Desktop Hintergrund "Warning! Spyware detected on..." lässt sich nicht entfernen

#16 Hallo Andrikos

1.
Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen --> Text abkopieren
http://virus-protect.org/bat/echo.zip

2.
wende Flash_Disinfector an - der USB-Stick in F:\ muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3d13ec0-6241-11dc-84e1-ce2108718b75}]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

4.
scanne mit Counterspy + lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/counterspy1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina,

was soll ich mit dem abkopierten text von echo.bat machen?

F:\ ist aber kein Flash drive sondern eine externe Festplatte, was nun?

danke

#18 Hallo Andrikos

den text von echo.bat bitte hier posten
und f:\ nach bittorrent.exe abgrasen + entfernen (der Eintrag zeigt jedoch, dass es ein USB-Stick sein muss, wo sich die exe befindet)

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3d13ec0-6241-11dc-84e1-ce2108718b75}]
\Shell\Auto\command - F:\bittorrent.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

.
__________
MfG Sabina

rund um die PC-Sicherheit

#19 HIER DER REPORT VON ECHO.BAT:

Code

10)DPF???? 
 Ž «ζ£¦ ©«ž £¦¤α›˜ ›ε©΅¦¬ C ›œ¤ β®œ  œ« ΅β«˜
 Ž ˜¨ Ÿ£ζ ©œ ¨α «¦¬ «ζ£¦¬ œε¤˜  C0BF-AC12

 ‰˜«αΆ¦š¦ «¦¬ C:\WINDOWS\Downloaded Program Files

18/09/2003  03:13 ££    <DIR>          .
18/09/2003  03:13 ££    <DIR>          ..
28/03/2002  04:05 ££             1.268 erma.inf
26/01/2004  06:40 ££           133.120 yinsthelper.dll
26/01/2004  06:42 ££               856 yinst.inf
09/10/2003  10:32 §£               144 QTPlugin.inf
07/05/2006  10:08 ££    <DIR>          CONFLICT.1
11/06/2007  12:21 ££             5.021 swflash.inf
07/05/2003  12:26 ££           180.224 ijl11.dll
07/05/2003  12:26 ££           192.512 CamCli.dll
29/10/2004  11:01 §£           204.800 AxisCamControl.ocx
29/10/2004  11:04 §£               325 AxisCamControl.inf
12/09/2007  02:16 ££         2.635.312 ImageUploader4.ocx
              10 €¨®œε˜      3.353.582 byte

 ‰˜«αΆ¦š¦ «¦¬ C:\WINDOWS\Downloaded Program Files\CONFLICT.1

07/05/2006  10:08 ££    <DIR>          .
07/05/2006  10:08 ££    <DIR>          ..
               0 €¨®œε˜              0 byte

     ‘礦Ά¦ ˜¨®œεΰ¤ ©«ž Άε©«˜:
              10 €¨®œε˜      3.353.582 byte
               5 ‰˜«αΆ¦š¦  13.948.043.264 › ˜Ÿβ© £˜ byte
10)DPF???? 
 Ž «ζ£¦ ©«ž £¦¤α›˜ ›ε©΅¦¬ C ›œ¤ β®œ  œ« ΅β«˜
 Ž ˜¨ Ÿ£ζ ©œ ¨α «¦¬ «ζ£¦¬ œε¤˜  C0BF-AC12

 ‰˜«αΆ¦š¦ «¦¬ C:\WINDOWS\Downloaded Program Files

18/09/2003  03:13 ££    <DIR>          .
18/09/2003  03:13 ££    <DIR>          ..
28/03/2002  04:05 ££             1.268 erma.inf
26/01/2004  06:40 ££           133.120 yinsthelper.dll
26/01/2004  06:42 ££               856 yinst.inf
09/10/2003  10:32 §£               144 QTPlugin.inf
07/05/2006  10:08 ££    <DIR>          CONFLICT.1
11/06/2007  12:21 ££             5.021 swflash.inf
07/05/2003  12:26 ££           180.224 ijl11.dll
07/05/2003  12:26 ££           192.512 CamCli.dll
29/10/2004  11:01 §£           204.800 AxisCamControl.ocx
29/10/2004  11:04 §£               325 AxisCamControl.inf
12/09/2007  02:16 ££         2.635.312 ImageUploader4.ocx
              10 €¨®œε˜      3.353.582 byte

 ‰˜«αΆ¦š¦ «¦¬ C:\WINDOWS\Downloaded Program Files\CONFLICT.1

07/05/2006  10:08 ££    <DIR>          .
07/05/2006  10:08 ££    <DIR>          ..
               0 €¨®œε˜              0 byte

     ‘礦Ά¦ ˜¨®œεΰ¤ ©«ž Άε©«˜:
              10 €¨®œε˜      3.353.582 byte
               5 ‰˜«αΆ¦š¦  13.948.043.264 › ˜Ÿβ© £˜ byte
10)DPF???? 
 Ž «ζ£¦ ©«ž £¦¤α›˜ ›ε©΅¦¬ C ›œ¤ β®œ  œ« ΅β«˜
 Ž ˜¨ Ÿ£ζ ©œ ¨α «¦¬ «ζ£¦¬ œε¤˜  C0BF-AC12

 ‰˜«αΆ¦š¦ «¦¬ C:\WINDOWS\Downloaded Program Files

18/09/2003  03:13 ££    <DIR>          .
18/09/2003  03:13 ££    <DIR>          ..
28/03/2002  04:05 ££             1.268 erma.inf
26/01/2004  06:40 ££           133.120 yinsthelper.dll
26/01/2004  06:42 ££               856 yinst.inf
09/10/2003  10:32 §£               144 QTPlugin.inf
07/05/2006  10:08 ££    <DIR>          CONFLICT.1
11/06/2007  12:21 ££             5.021 swflash.inf
07/05/2003  12:26 ££           180.224 ijl11.dll
07/05/2003  12:26 ££           192.512 CamCli.dll
29/10/2004  11:01 §£           204.800 AxisCamControl.ocx
29/10/2004  11:04 §£               325 AxisCamControl.inf
12/09/2007  02:16 ££         2.635.312 ImageUploader4.ocx
              10 €¨®œε˜      3.353.582 byte

 ‰˜«αΆ¦š¦ «¦¬ C:\WINDOWS\Downloaded Program Files\CONFLICT.1

07/05/2006  10:08 ££    <DIR>          .
07/05/2006  10:08 ££    <DIR>          ..
               0 €¨®œε˜              0 byte

     ‘礦Ά¦ ˜¨®œεΰ¤ ©«ž Άε©«˜:
              10 €¨®œε˜      3.353.582 byte
               5 ‰˜«αΆ¦š¦  13.942.194.176 › ˜Ÿβ© £˜ byte

Flash_Disinfector arbeitet und sagt dann, "Done!" kann es sein das es sich hier um einen USB-Stick handelt der mal vo geraumer Zeit angeschlossen wurde?

bekomme keinen report von counterspy...ich probiers jetzt nochmal!

#20 für flashdisinfector muss ein flashlaufwerk also externe festplatte stick angeschlossen sein.
schau mal bei counterspy unter view history.

#21 Hallo Andrikos

wende das script von Combofix an, dann sollte das Problem mit dem Stick erledigt sein

die echo.bat ist in Ordnung.
Was counterspy betrifft, die haben die Software gewechselt, ich habe es noch nicht geladen/ausprobirt.
Wurde denn was gefunden ? Und ist es entfernt ?
__________
MfG Sabina

rund um die PC-Sicherheit

#22

Zitat

Sabina postete
kopiere in das weisse Feld:

Files to delete:
C:\WINDOWS\system32\ntos.exe

Es geht um herrbaer

Die "ntos.exe" enthält Backdoor Funktionen!!!
Ich würde sagen der User ist nicht mehr sicher und ich würde ihm ein ünverzügliches Neuaufsetzten inklusive ändern aller Passwörter auf einem cleanen PC raten.
Oder was meinst du Sabina?
__________
Kein Support per PN

#23 Hallo trojan-death

das problem wurde gelöst,
siehe:

Zitat

18.08.2008, 00:49
herrbaer

wsnpoem kann man reinigen, allerdings, wenn ein Rootkit mit drinhängt, sollte man formatieren
http://virus-protect.org/artikel/spyware/wsnpoem-remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24

Zitat

Sabina postete
Hallo trojan-death

das problem wurde gelöst,

Heisst ja nicht das alles weg ist oder?!?
Bei Malware mit Backdoor Funktion weiss man nie...

grüsse trojan-death
__________
Kein Support per PN

#25 nun im Fall von diesem User herrbaer kann es gut sein, dass sich noch tmp-Dateien
z.b
C:\DOKUME~1\User\LOKALE~1\Temp\.tt10.tmp
in den temporären Dateien befinden. Leider konnte ich nicht mehr nachprüfen, da er sich nicht mehr gemeldet hat.
Soll heissen, die Reinigung war noch nicht abgeschlossen.
Die Registry konnte ich auch nicht mehr durchforsten...
Der Trojaner/Backdoor an sich wurde jedoch entfernt.
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Ok, klingt vernünftig... (Soll nicht heissen, dass ich deine Fähigkeiten in frage stelle oder gestellt habe ;-))

grüsse trojan-death
__________
Kein Support per PN

#27 Hallo Sabina,
Counterspy hat nichts gefunden demnach auch nichts gelöscht!

Ichh möchte mich nochmal herzlichst für eure Hilfe bedanken, und hoffe sie nie wieder in anspruch nehmen zu müssen! (unrealistisch)

DANKE

Andy

#28 hallo sabina (oder andere versierte pcler :-)- darf ich dich/euch auch mit meinem gleichen Problem belästigen (eingefangen auf einer wallpaperseite!)!?

so sieht es bei mir auszugsweise aus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [lphc3f0j0et6t] C:\WINDOWS\system32\lphc3f0j0et6t.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169392984687
O17 - HKLM\System\CCS\Services\Tcpip\..\{40F716A8-DB2E-4E7C-988C-AD94AC6BD73B}: NameServer = 89.246.64.8 62.220.18.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{40F716A8-DB2E-4E7C-988C-AD94AC6BD73B}: NameServer = 89.246.64.8 62.220.18.8
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

Lieben Dank!!!

#29 Hallo muck0815

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [lphc3f0j0et6t] C:\WINDOWS\system32\lphc3f0j0et6t.exe

«
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit