Spyware, Adware und Trojaner - Um himmelswillen |
||
---|---|---|
#0
| ||
16.11.2008, 22:20
Member
Beiträge: 47 |
||
|
||
17.11.2008, 02:48
Ehrenmitglied
Beiträge: 6028 |
#2
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”> "Quickscan durchfuehren". “Update “> klicke “Suche nache Aktualisierungen“ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Download: Trend Micro Hijack This™ Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator". __________ MfG Argus |
|
|
||
18.11.2008, 20:30
...neu hier
Beiträge: 3 |
#3
Hallo zusammen,
habe dieses Erlebnis vor ca. 2 Stunden auch gehabt mit dem pro-scan-online als ich eben in meinen Account vom Onlinehaus Auvito gehen wollte. War so schockiert, dass ich mir ein angebliches Würmchen entfernen lies. Als ich aber dann noch für die restlichen 69 befallenen Dateien was herunterladen sollte, haben meine Alarmglocken geklingelt und ich habe zuerst mal mit Ewindo und AnitVir alles durchgescannt, war aber nichts. Die finden aber auch nicht alles. Hoffe ich habe mir nichts eingefangen und das jetzt bei mir auch ist!? Hatte noch einen alten "Hijack This" und es mal gemacht. Kann ich das Logfile einfach so hier hereinkopieren dass mal jemand schauen könnte ob was ist oder sollte sowas lieber nicht öffentlich gezeigt werden???? Kenne mich mit sowas nicht so aus. Bitte um Antwort! Liebe Grüße allalias |
|
|
||
18.11.2008, 20:50
Moderator
Beiträge: 5694 |
||
|
||
18.11.2008, 23:24
...neu hier
Beiträge: 3 |
#5
Hallo,
danke für den Tipp. Scheint alles clean bei mir. Habe auch gelesen, dass wenn man es nicht heruntergeladen hat nichts passieren kann. Nochmal Glück gehabt, bin auch immer ein vorsichtiges Mädchen. Beim Update von MBAM mußte ich aber meine Firewall ausschalten, obwohl ich alles freigegeben habe und sogar per Hand die Häckchen für die Freigabe der Programmeinträge gemacht habe. Vielen Dank! allalias |
|
|
||
19.11.2008, 22:20
Member
Themenstarter Beiträge: 47 |
#6
MalwareBytes
Zitat Malwarebytes' Anti-Malware 1.30Hjackthis Zitat Logfile of Trend Micro HijackThis v2.0.2 |
|
|
||
19.11.2008, 23:12
Ehrenmitglied
Beiträge: 6028 |
#7
Update MBAM und scanne nochmal
ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
19.11.2008, 23:56
Member
Themenstarter Beiträge: 47 |
#8
MalwareBytes:
Zitat Malwarebytes' Anti-Malware 1.30Combofix Zitat ComboFix 08-11-18.A2 - Drilon 2008-11-19 23:37:06.4 - NTFSx86 |
|
|
||
20.11.2008, 00:27
Ehrenmitglied
Beiträge: 6028 |
#9
cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach Neustart das neue Log __________ MfG Argus |
|
|
||
20.11.2008, 00:46
Ehrenmitglied
Beiträge: 6028 |
#10
Noch zu deine Information,es wurde ein Infizierter USB-stick,MP3 player oder Camera benutzt
Zitat activexdebugger32.exeWenn dieser Dateträger wieder angeschlossen wird,wird dein Rechner auch wieder Infiziert Info: http://virus-protect.org/artikel/spyware/activexdebugger32.html __________ MfG Argus |
|
|
||
20.11.2008, 10:50
...neu hier
Beiträge: 3 |
#11
Hallo und guten Tag,
sende zur Sicherheit doch mal meine beiden Logfiles. Für mich sind das nämlich nur bömische Dörfer. ____________________________________________________ Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1410 Windows 5.1.2600 Service Pack 1 19.11.2008 17:08:59 mbam-log-2008-11-19 (17-08-59).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 144246 Laufzeit: 1 hour(s), 58 minute(s), 7 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) _______________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:40:50, on 20.11.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\ezSP_Px.exe C:\WINDOWS\System32\ICO.EXE C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Apoint\Apoint.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\SSC Service Utility\ssc_serv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\Programme\Apoint\Apntex.exe C:\Programme\0190 Alarm\0190Alarm.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\WgaTray.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU" O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\fast.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: CD-MENU.LNK = F:\MENU.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Überwachung aktivieren.lnk = C:\Programme\YAW 3.5\yawguard.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\sony\vaio media music server\SSSvr.exe O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8308 bytes _________________________________________ Grüße allalias |
|
|
||
20.11.2008, 12:10
Member
Themenstarter Beiträge: 47 |
#12
Das mit CFScript funktioniert nicht so, muss denn in die Textdatei was rein?
Außerdem, kannst du mir vielleicht sagen wie der Laufwerkbuchstabe von dem UsbStick heißt der infiziert sein soll? Denn ich habe außer meiner Maus nichts angeschlossen (vlt. war mein Handy angeschlossen, aber da sind nur Lieder und paar Textdateien drauf). // Ach ich habs kapiert mit dem CFScript.. |
|
|
||
20.11.2008, 13:11
Ehrenmitglied
Beiträge: 6028 |
||
|
||
20.11.2008, 16:59
Member
Themenstarter Beiträge: 47 |
#14
Ich habe nun die CFScript.txt mit Inhalt
Zitat File::durchsucht, dann kam SDE (oder so) mit ner Fehlermeldung, can't find directory. |
|
|
||
20.11.2008, 17:44
Moderator
Beiträge: 5694 |
#15
Ich werde übernehmen nach Rücksprache mit Arnold.
Schritt für Schritt: 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat KILLALL::2. Nun packst du diese txt Datei mit der rechten Maustaste (nicht klicken) und ziehst es auf das Combofixsymbol auf dem Dektop, dann loslassen Dannach combofix nochmals anwenden. Gruss Swiss |
|
|
||
Ich bin durch zufall auf einen Link gestoßen der mich zum Pro-Scan-Online weitergeleitet hat (siehe _Entfernt_) nun schwanke ich mit dem Gedanken ob meine Bankdaten und Passwörter noch sicher sind oder nicht schon in irgendwelchen Warez Boards schon public gemacht worden sind.
Ich hoffe auf Antwort.
Grüße Drilon
// Naja, toll dieses Pro-Scan war die Spyware Reingelegt.. wie bekomm ich nun diesen kack wieder weg =/
Zitat
http://www.trojaner-info.de/news2/antivirus-2009-virenschutz.shtml