll hochladen (von hier aus einkopieren)
http://www.virustotal.com/de/

c:\WINDOWS\system32\SpOrder.dll

poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 so hoff, das ist das richtige:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.30.11 2008.01.30 -
AntiVir 7.6.0.57 2008.01.30 -
Authentium 4.93.8 2008.01.30 -
Avast 4.7.1098.0 2008.01.30 -
AVG 7.5.0.516 2008.01.30 -
BitDefender 7.2 2008.01.30 -
CAT-QuickHeal 9.00 2008.01.29 -
ClamAV 0.91.2 2008.01.30 -
DrWeb 4.44.0.09170 2008.01.30 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5497 2008.01.30 -
Ewido 4.0 2008.01.29 -
FileAdvisor 1 2008.01.30 -
Fortinet 3.14.0.0 2008.01.30 -
F-Prot 4.4.2.54 2008.01.29 -
F-Secure 6.70.13260.0 2008.01.30 -
Ikarus T3.1.1.20 2008.01.29 -
Kaspersky 7.0.0.125 2008.01.30 -
McAfee 5218 2008.01.29 -
Microsoft 1.3109 2008.01.28 -
NOD32v2 2834 2008.01.30 -
Norman 5.80.02 2008.01.29 -
Panda 9.0.0.4 2008.01.29 -
Prevx1 V2 2008.01.30 -
Rising 20.29.21.00 2008.01.30 -
Sophos 4.25.0 2008.01.30 -
Sunbelt 2.2.907.0 2008.01.30 -
Symantec 10 2008.01.30 -
TheHacker 6.2.9.201 2008.01.28 -
VBA32 3.12.2.6 2008.01.29 -
VirusBuster 4.3.26:9 2008.01.29 -
Webwasher-Gateway 6.6.2 2008.01.30 -
weitere Informationen
File size: 11264 bytes
MD5: 471789f182c0b60304ce19f023d8911d
SHA1: 2c5e44949734650d50a6b8a47a73ee2296eb1bf7
PEiD: -

#10 ««
ja nun... - belass es dabei - und deinstalliere den "Doktor"

««
Onlinescans, falls du unsicher bist, mit der Entscheidung...
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 ok vielen dank bin ich erleichtert,

hab aber allerdings noch eine frage bezüglich, des combocfix, da mir da auch nun "Trojaner" angezeigt werden und registry-veränderungen vorgenommen wurden,

ist das wirklich unfegährlich, und bekomm ich das wieder weg?

vielen dank für die super hilfe.

ich werd dieses Forum weiter empfehlen und ich hoff, dass du mir auch bei der letzten sache noch helfen kannst.

viele liebe grüße

#12

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 vielen dank für die super hilfe

#14

Zitat

Pinguin postete
««
SpOrder.dll - ist von 2004 - dennoch überprüfe die dll

die dll hochladen (von hier aus einkopieren)
http://www.virustotal.com/de/

c:\WINDOWS\system32\SpOrder.dl

poste den Report

Hallo,

ich bin bei der Suche nach sporder.dll auf das Thema gestossen. Ich habe im Moment eigentlich keine Probleme, nur dass mir SPYWARE DOCTOR einen Schädling NewDotnet anzeigt mit Bezug auf diese Datei. Die Datei habe ich geprüft und ist

Ich kann aus diesen Beiträgen nicht ersehen was eigentlich das Ergebnis ist.

Deshalb die Fragen, was soll man einfach machen, diese Datei löschen, Spywaredoctor löschen oder beides.

Mit dem SYYWARE DOCTOR (free) hatte ich schon mehrfach solche Probleme wo man sich frägt, stimmt dasü berhaupt was da angezeigt wird.

#15 Hallo Tita,
als der AdWare.Win32.NewDotNet noch aktuell war (2005, 2006...) wurde u.a. auch eine sporder.dll mit installiert.

C:\WINDOWS\system32
07/12/2005 15:41 8ÿ464 sporder.dll
http://virus-protect.org/lspfix1.html

die wurde gelöscht.
Ich bezweifel, dass du (2008) den NewDotNet auf dem Rechner hast.
SpOrder.dll ist eine andere Datei, weiss leider auch nicht, wozu sie gehört, aber zum NewDoNet bestimmt nicht.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/