Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bitte, bitte - ich brauche Hilfe!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.12.2005, 01:58   #1
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Unglücklich

Bitte, bitte - ich brauche Hilfe!



Hallo zusammen,

ich bin völlig fertig mit den Nerven, weil ich den Rechner dringend brauche und drauf angewiesen bin.
ICh bin völlig mit den Nerven runter, weil ich den PC am Montag dringend für die Uni brauche!!

Ich habe mir irgendwie einen Smitfraud.C Trojaner alias W32.sinnaka.A eingefangen.
Ich werde den Mist nicht mehr los, Spybot hat nicht geholfen und diese smitrem-Geschichte auch nicht.
AntiVir hat ein Trojaner-Programm (irgendwas mit "Z" oder so gefunden und gelöscht).

Das Problem ist wohl der Registry-Eintrag, den Spybot nicht löschen kann. Und ich bin auch zu doof dafür, das allein zu schaffen.
Und Windows meldet die ganze zeit, der Computer sei infiziert...
Achso: Und spyaxe will er natürlich auch dauernd installieren...

Ich habe gemäß Eurer Anleitung das HiJack-Tool laufen lassen,
mit folgendem Ergebnis:


Logfile of HijackThis v1.99.1
Scan saved at 02:53:11, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPERSONAL\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\AVPersonal\AVGNT.EXE
D:\Quicktime\iTunesHelper.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\HJ\HijackThis.exe

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAD2C.tmp (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinVNC] "C:\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/208c58cc...dxIE601_de.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resourc...scbase2213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119388370625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123674294421
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsi...eUploader3.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEDAECF-C02D-4A0A-8DB6-486A36885D38}: NameServer = 217.237.151.97 217.237.148.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\RealVNC\WinVNC\winvnc.exe" -service (file missing)



Ich kann nicht mehr als ganz inständig darum bitten, daß ihr mir helft - BITTE!!!


Ich bin sonst verratzt...


M.

Alt 04.12.2005, 08:13   #2
cacatoa
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



So auf die schnelle: Lass erst mal Spysweeper drüberlaufen.
Schau was passiert und melde Dich wieder.
Aber auch die Abarbeitung dieser Anleitung ist bei weitergehenden Problemen sehr hilfreich. Genau dran halten.
cacatoa
__________________

__________________

Alt 04.12.2005, 10:24   #3
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Die smitrem-Geschichte hatte ich ohne Erfolg probiert...

Ich lade gerade die Trial-Version diesem Spysweep runter und versuche mal, ob es hilft...


Wenn das Ding morgen nicht flott ist, bin ich verloren...



M.
__________________

Alt 04.12.2005, 10:59   #4
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Also...

Spysweeper hat nichts gefunden (nur Cookies) -

ich habe jetzt festgestellt, daß nach dem Start des IE automatisch dieses Spyaxe runtergeladen wird.

Ich habe das per Startschutz von Spysweeper jetzt geblockt, aber das hilft ja nicht wirklich, mein Problem zu lösen...


Spybot erkennt als einziges Programm den "Smitfraud.c", kann das Problem aber nicht fixen. Und die smitrem-Behebung hat bei mir nicht funktioniert.


Ich poste noch mal einen aktuellen HJ-Log, ok?

Verdammt, ich brauche Hilfe... ich ruf auch gern jemanden an...



Logfile of HijackThis v1.99.1
Scan saved at 11:58:34, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPERSONAL\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\AVPersonal\AVGNT.EXE
D:\Quicktime\iTunesHelper.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\xxxx\Desktop\HJ\HijackThis.exe

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hpAD2C.tmp (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinVNC] "C:\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/208c58cc741044183406/netzip/RdxIE601_de.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase2213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119388370625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123674294421
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEDAECF-C02D-4A0A-8DB6-486A36885D38}: NameServer = 217.237.151.97 217.237.148.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\RealVNC\WinVNC\winvnc.exe" -service (file missing)



M.

