Trojaner Bzw Spyadware Vermutet!!

#1 Guten Morgen,

Ich habe scheinbar ein Problem mit meinen Pc der bei manchen Installationen hängen bleibt bzw nicht richtig reagiert, vielleicht kannn mir einer dabei helfen!?
Danke im Vorraus!

Angefangen hat mein Problem bei diversen Installationen von Original CDs(DVDs), mein Rechner startete die installation, im Taskmgr wurde die Installation nicht aber als Setup oder dergleichen angegeben sondern als set24.tmp oder set7.tmp und ähnliches, das ist noch nicht das was mich hat vermuten lassen das meinPc Befallen ist sondern die Tatsache das meinPC extrem langsam wurde und die Installation nicht abgeschlossen wurde.

Ich habe meine Cartition dnach neu aufgesetzt das Problem jedoch wurde nicht aufgehobenelbst nach der Neuinstallation habe ich immer noch das gleiche Problem!

Logfile of HijackThis v1.99.1
Scan saved at 08:30:56, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Uniblue\ProcessQuickLink 2\ProcessQuickLink2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue ProcessQuickLink 2] "C:\Programme\Uniblue\ProcessQuickLink 2\ProcessQuickLink2.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

---------------------------------------------------------------------

#2 Hallo

wende cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

wende Combofix an , klicke die Warnmeldung weg + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Bitteschön...schauen wir mal! Und danke !

ComboFix 08-10-10.09 - ChopSuey1981 2008-10-11 10:54:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1641 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ChopSuey1981\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-11 10:52 . 2008-10-11 10:52 <DIR> d-------- C:\WINDOWS\LastGood
2008-10-11 09:09 . 2008-10-11 09:14 <DIR> d-------- C:\log
2008-10-11 09:09 . 2008-10-11 10:36 23 --a------ C:\WINDOWS\BlendSettings.ini
2008-10-11 08:40 . 2008-10-11 08:40 864 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-11 08:30 . 2008-10-11 08:30 <DIR> d-------- C:\hijack
2008-10-11 08:05 . 2008-10-11 08:05 <DIR> d-------- C:\Programme\Bethesda Softworks
2008-10-11 02:34 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-10-11 02:34 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-10-11 02:34 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-10-10 23:58 . 2008-10-10 23:58 <DIR> d-------- C:\Programme\Alwil Software
2008-10-10 23:57 . 2008-10-10 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\ChopSuey1981\Anwendungsdaten\Malwarebytes
2008-10-10 23:57 . 2008-10-10 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-10 23:53 . 2008-10-10 23:53 <DIR> d-------- C:\VundoFix Backups
2008-10-10 23:34 . 2008-10-11 00:33 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-10 23:34 . 2008-10-10 23:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 23:16 . 2008-10-10 23:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\ChopSuey1981\Anwendungsdaten\SecuROM
2008-10-10 23:16 . 2008-10-10 23:16 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-10-10 23:10 . 2008-10-10 23:10 <DIR> d-------- C:\Programme\Uniblue

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 06:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-10 20:53 --------- d-----w C:\Programme\Deep Silver
2008-10-10 20:39 --------- d-----w C:\Programme\USB Headset
2008-10-10 20:37 --------- d-----w C:\Programme\ICQ6
2008-10-10 20:37 --------- d-----w C:\Dokumente und Einstellungen\ChopSuey1981\Anwendungsdaten\ICQ
2008-10-10 20:30 --------- d-----w C:\Programme\Windows Live
2008-10-10 20:27 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-10 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-10 20:17 --------- d-----w C:\Programme\Sygate
2008-10-10 20:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 19:44 --------- d-----w C:\Programme\CCleaner
2008-10-10 19:25 --------- d-----w C:\Programme\Realtek
2008-10-10 19:25 --------- d-----w C:\Dokumente und Einstellungen\ChopSuey1981\Anwendungsdaten\InstallShield
2008-10-10 19:24 16,376 ----a-w C:\WINDOWS\gdrv.sys
2008-10-10 19:23 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-10-10 19:21 --------- d-----w C:\Programme\Yahoo!
2008-10-10 19:21 --------- d-----w C:\Programme\Intel
2008-10-10 19:16 --------- d-----w C:\Programme\nvidia
2008-10-10 19:16 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-10-10 19:11 --------- d-----w C:\Programme\microsoft frontpage
2008-10-10 19:10 --------- d-----w C:\Programme\Online-Dienste
2008-10-10 19:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
.

