Spy Emergency - Windows Security Alert & Windows has detected spyware infection!

#16 Hallo,

««
erstelle eine neue cfscript.txt - genauso wie erklärt war in einem meiner ersten Beiträge - (Änderung der erst erstellten zulassen)
ziehe die txt dann wieder auf das Symbol von Combofix + Combofix neu anwenden

Script:

Zitat

Registry::
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{11063688-0BBB-6DBF-14F1-7CAAEF3DAF0F}]

««
wende smitfraudfix an (option 1 + poste den report)
http://virus-protect.org/artikel/tools/smitfrautfix.html

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hey, die logs schick ich wieder im Anhang

Danke, lg Peter

-----

edit (Sabina)
- 2007-06-13 13:21:45 1,036,288 ----a-w C:\WINDOWS\explorer.exe
+ 2008-04-14 02:22:45 1,036,800 ----a-w C:\WINDOWS\explorer.exe

#18 hast du eine XP-Reparatur gemacht ???

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\explorer*.*" > c:\find.txt & start notepad c:\find.txt

poste , was in der find.txt erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Nein habe keine XP- reperatur gemacht, aber das SP 3 installiert

Dir bleibt auch nichts verborgen hehe

hier das was er ausspuckt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5010-F862

Verzeichnis von c:\i386

13.06.2007 15:21 1.036.288 explorer.exe
04.08.2004 16:00 356.487 EXPLORER.EX_
04.08.2004 16:00 181 EXPLORER.SC_
3 Datei(en) 1.392.956 Bytes

Verzeichnis von c:\Programme\Microsoft Visual Studio\MSDN\2001OCT\1033\SAMPLES\VB98\WcDemo

26.07.1999 01:00 20.278 EXPLORER.BMP
1 Datei(en) 20.278 Bytes

Verzeichnis von c:\Programme\Microsoft Visual Studio\VB98\Template\Menus

06.05.1998 01:00 2.180 Explorer-Datei-Men�.frm
1 Datei(en) 2.180 Bytes

Verzeichnis von c:\Programme\Microsoft Visual Studio 8\Common7\IDE\VSTA\ItemTemplates\VisualBasic\1031

08.03.2006 13:32 20.731 Explorer.zip
1 Datei(en) 20.731 Bytes

Verzeichnis von c:\Programme\TuneUp Utilities 2008\Data

27.05.2008 13:34 2.839 ExplorerLine.png
1 Datei(en) 2.839 Bytes

Verzeichnis von c:\WINDOWS

14.04.2008 04:22 1.036.800 explorer.exe
04.08.2004 16:00 80 explorer.scf
2 Datei(en) 1.036.880 Bytes

Verzeichnis von c:\WINDOWS\$hf_mig$\KB938828\SP2QFE

13.06.2007 15:10 1.036.288 explorer.exe
1 Datei(en) 1.036.288 Bytes

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

13.06.2007 15:21 1.036.288 explorer.exe
1 Datei(en) 1.036.288 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

14.04.2008 04:22 1.036.800 explorer.exe
1 Datei(en) 1.036.800 Bytes

Verzeichnis von c:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b

14.04.2008 04:22 1.036.800 explorer.exe
1 Datei(en) 1.036.800 Bytes

Anzahl der angezeigten Dateien:
13 Datei(en) 6.622.040 Bytes
0 Verzeichnis(se), 103.841.169.408 Bytes frei

Ah ja und vom Tune Up Utilities hab ich diesen Reg-Cleaner durchlaufen lassen

lg Peter

#20 Hi,

es gibt zwei explorer.exe auf dem Rechner, verschiedene Grössen

2007-06-13 13:21:45 1,036,288 ----a-w C:\WINDOWS\explorer.exe
+ 2008-04-14 02:22:45 1,036,800 ----a-w C:\WINDOWS\explorer.exe

lade beide hoch, lasse sie prüfen + poste beide Reporte

Virustotal http://www.virustotal.com/flash/index_en.html

2007-06-13 13:21:45 1,036,288 ----a-w C:\WINDOWS\explorer.exe
+ 2008-04-14 02:22:45 1,036,800 ----a-w C:\WINDOWS\explorer.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hmmm habe nur eine explorer.exe gefunden :S