Alt 04.12.2005, 11:13   #5
Sunahara
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



zum thema spyaxe gibt's hier doch schon nen ellenlangen thread... http://www.trojaner-board.de/showthr...ghlight=spyaxe

vielleicht hilft auch diese schritt-für-schritt-anleitung weiter: http://virus-protect.net/artikel/spyware/spyaxe.html


Alt 04.12.2005, 11:13   #6
hoerni26
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Hallo,

dann arbeite doch mal Diesesab.
Aber halte dich genau an die anleitung.
dies sollte helfen.

gruß
__________________
--> Bitte, bitte - ich brauche Hilfe!

Alt 04.12.2005, 12:08   #7
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



So, ich bins wieder...

Mit dem Programm "Super Ad Blocker" (15 Tage Trial) habe ich es geschafft, das Meiste zu löschen.
Das Spyaxe-Popup ist weg, das Programm wird auch nicht mehr downgeloadet.

Ich habe nach der geposteten Anleitung die smitrem.reg ausgeführt und mit dem Hoster die originalen Hosts wiederhergestellt.

Einziges Problem:

Das Spybot zeigt immer noch den smifraud.C Registry Change an:

Smitfraud-C.: User settings (Registry change, nothing done)
HKEY_USERS\S-1-5-21-484763869-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4


Wie kriege ich das noch weg?


Hier noch mal der aktuelle HJ-Scan:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:53, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AVPERSONAL\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\AVPersonal\AVGNT.EXE
D:\Quicktime\iTunesHelper.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
D:\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Marc\Desktop\HJ\HijackThis.exe

O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file)
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WinVNC] "C:\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/208c58cc741044183406/netzip/RdxIE601_de.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase2213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119388370625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123674294421
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: SABWinLogon - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\RealVNC\WinVNC\winvnc.exe" -service (file missing)


Ich weiß nicht, wie man HJ bedient -
wer hilft mir?


M.

Alt 04.12.2005, 12:13   #8
hoerni26
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



na dann lade dir Regseeker runter und lasse ihn drüberlaufen.
das sollte dann klappen.
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 04.12.2005, 12:39   #9
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Ganz lieb Danke für Deine Hilfe,
hat aber leider nicht funktioniert -
er hat zwar viel gelöscht, aber offensichtlich nicht den besagten Eintrag...

Spybot meldet immer noch:

Smitfraud-C.: User settings (Registry change, nothing done)
HKEY_USERS\S-1-5-21-484763869-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\free-spy-cam.net\*!=W=4




M.

Alt 04.12.2005, 12:40   #10
hoerni26
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



dann im abgesicherten modus laufen lassen.
und alles löschen was das programm findet.
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 04.12.2005, 12:50   #11
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Darf ich auch so mutig sein und die Einträge das Programm manuell löschen lassen?

Ich habe das Ding nach "free-spy-cam.net" suchen lassen und 2 Einträge gefunden.

Darf ich die löschen?


Sie befinden sich unter HKEYcurrentuser - Software - Microsoft - Windows - Current version - Internet settings - Zone Map - Domains

sowie: - Esc Domains



Kann man die halbwegs risikolos löschen lassen?


M.

Alt 04.12.2005, 13:02   #12
Wildone
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Hallo,
ja kannst du, achte darauf das sicherheitshalber bei "backup before deletion" ein Haken ist.


Grüße Wildone

Alt 04.12.2005, 13:02   #13
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Ich antworte mir mal selbst:

Ich habs jetzt einfach getan (yes, I did it! ), und Spybot zeigt nichts mehr an.


Mit welchem guten (!) Scanner kann ich denn jetzt prüfen, ob wirklich alles ok ist?
Denkt ihr, es ist jetzt alles weg?


Und kann mir ernsthaft etwas passiert sein durch die Infektion?
Ich habe kein Onlinebanking, ebay oder andere Paßwörter genutzt in der Zeit...

Danke für die Antworten!


M.

