Spyware?

13.03.2007, 23:52

Hallo Dirk

im Jahre 2005 hatte ich mal den Spysherriff drauf, der mir u.a. mein Desktop zerschossen hat. Mit Logfile posten, Ad Aware usw habe ich es dann mit Deiner Hilfe wegbekommen. Irgendwie.

Jetzt bekam ich gerade eine Viruswarnung, habe erst mein Norton rennen lassen und da stand wieder was vom Spy Sherriff, allerdings ist bisher nichts weiter passiert, was zB den Desktop angeht.

Ich habe Ad Aware wieder rennen lassen und critische Files gelöscht.

So weit ist eigentlich alles ok, bis auf eine Meldung, die nicht weggeht und zwar in der Menüleiste unten rechts ist ein weisses X auf rotem Grund und es tut sich ständig ein Fenster auf mit "your computer is infected.... soll Programme runterladen, die spyware killen usw.

Jetzt habe ich über Hijack This ein logfile erstellt.

Kannst Du mir helfen? Bin ich infiziert, oder ist alles soweit ok?

Wäre Dir sehr dankbar, wenn Du Dir das mal ansehen könntest. Falls was nicht ok ist, was muss ich tun? Achtung: Bin zwar nicht völlig unbedarft, aber auch kein PC-Crack, erbitte deshalb möglichst Schritt-für-Schritt-Anweisungen.

Vielen Dank schon mal im Voraus-
schön, dass es Euch gibt !!!

LG
Arne

Logfile über Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 00:33:27, on 14.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 3.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\winstall.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Arne\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.e xe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 3.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.ex e /r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - https://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - https://aolcc.aol.de/computercheckup/qdiagcc.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

14.03.2007, 07:39

Moin,

C:\winstall.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

FIXEN und anschließend manuell im Explorer aufsuchen und löschen.

In einem anderen Forum >
https://www.wintotal-forum.de// ... 123.0.html
kannst du nähere Einzelheiten zur Behandlung dieses Bösewichts lesen.

14.03.2007, 20:58

Hallo Schmidtchen,

scheint funktioniert zu haben, die Meldung ist weg.

Vielen Dank !

LG
Sleepless

15.03.2007, 07:08

Moin,
das freut mich für dich. Hatte dir dein Norton Security das gemeldet?
Du kannst dich auch hier >
https://www.dirks-computerecke.de/sicherheit.htm
zusätzlich über 'Sicherheiten' informieren. Da gibt's auch Links zu Freeware.

15.03.2007, 22:38

hi

nein, Norton hatte es nicht gemeldet, die beschriebene Meldung in der Menüleiste ist aufgetaucht. Norton hat dann beim Scan 1 Virus entdeckt, konnte den aber nicht löschen. Nach dem scan hat Norton noch "1 weitere Bedrohung, die kein Virus ist (Spy Sheriff)" angezeigt. Aber ob der wirklich drauf war, bezweifel ich, denn diesmal is nix kaputtgegegangen.
Dann bin ich halt mit Ad Aware drüber und hab alle angezeigten kritischen files gelöscht. Und mit Deiner Hilfe ist die Meldung dann weggegangen.

Ist das eigentlich richtig, dass sich mehrere Anti-Virenprogramme auf einem Rechner beißen?

Danke für den link,

Sleepless

15.03.2007, 23:06

hi schmidtchen, ich nochmal

soeben wollte ich über den Internet-Explorer meine temp. Dateien und den Verlauf löschen. Da springt mir Norton ins Gesicht mit "HOHES RISIKO" und schwupps war die Meldung in der Menüleiste wieder da.
Ich habe Deine Schritte (winstall fixen und dann löschen) nochmal ausgeführt und den PC neu gestartet. Nu is die Meldung wieder weg.
Mach ich irgendwas falsch, weil die Meldung wieder aufgetaucht ist?

Werde mich jetzt mal auf der Antiviren-Seite von Euch umsehen.

Gruß
Sleepless
PS über den Internetexplorer gehe ich übrigens nie rein, imer über AOL

PPS: Windows Firewall war auch nicht aktiviert. Aber jetzt. Hoffe, ich kann Dich jetzt in Ruhe lassen

. Danke nochmal.

16.03.2007, 07:49

Moin,
diese beiden Einträge

C:\winstall.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

sind beim erneuten Check mit HJT wieder da?
Mach das Fixen und Löschen noch einmal im 'abgesicherten Modus'.
Schalte vorher aber die Systemwiederherstellung kurzfristig ab. (Rechtsklick auf Arbeitsplatz > Eigenschaften/Systemwiederherstellung). Nicht vergessen, nach dem Neustart wieder zuschalten.
Zu Norton allgemein kann ich selbst nichts sagen, lese aber oft von Schwierigkeiten bzgl. Verträglichkeit mit anderen Programmen.
Die AOL-Software basiert aber auch auf dem IE. Alternativ solltest du dir mal Mozilla/Firefox (mein Browser) oder Opera ansehen.
Und noch mal erinnert: Spyware wird von Virenscannern nicht erkannt.
Also auch Ad Aware immer updaten und scannen. Die Windows-Firewall ist nur bedingt tauglich. Wenn du keinen Router hast, solltest du dir eine andere zulegen, z.B. die kostenfreie von ZoneAlarm.

16.03.2007, 11:54

Hallöchen,

nachdem du den Rechner im abgesicherten Modus gestartet hast solltest du unbedingt als erstes die Systemwiederherstellung deaktiveren. Das sollte immer der erste Schritt sein.

Dann den genannten Eintrag mit der winstall.exe löschen und anschließend die .exe Datei selbst löschen.

Anschließend den Rechner wieder normal starten und ein neues Logfile mit HijackThis zur Kontrolle erstellen.

16.03.2007, 22:42

Hallo Leute,

danke für die vielen Infos

Der besagte Eintrag im Logfile war tatsächlich wieder da.
Ich habe die Schritte dann nochmal ausgeführt, zusätzlich nochmal Norton drübergejagt. Diesmal habe ich die Dateien, die Norton isoliert hat gelöscht.

Jetzt ist Ruhe. Habe gerade nochmal Logfile erstellt, der Eintrag ist weg.

Das mit der Systemwiederherstellung ausschalten hatte ich nicht beachtet, aber es scheint ja jetzt zu laufen. Werde mir Eure Tipps aber auf jeden Fall fürs nächste Mal notieren und auch nach ner zusätzlichen Firewall schauen.

Danke und viele Grüße
Sleepless

Spyware?

Spyware?

Ähnliche Themen

Spyware

Spyware

Spyware Meldung mit Spyware-Doktor

mit ezula spyware und precisionpop Spyware/Adware verseucht!

Spyware