Spy Emergency - Windows Security Alert & Windows has detected spyware infection!

#0
15.06.2008, 13:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo,

««
erstelle eine neue cfscript.txt - genauso wie erklärt war in einem meiner ersten Beiträge - (Änderung der erst erstellten zulassen)
ziehe die txt dann wieder auf das Symbol von Combofix + Combofix neu anwenden

Script:

Zitat

Registry::
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{11063688-0BBB-6DBF-14F1-7CAAEF3DAF0F}]
««
wende smitfraudfix an (option 1 + poste den report)
http://virus-protect.org/artikel/tools/smitfrautfix.html

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2008, 14:55
Member

Themenstarter

Beiträge: 13
#17 Hey, die logs schick ich wieder im Anhang ;)

Danke, lg Peter

-----

edit (Sabina)
- 2007-06-13 13:21:45 1,036,288 ----a-w C:\WINDOWS\explorer.exe
+ 2008-04-14 02:22:45 1,036,800 ----a-w C:\WINDOWS\explorer.exe

Anhang: log_1.txt
Seitenanfang Seitenende
15.06.2008, 18:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 hast du eine XP-Reparatur gemacht ???

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\explorer*.*" > c:\find.txt & start notepad c:\find.txt
poste , was in der find.txt erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2008, 18:22
Member

Themenstarter

Beiträge: 13
#19 Nein habe keine XP- reperatur gemacht, aber das SP 3 installiert ;)

Dir bleibt auch nichts verborgen ;) hehe

hier das was er ausspuckt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5010-F862

Verzeichnis von c:\i386

13.06.2007 15:21 1.036.288 explorer.exe
04.08.2004 16:00 356.487 EXPLORER.EX_
04.08.2004 16:00 181 EXPLORER.SC_
3 Datei(en) 1.392.956 Bytes

Verzeichnis von c:\Programme\Microsoft Visual Studio\MSDN\2001OCT\1033\SAMPLES\VB98\WcDemo

26.07.1999 01:00 20.278 EXPLORER.BMP
1 Datei(en) 20.278 Bytes

Verzeichnis von c:\Programme\Microsoft Visual Studio\VB98\Template\Menus

06.05.1998 01:00 2.180 Explorer-Datei-Men.frm
1 Datei(en) 2.180 Bytes

Verzeichnis von c:\Programme\Microsoft Visual Studio 8\Common7\IDE\VSTA\ItemTemplates\VisualBasic\1031

08.03.2006 13:32 20.731 Explorer.zip
1 Datei(en) 20.731 Bytes

Verzeichnis von c:\Programme\TuneUp Utilities 2008\Data

27.05.2008 13:34 2.839 ExplorerLine.png
1 Datei(en) 2.839 Bytes

Verzeichnis von c:\WINDOWS

14.04.2008 04:22 1.036.800 explorer.exe
04.08.2004 16:00 80 explorer.scf
2 Datei(en) 1.036.880 Bytes

Verzeichnis von c:\WINDOWS\$hf_mig$\KB938828\SP2QFE

13.06.2007 15:10 1.036.288 explorer.exe
1 Datei(en) 1.036.288 Bytes

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

13.06.2007 15:21 1.036.288 explorer.exe
1 Datei(en) 1.036.288 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

14.04.2008 04:22 1.036.800 explorer.exe
1 Datei(en) 1.036.800 Bytes

Verzeichnis von c:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b

14.04.2008 04:22 1.036.800 explorer.exe
1 Datei(en) 1.036.800 Bytes

Anzahl der angezeigten Dateien:
13 Datei(en) 6.622.040 Bytes
0 Verzeichnis(se), 103.841.169.408 Bytes frei

Ah ja und vom Tune Up Utilities hab ich diesen Reg-Cleaner durchlaufen lassen ;)

lg Peter
Dieser Beitrag wurde am 15.06.2008 um 18:28 Uhr von Peterl editiert.
Seitenanfang Seitenende
15.06.2008, 18:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hi,

es gibt zwei explorer.exe auf dem Rechner, verschiedene Grössen

2007-06-13 13:21:45 1,036,288 ----a-w C:\WINDOWS\explorer.exe
+ 2008-04-14 02:22:45 1,036,800 ----a-w C:\WINDOWS\explorer.exe

lade beide hoch, lasse sie prüfen + poste beide Reporte

Virustotal http://www.virustotal.com/flash/index_en.html

2007-06-13 13:21:45 1,036,288 ----a-w C:\WINDOWS\explorer.exe
+ 2008-04-14 02:22:45 1,036,800 ----a-w C:\WINDOWS\explorer.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2008, 19:36
Member

