Spyware auf dem PC

#0
04.08.2008, 13:43
...neu hier

Beiträge: 1
#1 Hi,
ich habe eine Spyware auf dem PC, die ich bisher nicht runterbekommen habe. Ich habe diese Seite jetzt von einem Freund bekommen, der sagte, dass hier mir helfen könntet. Ich bin Jetzt dabei, die Schritte nacheinander auszuführen und poste dann die Berichte. Hoffe ihr könnt mir helfen

Hier mein Ergenbis:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1022
Windows 5.1.2600 Service Pack 2

14:46:20 04.08.2008
mbam-log-8-4-2008 (14-46-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 110810
Laufzeit: 1 hour(s), 4 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.




Schritt 3:
ComboFix 08-08-03.05 - Fabio Priano 2008-08-04 14:50:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1382 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Fabio Priano\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\Fabio Priano\Lokale Einstellungen\Anwendungsdaten\uigugag.dat
C:\Dokumente und Einstellungen\Fabio Priano\Lokale Einstellungen\Anwendungsdaten\uigugag.exe
c:\Dokumente und Einstellungen\Fabio Priano\Lokale Einstellungen\Anwendungsdaten\uigugag_nav.dat
c:\Dokumente und Einstellungen\Fabio Priano\Lokale Einstellungen\Anwendungsdaten\uigugag_navps.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-04 bis 2008-08-04 ))))))))))))))))))))))))))))))
.

2008-08-04 13:39 . 2008-08-04 13:39 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-04 13:39 . 2008-08-04 13:39 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\Malwarebytes
2008-08-04 13:39 . 2008-08-04 13:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-04 13:39 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-04 13:39 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-04 13:28 . 2008-08-04 13:28 <DIR> d-------- C:\Programme\CCleaner
2008-07-19 19:04 . 2008-07-19 19:04 125,648 --a------ C:\WINDOWS\~GLC0002.TMP
2008-07-19 18:59 . 2008-07-19 18:59 125,648 --a------ C:\WINDOWS\~GLC0001.TMP
2008-07-19 18:59 . 2008-07-19 18:59 125,648 --a------ C:\WINDOWS\~GLC0000.TMP
2008-07-19 18:59 . 2008-07-19 18:59 5,607 --a------ C:\WINDOWS\~GLH0000.TMP
2008-07-19 18:57 . 2008-07-19 18:57 125,648 --a------ C:\WINDOWS\~GLC0004.TMP
2008-07-19 18:57 . 2008-07-19 18:57 125,648 --a------ C:\WINDOWS\~GLC0003.TMP
2008-07-13 23:40 . 2008-07-20 23:14 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-13 23:40 . 2008-07-20 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-13 23:21 . 2008-07-20 23:10 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 11:15 --------- d-----w C:\Programme\PokerStars.NET
2008-08-04 11:14 --------- d-----w C:\Programme\Azureus
2008-08-03 19:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-28 17:53 --------- d-----w C:\Programme\Java
2008-07-20 21:10 --------- d-----w C:\Programme\tetris 2oo5
2008-07-20 21:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-20 21:08 --------- d-----w C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\Skype
2008-07-19 01:15 --------- d-----w C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\dvdcss
2008-07-12 17:22 --------- d-----w C:\Programme\ICQToolbar
2008-07-02 21:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-21 20:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-21 20:44 --------- d-----w C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\Azureus
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 13:19 52,224 ----a-w C:\WINDOWS\ipuninst.exe
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 14:47 --------- d-----w C:\Programme\Microsoft Works
2008-06-11 14:46 --------- d-----w C:\Programme\MSBuild
2008-06-11 14:44 --------- d-----w C:\Programme\Microsoft.NET
2008-06-11 14:41 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-06-11 14:26 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-06-11 14:21 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-11 14:21 --------- d-----w C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\DAEMON Tools
2008-06-07 11:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-07-11 18:37 22,240 ----a-w C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 18:41 45056]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 23:44 761947]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-17 22:24 151552]
"RestoreIT!"="C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-23 19:27 114688]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-04-25 14:05 2764800]
"DMHotKey"="C:\Programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 11:18 356352]
"DisplayManager"="C:\Programme\Samsung\DisplayManager\DisplayManager.exe" [2006-05-03 19:22 413696]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2004-06-10 14:48 286720]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 18:33 266497]
"FLMOFFICE4DMOUSE"="C:\Programme\Trust\MI-1500X USB MOUSE\Mouse32a.exe" [2007-05-29 11:54 370176]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 23:50 88204 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 17:44 16120832 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\Fabio Priano\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 01:49:24 73728]
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-01-30 13:13:31 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 23:43]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2005-08-08 01:09]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2005-10-27 06:18]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-05-18 23:43]
R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 08:35]
S2 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;C:\DOKUME~1\FABIOP~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 23:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 23:46]
S3 SSB2413;SSB2413 Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\SSB2413.sys [2006-01-16 20:15]
S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 15:26]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0367aa60-6565-11dc-a5f7-00137707496a}]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a94c04c0-3c29-11db-ac3c-00137704d9f7}]
\Shell\AutoRun\command - E:\inre.bat

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-07-30 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job
- C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 18:36]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-catsrv - C:\Dokumente und Einstellungen\Fabio Priano\Policies\catsrv.exe
HKLM-Run-catsrv - C:\Dokumente und Einstellungen\Fabio Priano\Policies\catsrv.exe
HKLM-Run-WinampAgent - C:\Programme\Winamp\wianmpa.exe
HKLM-Run-farstone - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Fabio Priano\Anwendungsdaten\Mozilla\Firefox\Profiles\2oisehcr.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 14:52:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-04 14:53:57
ComboFix-quarantined-files.txt 2008-08-04 12:53:45

Pre-Run: 8 Verzeichnis(se), 36,814,262,272 Bytes frei
Post-Run: 11 Verzeichnis(se), 36,823,171,072 Bytes frei

154 --- E O F --- 2008-07-09 17:08:01
Dieser Beitrag wurde am 04.08.2008 um 14:56 Uhr von eversten 7 editiert.
Seitenanfang Seitenende
04.08.2008, 16:10
Member

Beiträge: 519
#2 http://board.protecus.de/t23187.htm

davon bitte alles abarbeiten und posten, danke.
Seitenanfang Seitenende
04.08.2008, 16:48
Moderator

Beiträge: 5694
#3 everesten 7

Deakiviere zudem C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

Es behindert sonst die Reinigung.

Gruss Swiss
Seitenanfang Seitenende
04.08.2008, 17:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,eversten 7

im Grunde sollte wieder alles i.o sein
wende noch navilog an - Option 1 - dann zur Reinigung Option2
http://virus-protect.org/artikel/tools/navilog.html

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende