Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Immer wieder Spysheriff & Co. Bestimmte Site?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.09.2005, 16:21   #1
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Böse

Immer wieder Spysheriff & Co. Bestimmte Site?



Hi ich hab echt ein Problem.

Immer wenn ich auf die Seite: www.minivannews.com gehe, geht die Seite schlagartig zu, es installiert sich SpySheriff, TNS etc etc und ich hab den ganzen Rechner verseucht.

Ich kann aber nicht glauben, dass es an dieser Seite liegt und ich konnte im Quelltext auch nichts finden. Es ist mir aber jetzt schon 3 x passiert immer bei dieser Seite. Kaspersky hab ich in der Testversion jetzt auch laufen, aber der hat nur angezeigt da ist was er kanns nicht löschen.

Meine Freundin hatte auf der Seite nichts, sie meinte es wäre eine friedliche Seite und sie hat auch Kaspersky und alles laufen.

Vorhin hat mir Kaspersky eine Meldung gebracht von irgendeiner IP Adresse sollte mir Lovescan verabreicht werden, erfolgreich abgewehrt. Ich hatte aber nur Win Total auf und Panda Virenscan. Es ist doch komisch???

Was ist das bloß??? Hoffentlich kann mir jemand weiterhelfen, ich wäre sehr dankbar!!! Wegen Windows, ich kann keine SP installieren.

Hier meine Daten:

Logfile of HijackThis v1.99.1
Scan saved at 16:20:13, on 11.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnwand\Pinnwand.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Aurora\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Pinnwand.lnk = C:\Programme\Pinnwand\Pinnwand.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

Liebe Grüße
Aury

Alt 11.09.2005, 19:24   #2
chaosman
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



@Aury
update dein system und IE so schnell wie möglich
scanne danach dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492
und editiere deine aktive links

chaosman
__________________

__________________

Alt 12.09.2005, 18:42   #3
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



Ok hab alles erledigt. Ich denk jedoch, dass Windows hat zwar was runtergeladen Update mässig allerdings glaub ich nicht dass es das SP2 war. Kann jedenfalls keinen Unterschied feststellen. Kann das ja noch mal manuell erledigen. Aber ich hab Angst, dass ich danach noch mehr Ärger habe. Hab gehört, wenn man einen anderen Regschlüssel benutzt, wird gleich das System gelöscht und so.

Dieses Programm hab ich im abgesicherten Modus ausgeführt. Das hat voll viel gefunden :-((( Vieles im C:\System\restore oder so, jedenfalls weiss ich nicht was ich jetzt machen soll geschweige denn wo ich das löschen kann.

Hab vorher 2 x versucht das zu kopieren, werde es jetzt in getrennten Beiträgen versuchen, jedes Mal hing das board dann fest.

Also:
__________________

Alt 12.09.2005, 18:44   #4
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



Mon Sep 12 16:50:28 2005 => System found infected with funweb Spyware/Adware ({00A6FAF6-072E-44cf-8957-5838F569A31D})! Action taken: No Action Taken.
Mon Sep 12 16:50:29 2005 => System found infected with MyWebSearchEmailPlugin Spyware/Adware ({07B18EA9-A523-4961-B6BB-170DE4475CCA})! Action taken: No Action Taken.

Mon Sep 12 16:50:31 2005 => Offending Folder found: C:\PROGRA~1\ares
Mon Sep 12 16:50:31 2005 => Object "Ares Spyware/Adware" found in File System! Action Taken: No Action Taken.


Mon Sep 12 16:50:55 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx". Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\_ISTMP2.DIR\_ISTMP0.DIR\FileGrp\Msvcrt10.dll". Action Taken: No Action Taken.

Mon Sep 12 16:50:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\NeroCoverDesigner_fra.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\NeroBackItUp_Fra.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_fra.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Tools\". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\freenetiPhone\". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".backup". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".t". Action Taken: No Action Taken.

Mon Sep 12 16:50:56 2005 => Entry "HKCR\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}" refers to invalid object "C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:57 2005 => Entry "HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:57 2005 => Entry "HKCR\CLSID\{25560540-9571-4D7B-9389-0F166788785A}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:57 2005 => Entry "HKCR\CLSID\{2B7E6AA9-C4FA-4951-815B-4AFE39D81453}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{3E720452-B472-4954-B7AA-33069EB53906}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{4C171D40-8277-11D5-AD55-00010333D0AD}" refers to invalid object "C:\Programme\Yahoo!\Messenger\yhexbmesde.dll". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{53CED2D0-5E9A-4761-9005-648404E6F7E5}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:50:58 2005 => Entry "HKCR\CLSID\{7473D296-B7BB-4f24-AE82-7E2CE94BB6A9}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\CLSID\{D9FFFB27-D62A-4D64-8CEC-1FF006528805}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\CLSID\{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}" refers to invalid object ""C:\Programme\Messenger\msmsgs.exe"". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{0D26BC71-A633-4E71-AD31-EADC3A1B6A3A}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{3E720450-B472-4954-B7AA-33069EB53906}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{4E7EC70E-735B-4D5E-9828-D83BD61E2CD7}" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\VBE\MSForms.exd". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{9DAF7386-61E3-425D-BFB2-77CB48D3B327}" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{B1250A2B-F28C-404B-BCFE-839B010A95B0}" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: No Action Taken.

Mon Sep 12 16:51:00 2005 => Entry "HKCR\TypeLib\{C8CECDE3-1AE1-4C4A-AD82-6D5B00212144}" refers to invalid object "C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL". Action Taken: No Action Taken.

Mon Sep 12 16:51:01 2005 => Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.

Mon Sep 12 16:51:01 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\MsnMessengerSetupDownloader.MsnMessen.1" refers to invalid object "{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\MsnMessengerSetupDownloader.MsnMessenge" refers to invalid object "{B38870E4-7ECB-40DA-8C6A-595F0A5519FF}". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\NetscapeMarkup" refers to invalid object "{61D8DE20-CA9A-11CE-9EA5-0080C82BE3B6}". Action Taken: No Action Taken.

Mon Sep 12 16:51:02 2005 => Entry "HKCR\NetscapeMarkup\shell\open\command" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\Netscape.exe "%1"". Action Taken: No Action Taken.

Alt 12.09.2005, 18:48   #5
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



Ich weiß nicht ob das reicht? Das File ist jedenfalls riesengroß!!!

Und hier das andere noch mal:

Logfile of HijackThis v1.99.1
Scan saved at 18:48:19, on 12.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnwand\Pinnwand.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Aurora\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Pinnwand.lnk = C:\Programme\Pinnwand\Pinnwand.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE


Alt 12.09.2005, 19:31   #6
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



So habe mal aus der Registry schon alle Schlüssel gelöscht die da aufgeführt waren!

Alt 12.09.2005, 22:09   #7
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



So na also ich hab es geschafft, die System Volume Information zu löschen, die 160 sind weg nur noch die 3 da, keine Ahnung wo die sich befinden!!!!

Aktueller log:

=> ***** Scanning Registry and File system for Adware/Spyware *****
Mon Sep 12 21:21:21 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Mon Sep 12 21:21:23 2005 => Offending Folder found: C:\PROGRA~1\ares
Mon Sep 12 21:21:33 2005 => Object "Ares Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Sep 12 21:21:34 2005 => Offending value found in HKCU\Software\FunWebProducts !!!
Mon Sep 12 21:21:34 2005 => Offending Folder found: C:\DOKUME~1\Aurora\ANWEND~1\FunWebProducts
Mon Sep 12 21:21:34 2005 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Sep 12 21:22:09 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Mon Sep 12 21:22:09 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.


Mon Sep 12 21:22:48 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Sep 12 21:22:48 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\DOKUME~1\Aurora\LOKALE~1\Temp\hijackthis.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".avc". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbl". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".game". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".leo". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".snm". Action Taken: No Action Taken.