((((((((((((((((((((((((((((( snapshot@2008-10-11_ 8.17.41,10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-07-31 16:50:36 51,200 ----a-w C:\WINDOWS\system32\dumphive.exe
+ 2008-05-18 19:40:35 82,944 ----a-w C:\WINDOWS\system32\IEDFix.exe
+ 2003-06-05 19:13:00 53,248 ----a-w C:\WINDOWS\system32\Process.exe
+ 2006-04-27 15:49:30 288,417 ----a-w C:\WINDOWS\system32\SrchSTS.exe
+ 2006-01-09 08:36:06 40,960 ----a-w C:\WINDOWS\system32\swsc.exe
+ 2007-09-05 22:22:23 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
+ 2007-10-03 22:36:46 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
+ 2008-10-11 06:56:34 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_6cc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"Uniblue ProcessQuickLink 2"="C:\Programme\Uniblue\ProcessQuickLink 2\ProcessQuickLink2.exe" [2008-04-02 655640]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Deep Silver\\Rush for Berlin\\RushForBerlin.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S3 aswArKrn;aswArKrn;C:\DOKUME~1\CHOPSU~1\LOKALE~1\Temp\aswArKrn.sys [ ]
S3 cmudau32;C-Media USB UDA Sound Interface;C:\WINDOWS\system32\drivers\cmudaxu.sys [2006-03-24 1414528]

*Newly Created Service* - CSISCANNER
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\ChopSuey1981\Anwendungsdaten\Mozilla\Firefox\Profiles\xihdjyjm.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 10:54:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-11 10:54:57
ComboFix-quarantined-files.txt 2008-10-11 08:54:55
ComboFix2.txt 2008-10-11 06:17:51
ComboFix3.txt 2008-10-10 21:51:26

Vor Suchlauf: 12 Verzeichnis(se), 88.216.924.160 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 88,202,035,200 Bytes frei

123 --- E O F --- 2008-10-11 08:52:52


HALLOOOO STEH ICH HIER AUF DER IGNORIER LISTE!!!!!!!!!!!!

#4 Hallo Samael1981
Hier steht keiner auf der Ignorier-Liste !
Nicht jeder Moderator ist ständig online.
Du schriebst, dass das System auch nach einer Neuinstallation nicht richtig funktioniert (formatiert+neu aufgesetzt -?)
Das Log lassen wir mal lieber von Sabina auswerten, mir kommt zwar einiges in Windows und Sys32 etwas komisch vor, aber ich bin mir da nicht 100 pro Sicher,-wenn das wirklich einige bad-Einträge sind, so stellt sich die Frage, wodurch sie gleich auf's neue System gelangt sind. (gleich wieder mit 'nem verseuchten USB Stick an den Rechner ?? MBR- verseucht??) Deshalb warten wir lieber mal ab ...!

#5 oh dank... für deine antwort!

ich habe meine c: partition gelöscht formatiert neu aufgesetzt!

e: und d: nicht vielleicht liegt es ja daran...ich wollte die nicht kickn da dort viele wichtige daten druf sind... na mal sehen wann es weiter geht!

sowas ist echt ärgerlich!

#6 Samael1981

Zitat

HALLOOOO STEH ICH HIER AUF DER IGNORIER LISTE!!!!!!!!!!!!

Also auf sowas hier ist gar niemand angewiesen. Wir sind so oft hier wie möglich vorallem die Mods und geben uns Mühe zu helfen. Und dann können wir einmal innert 3 Stunden nicht antworten und scho so eine Aussage? Dies ist ein Gratisforum und kein Support welcher tu teuer bezahlen musst. Folglich bitte ich Dich den Ton ein wenig zu senken.

>>
Wende Malwarebytes an, vorher updaten,lass das gefundene löschen - Log posten
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#7 zuallererst entschuldige ich mich dafür....war nicht ganz so fein stimmt schon....ich werd mal ein logfile machen !

tschuldigung!



Einmal den LOg!

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1253
Windows 5.1.2600 Service Pack 2

11.10.2008 15:43:20
mbam-log-2008-10-11 (15-43-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 59944
Laufzeit: 6 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#8 ich bin gerade nach Hause gekommen, hatte dir von der Firma aus (in einer Pause) geantwortet...
Nun also die Combofix-Auswertung : die ist o.k. - keine Beschwerden in Sicht und malwarebytes hat auch nix gefunden.
Macht der Rechner noch Probleme ?

Zitat

sondern die Tatsache das meinPC extrem langsam wurde und die Installation nicht abgeschlossen wurde.

was hast du denn da installieren wollen ?
__________
MfG Sabina

rund um die PC-Sicherheit

#9 es geht dabei um zwei spiele einmal um oblivion wobei der erst die setup öffnet diese aber dann in eine *.tmp (ersichtlich im taskmgr) umwandelt das extreme daan ar das der pc dann extrem langsam wurde...das gleiche problem bei rush for berlin aus einer pc zeitschrift! na den neuaufsetzen der cartition hatte ich das gleiche problem...

um ein paar *.tmp beispiele zu nennen.

set24.tmp
set40.tmp
set89.tmp
set11.tmp

sprich es ist nie die gleiche *.tmp hintereinander...

meist mit set am anfang dahinter dnn eine zweistellige nummer!

ich habe etliches im endeffekt über den rechner gejagt und so ziemlich jedes program gab mir virenbefall oder ähnliches an!

jetzt hab ich mich dazu gerrungen einmal das ganze system neu aufzusetzen....

weil irgendwie ist da der wurm drinne das denke bzw hoffe ich sollte doch im endeffekt helfen!?

#10 ich will nichts gegen Programme aus Computerzeitschriften sagen - aber ich vermeide diese ... es kann sein, dass sie nicht kompatibel mit deinem System sind, oder Fehler beinhalten.
Dein System ist in Ordnung, die Software dieser CD wahrscheinlich nicht.
__________
MfG Sabina

rund um die PC-Sicherheit