Themenstarter

Beiträge: 13
#21 Hmmm habe nur eine explorer.exe gefunden :S

Hier der Report:

ntivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.15 -
AntiVir 7.8.0.55 2008.06.14 -
Authentium 5.1.0.4 2008.06.15 -
Avast 4.8.1195.0 2008.06.15 -
AVG 7.5.0.516 2008.06.14 -
BitDefender 7.2 2008.06.15 -
CAT-QuickHeal 9.50 2008.06.14 -
ClamAV 0.92.1 2008.06.15 -
DrWeb 4.44.0.09170 2008.06.15 -
eSafe 7.0.15.0 2008.06.15 -
eTrust-Vet 31.6.5873 2008.06.14 -
Ewido 4.0 2008.06.15 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.15 -
Fortinet 3.14.0.0 2008.06.15 -
GData 2.0.7306.1023 2008.06.15 -
Ikarus T3.1.1.26.0 2008.06.15 -
Kaspersky 7.0.0.125 2008.06.15 -
McAfee 5317 2008.06.13 -
Microsoft 1.3604 2008.06.15 -
NOD32v2 3187 2008.06.15 -
Norman 5.80.02 2008.06.13 -
Panda 9.0.0.4 2008.06.15 -
Prevx1 V2 2008.06.15 -
Rising 20.48.62.00 2008.06.15 -
Sophos 4.30.0 2008.06.15 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.15 -
TheHacker 6.2.92.350 2008.06.14 -
VBA32 3.12.6.7 2008.06.14 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.15 -
weitere Informationen
File size: 1036800 bytes
MD5...: 418045a93cd87a352098ab7dabe1b53e
SHA1..: 98b9ad668e0727be888b861f49aac0f72725e634
SHA256: 81419093ccb985da284931fa3df41c4cfe25350db1c366792903411819371664
SHA512: 15aed88028fb4dcd35ffc4191356ee3d81298761ed1ee12f418bae01e769657f
79751c80b02ef01d088334f003c017f7866dc169e34f75b8a112a92a6e36ee44
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x101a55f
timedatestamp.....: 0x48025c30 (Sun Apr 13 19:17:04 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44c09 0x44e00 6.38 8c58c76b600f5aee7f7c7242454b9a1f
.data 0x46000 0x1db4 0x1800 1.30 983f35021232560eaaa99fcbc1b7d359
.rsrc 0x48000 0xb2f64 0xb3000 6.64 f7df812e2e64b1514d61a9681fbe71da
.reloc 0xfb000 0x374c 0x3800 6.78 ec335057489badbf6d8142b57175fd91

( 13 imports )
> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW
> BROWSEUI.dll: -, -, -, -
> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, CreateRectRgnIndirect, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, SetTextColor, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode
> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, OpenEventW, DelayLoadFailureHook, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, GetFileAttributesExW, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, MulDiv, InitializeCriticalSectionAndSpinCount, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, RegisterWaitForSingleObject
> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf
> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess
> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop
> OLEAUT32.dll: -, -
> SHDOCVW.dll: -, -, -
> SHELL32.dll: -, -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHGetSpecialFolderLocation, ShellExecuteExW, -, -, -, SHGetSpecialFolderPathW, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -
> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, -, StrCmpNW, -, -
> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, CopyRect, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, PtInRect, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, ModifyMenuW, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW
> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed

( 0 exports )
Seitenanfang Seitenende
15.06.2008, 22:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 «

Click Start - Ausführen - sigverif - OK
click OK and Start.
Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) und kopiere die sigverif.txt


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2008, 23:26
Member

Themenstarter

Beiträge: 13
#23 Hallo, habe den Scan gemacht, bin aber zu keinem Fenster gekommen, dass ich die genannte Datei speichern kann. Habe dann die Festplatte durchsucht und die Datei unter C:\WINDOWS gefunden:

lg Peter

Anhang: SIGVERIF.TXT
Dieser Beitrag wurde am 15.06.2008 um 23:57 Uhr von Peterl editiert.
Seitenanfang Seitenende
16.06.2008, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24

Zitat

[c:\windows]
explorer.exe 14.04.2008 2:5.1 Signiert sp3.cat Microsoft Windows Component Publisher
es ist in Ordnung.
Jedenfalls ist die exe signiert von MS.

belassen wir es also dabei, wenn es noch Probleme geben sollte - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2008, 10:07
Member

Themenstarter

Beiträge: 13
#25 Also, wollt mich jetzt abschließend noch einmal für deine Mühe und Hilfe bedanken. Jetzt "läuft" der Firmenrechner wieder gut ;) Wenn ich auf mich alleine gestellt gewesen wär, hätt ich ihn wahrscheinlich neu aufsetzen müssen, wobei die ganze "Software-Zamsucherei" und Installiererei auf an Firmenrechner immer mühsam ist, außerdem gibt man nicht gern zu, dass man sich auf an Firmenrechner an Virus oder Spyware eingefangen hat.

Also nochmal vielen lieben Dank!
Seitenanfang Seitenende