Alt 04.12.2005, 13:11   #14
Wildone
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Hallo,
du kannst mal noch zur Kontrolle einen Onlinescan bei Panda machen.
Zitat:
Und kann mir ernsthaft etwas passiert sein durch die Infektion?
Schwierig zu sagen, normalerweise eher nicht, da der Trojaner eher dazu animieren will das Programm zu kaufen als Kompettzugriff zu bekommen, aber 100%ig ausschließen kann man nichts.
Ansonsten bleibt zu sagen, gerade wenn der Rechner so wichtig ist, wäre ein Image für Notfälle nicht die schlechteste Idee, z.B. mit Acronis True Image. Auch solltest du den IE sicher konfigurieren und dir mal Gedanken über das Konzept mit eingeschränkten rechten zu arbeiten, näheres hier.


Grüße Wildone

Alt 04.12.2005, 13:16   #15
amBoden
 
Bitte, bitte - ich brauche Hilfe! - Standard

Bitte, bitte - ich brauche Hilfe!



Hey Du Wilder!


Panda läuft gerade...

Habe ich denn sonst noch was Schlimmes auf dem Rechner?
Aus diesem HJ-Log werde ich wenig schlau...


Was ich schlimm fand, daß trotz aller Security-Updates, trotz Firewall, trotz AntiVir, trotz Spybot das Ganze passiert ist und mir keines der Programme wirklich helfen konnte...

Ich bin heute Nacht tausend Tode gestorben..


Ich melde mich gleich wieder mit den Scan-Ergebnissen von Panda...


M.

Antwort

Themen zu Bitte, bitte - ich brauche Hilfe!
adobe, adobe reader, bho, brauche hilfe, computer, desktop, dll, document, dringend, einstellungen, explorer, hijackthis, internet, internet explorer, löschen, monitor, nvidia, object, problem, programme, rundll, symantec, system, trojaner, windows, windows xp



Ähnliche Themen: Bitte, bitte - ich brauche Hilfe!


  1. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  2. Bitte mal anschauen! Brauche Hilfe
    Log-Analyse und Auswertung - 21.08.2009 (13)
  3. Brauche mal bitte eure hilfe
    Mülltonne - 14.01.2009 (2)
  4. hilfe bitte ich brauche euch....
    Mülltonne - 11.11.2008 (0)
  5. Brauche bitte HILFE !
    Mülltonne - 09.10.2008 (0)
  6. Brauche bitte Hilfe!
    Log-Analyse und Auswertung - 09.09.2008 (10)
  7. Brauche Hilfe Bitte
    Plagegeister aller Art und deren Bekämpfung - 16.07.2008 (3)
  8. eScan Log - Bitte ich brauche Hilfe!
    Mülltonne - 02.12.2007 (2)
  9. bitte brauche hilfe
    Log-Analyse und Auswertung - 19.03.2006 (6)
  10. Brauche Hilfe Bitte!
    Log-Analyse und Auswertung - 01.11.2005 (11)
  11. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  12. Brauche mal bitte Hilfe
    Log-Analyse und Auswertung - 23.05.2005 (7)
  13. Bin neu....brauche bitte Hilfe
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (1)
  14. Bitte , ich brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (2)
  15. brauche Hilfe bitte
    Log-Analyse und Auswertung - 05.02.2005 (6)
  16. Brauche Hilfe bitte
    Log-Analyse und Auswertung - 28.11.2004 (7)
  17. Brauche Hilfe Bitte!!!!
    Plagegeister aller Art und deren Bekämpfung - 07.07.2004 (3)

Zum Thema Bitte, bitte - ich brauche Hilfe! - Hallo zusammen, ich bin völlig fertig mit den Nerven, weil ich den Rechner dringend brauche und drauf angewiesen bin. ICh bin völlig mit den Nerven runter, weil ich den PC - Bitte, bitte - ich brauche Hilfe!...
Archiv
Du betrachtest: Bitte, bitte - ich brauche Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.