Mon Sep 12 21:22:49 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tll". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{03819E35-56B6-42BB-9CAD-5A8768D7556B}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{03F3EB8F-BF06-488F-A808-B3A3EAD5C968}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{0661FFC2-46C1-45C8-A78D-B85144D83B47}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{0DE200BA-4B11-49C4-83F9-9E1F749E5700}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:50 2005 => Entry "HKCR\CLSID\{13973210-8B95-4B00-B4A0-87C7E6854CCE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:51 2005 => Entry "HKCR\CLSID\{398BD73C-76C2-4376-B595-5B35E4FA5F1D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:51 2005 => Entry "HKCR\CLSID\{456E55C3-6DC8-4B6A-8E72-D096E7812545}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:51 2005 => Entry "HKCR\CLSID\{46A5C24D-6EE6-438D-B389-3C48C29C2CD0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{4B718E68-C132-4319-8D3B-750FC01E7C43}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{4C7AAF4A-9414-455F-9D6D-54B3A7069DCF}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{50553481-A590-49D4-98A8-0136244F7F36}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:52 2005 => Entry "HKCR\CLSID\{6A18FCA0-C53C-4AA1-9285-7FD98EE6AEF5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:53 2005 => Entry "HKCR\CLSID\{83417D49-C236-4946-91A3-67E24F8ABBBE}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:54 2005 => Entry "HKCR\CLSID\{982A83F3-9B4D-4535-9EF6-1B45202390BC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:54 2005 => Entry "HKCR\CLSID\{B130644A-D587-4862-841D-500464FB7DB0}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:54 2005 => Entry "HKCR\CLSID\{B26FB0EE-B290-4D33-B44C-3B4A8B2FB29D}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:55 2005 => Entry "HKCR\CLSID\{BAA5FBCF-478D-4A57-AE8C-E94C6640CCAC}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:55 2005 => Entry "HKCR\CLSID\{C0655A9E-42C5-45B8-AB83-16C8E4990213}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:56 2005 => Entry "HKCR\CLSID\{D83A9597-7433-4283-AAAF-378CA2031666}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:56 2005 => Entry "HKCR\CLSID\{E0FE17FC-4A33-4F65-88BA-130DF8F1661F}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:56 2005 => Entry "HKCR\CLSID\{E74E4448-8D0A-4EF5-A432-19B0C03D0364}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:57 2005 => Entry "HKCR\CLSID\{F555C8FD-FA97-46DF-9D83-3575CE6280B4}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:22:57 2005 => Entry "HKCR\TypeLib\{0E9FFA9E-B267-44DF-BC81-2B08E3977ED5}" refers to invalid object "C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.HTMLPanel" refers to invalid object "{3E720452-B472-4954-B7AA-33069EB53906}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.HTMLPanel.1" refers to invalid object "{3E720452-B472-4954-B7AA-33069EB53906}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.PseudoTransparentPlugin" refers to invalid object "{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearch.PseudoTransparentPlugin.1" refers to invalid object "{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearchToolBar.ToolbarPlugin" refers to invalid object "{53CED2D0-5E9A-4761-9005-648404E6F7E5}". Action Taken: No Action Taken.

Mon Sep 12 21:23:02 2005 => Entry "HKCR\MyWebSearchToolBar.ToolbarPlugin.1" refers to invalid object "{53CED2D0-5E9A-4761-9005-648404E6F7E5}". Action Taken: No Action Taken.


Mon Sep 12 21:59:12 2005 => Total Objects Scanned: 53974
Mon Sep 12 21:59:12 2005 => Total Virus(es) Found: 3
Mon Sep 12 21:59:12 2005 => Total Disinfected Files: 0
Mon Sep 12 21:59:12 2005 => Total Files Renamed: 0
Mon Sep 12 21:59:12 2005 => Total Deleted Objects: 0
Mon Sep 12 21:59:12 2005 => Total Errors: 427
Mon Sep 12 21:59:12 2005 => Time Elapsed: 00:38:11
Mon Sep 12 21:59:12 2005 => Virus Database Date: 2005/09/09
Mon Sep 12 21:59:12 2005 => Virus Database Count: 148428

Und das andere (das zeigt wohl nen Virus oben an?!):

Logfile of HijackThis v1.99.1
Scan saved at 22:07:30, on 12.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Tweak-XP Pro 4\AdBlocker.exe
C:\Programme\Pinnwand\Pinnwand.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Base_X\mwavscan.com
C:\Base_X\kavss.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Aurora\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - Startup: Verknüpfung mit Pinnwand.lnk = C:\Programme\Pinnwand\Pinnwand.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

Vielleicht kann mir ja einer einen Tip geben???? Ist irgndwas auffälliges drin???? Was bedeutet das mit der IP:

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEFA675-87CF-4F6E-B854-8968D7DA9A95}: NameServer = 194.97.173.125 194.97.173.124

Komisch oder?????

DANKE im voraus!!!
Ach ja Update laden ist nicht!!!!

LG
Aury

Alt 12.09.2005, 22:29   #8
Cidre
Administrator, a.D.
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



Zitat:
Zitat von Aury
Ach ja Update laden ist nicht!!!!
Warum?! Dann hat auch eine Bereinigungsprozedur, sowie die nachfolgende Absicherungsmaßnahmen, keinen Sinn.
__________________
Gruß, Cidre


Alt 12.09.2005, 23:17   #9
Aury
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



Es liegt wohl am Lizenzschlüssel. Wenn ich SP2 lade kommt: Datei beschädigt. Vom Windows Server. Keine Chance.
Trotzdem muss ich es ja wegkriegen, falls da was drauf ist.

Also ich hab jetzt 0 Ergebnis bei escan. Hab die anderen Schlüssel auch gelöscht in der Registry.
Ist denn in diesem Hijack irgendwas gefährliches drin????

Und was ist mit dieser Seite? Im Startposting erwähnt? Kann man da irgendwie checken ob da was drauf ist? Oder warum bekommt meine Freundin da nichts und ich schon 3 mal - immer nach dem ich diese Seite aufgemacht habe? Kann es denn sowas geben?

Alt 14.09.2005, 16:40   #10
maddin0310
 
Immer wieder Spysheriff & Co. Bestimmte Site? - Standard

Immer wieder Spysheriff & Co. Bestimmte Site?



sorry,
aber das hört sich für mich nach ner gecrackten windowsversion an. Ansonsten wende dich doch mal an microsoft...



PS: Solltest du eine legale version haben, entschuldige ich mich natürlich dafür.

Antwort

Themen zu Immer wieder Spysheriff & Co. Bestimmte Site?
acrobat, adobe, bho, boot, button, check, dateien, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, kaspersky, microsoft, programme, seite, software, spyware, spyware doctor, start, system, system32, temp, windows, windows xp



Ähnliche Themen: Immer wieder Spysheriff & Co. Bestimmte Site?


  1. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  2. Firefox Verlauf verseucht: bestimmte Seite wird immer im Loop als zuletzt besucht erfasst
    Log-Analyse und Auswertung - 30.10.2014 (3)
  3. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  4. Pc wieder sehr langsam, Firefox stürzt immer wieder ab.
    Log-Analyse und Auswertung - 21.08.2013 (9)
  5. PC fährt immer wieder von alleine runter und wieder hoch
    Plagegeister aller Art und deren Bekämpfung - 04.07.2013 (13)
  6. PayPal wieder durch Cross-Site-Scripting angreifbar
    Nachrichten - 26.05.2013 (0)
  7. Musik Player harkt immer, die Seiten bauen sich langsam auf, immer wieder scheint der PC insgesamt zu harken
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (3)
  8. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  9. TR/Spy.59392.133 wird immer und immer wieder gefunden...
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (11)
  10. Firefox startet immer bestimmte Seite
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (37)
  11. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  12. Internet immer wieder langsam, dann wieder normal usw.
    Log-Analyse und Auswertung - 20.10.2010 (1)
  13. IE öffnet immer wieder werbefenster sowie geht immer wieder der ton aus
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (2)
  14. Firefox startet automatisch (immer und immer wieder)
    Log-Analyse und Auswertung - 09.01.2010 (9)
  15. immer wieder Trojaner, immer gleiches Verzeichnis
    Log-Analyse und Auswertung - 10.09.2009 (10)
  16. Media Player öffnet sich selbstständig immer und immer wieder
    Log-Analyse und Auswertung - 30.10.2008 (0)
  17. mal wieder spysheriff...
    Log-Analyse und Auswertung - 20.09.2006 (4)

Zum Thema Immer wieder Spysheriff & Co. Bestimmte Site? - Hi ich hab echt ein Problem. Immer wenn ich auf die Seite: www.minivannews.com gehe, geht die Seite schlagartig zu, es installiert sich SpySheriff, TNS etc etc und ich hab den - Immer wieder Spysheriff & Co. Bestimmte Site?...
Archiv
Du betrachtest: Immer wieder Spysheriff & Co. Bestimmte Site? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.