Hier der Report:

ntivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.15 -
AntiVir 7.8.0.55 2008.06.14 -
Authentium 5.1.0.4 2008.06.15 -
Avast 4.8.1195.0 2008.06.15 -
AVG 7.5.0.516 2008.06.14 -
BitDefender 7.2 2008.06.15 -
CAT-QuickHeal 9.50 2008.06.14 -
ClamAV 0.92.1 2008.06.15 -
DrWeb 4.44.0.09170 2008.06.15 -
eSafe 7.0.15.0 2008.06.15 -
eTrust-Vet 31.6.5873 2008.06.14 -
Ewido 4.0 2008.06.15 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.15 -
Fortinet 3.14.0.0 2008.06.15 -
GData 2.0.7306.1023 2008.06.15 -
Ikarus T3.1.1.26.0 2008.06.15 -
Kaspersky 7.0.0.125 2008.06.15 -
McAfee 5317 2008.06.13 -
Microsoft 1.3604 2008.06.15 -
NOD32v2 3187 2008.06.15 -
Norman 5.80.02 2008.06.13 -
Panda 9.0.0.4 2008.06.15 -
Prevx1 V2 2008.06.15 -
Rising 20.48.62.00 2008.06.15 -
Sophos 4.30.0 2008.06.15 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.15 -
TheHacker 6.2.92.350 2008.06.14 -
VBA32 3.12.6.7 2008.06.14 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.15 -
weitere Informationen
File size: 1036800 bytes
MD5...: 418045a93cd87a352098ab7dabe1b53e
SHA1..: 98b9ad668e0727be888b861f49aac0f72725e634
SHA256: 81419093ccb985da284931fa3df41c4cfe25350db1c366792903411819371664
SHA512: 15aed88028fb4dcd35ffc4191356ee3d81298761ed1ee12f418bae01e769657f
79751c80b02ef01d088334f003c017f7866dc169e34f75b8a112a92a6e36ee44
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x101a55f
timedatestamp.....: 0x48025c30 (Sun Apr 13 19:17:04 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44c09 0x44e00 6.38 8c58c76b600f5aee7f7c7242454b9a1f
.data 0x46000 0x1db4 0x1800 1.30 983f35021232560eaaa99fcbc1b7d359
.rsrc 0x48000 0xb2f64 0xb3000 6.64 f7df812e2e64b1514d61a9681fbe71da
.reloc 0xfb000 0x374c 0x3800 6.78 ec335057489badbf6d8142b57175fd91

( 13 imports )
> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW
> BROWSEUI.dll: -, -, -, -
> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, CreateRectRgnIndirect, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, SetTextColor, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode
> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, OpenEventW, DelayLoadFailureHook, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, GetFileAttributesExW, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, MulDiv, InitializeCriticalSectionAndSpinCount, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, RegisterWaitForSingleObject
> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf
> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess
> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop
> OLEAUT32.dll: -, -
> SHDOCVW.dll: -, -, -
> SHELL32.dll: -, -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHGetSpecialFolderLocation, ShellExecuteExW, -, -, -, SHGetSpecialFolderPathW, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -
> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, -, StrCmpNW, -, -
> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, CopyRect, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, PtInRect, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, ModifyMenuW, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW
> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed

( 0 exports )

#22 «

Click Start - Ausführen - sigverif - OK
click OK and Start.
Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) und kopiere die sigverif.txt


__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo, habe den Scan gemacht, bin aber zu keinem Fenster gekommen, dass ich die genannte Datei speichern kann. Habe dann die Festplatte durchsucht und die Datei unter C:\WINDOWS gefunden:

lg Peter

#24

Zitat

[c:\windows]
explorer.exe 14.04.2008 2:5.1 Signiert sp3.cat Microsoft Windows Component Publisher

es ist in Ordnung.
Jedenfalls ist die exe signiert von MS.

belassen wir es also dabei, wenn es noch Probleme geben sollte - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Also, wollt mich jetzt abschließend noch einmal für deine Mühe und Hilfe bedanken. Jetzt "läuft" der Firmenrechner wieder gut Wenn ich auf mich alleine gestellt gewesen wär, hätt ich ihn wahrscheinlich neu aufsetzen müssen, wobei die ganze "Software-Zamsucherei" und Installiererei auf an Firmenrechner immer mühsam ist, außerdem gibt man nicht gern zu, dass man sich auf an Firmenrechner an Virus oder Spyware eingefangen hat.

Also nochmal vielen lieben Dank!