Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Warning! Windows has detected SPYWARE INSTALLED on your computer<- was ist das??? (https://www.trojaner-board.de/10070-warning-windows-has-detected-spyware-installed-on-your-computer.html)

DeLaRomeo 25.11.2004 18:30
Warning! Windows has detected SPYWARE INSTALLED on your computer<- was ist das???
 
hallo leute ich habe wieder so eine meldung die ständig kommt wenn ich im internet bin.
z.B. wenn ich spiele gerade online werd ich aus dem spiel raus geschmissen weil diese blöde meldung kommt das ist so ein blaues fenster wenn ich daruf klicke zeigt der mir irgent welche antispy programme die ich kaufen kann
wie krieg ich das weg?????

Passat2002 25.11.2004 18:38
hi

ein hijackthis-logfile erstellen und hier posten
achtung nur version 1.98.2 verwenden und so installieren
C:\Programme\HijackThis\HijackThis.exe

DeLaRomeo 25.11.2004 18:42
Logfile of HijackThis v1.98.2
Scan saved at 18:41:09, on 25.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\System32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\ScsiAccess.EXE
C:\WINDOWS.0\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\Ergin Bal\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/d1redirect
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D4820} - C:\WINDOWS.0\System32\spm4820.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS.0\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS.0\System32\runsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Ergin Bal\Anwendungsdaten\oroe.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS.0\System32\runsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://www.movie-browser.com/tl7000.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...f6bb2aff93338e
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.webcamenvivo.com/xxx/pagomast.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{A287028F-0954-423F-93E5-5DEB1F61AE7D}: NameServer = 217.237.149.161 217.237.151.225
O18 - Filter: text/html - {1E4C73E7-B506-41B1-9D73-B8FED8A0E6C2} - C:\WINDOWS.0\System32\deihpaa.dll
O18 - Filter: text/plain - {1E4C73E7-B506-41B1-9D73-B8FED8A0E6C2} - C:\WINDOWS.0\System32\deihpaa.dll

DeLaRomeo 25.11.2004 18:43
bite schön,hoffe du kannst was damit anfangen.

Passat2002 25.11.2004 18:45
nein, ich wolllte das nur mal sehen :aplaus:

DeLaRomeo 25.11.2004 18:47
.....:bussi:

Passat2002 25.11.2004 18:55
hi kleines schertzerl

C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
könnte ungefählich sein, kenne ich nur noch nicht, daher bitte mit dem
Jotti onlinescan überprüfen
ergebnis hier posten
C:\WINDOWS.0\System32\deihpaa.dll -> ebenfalls onlinescan, ergebnis posten

das alles bei gescjlossenem Internetexplorer fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS.0\System32\runsrv32.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Ergin Bal\Anwendungsdaten\oroe.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS.0\System32\runsrv32.exe
O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://www.movie-browser.com/tl7000.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/6/files.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... 6bb2aff93338e
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.webcamenvivo.com/xxx/pagomast.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin...ess_special.ocx
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx

DeLaRomeo 25.11.2004 19:08
Service load: 0% 100%

File: backWeb-7288971.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.46 seconds taken)
Avast No viruses found (1.75 seconds taken)
BitDefender No viruses found (1.20 seconds taken)
ClamAV No viruses found (0.30 seconds taken)
Dr.Web No viruses found (0.45 seconds taken)
F-Prot Antivirus No viruses found (0.05 seconds taken)
Kaspersky Anti-Virus No viruses found (0.54 seconds taken)
mks_vir No viruses found (0.18 seconds taken)
NOD32 No viruses found (0.32 seconds taken)
Norman Virus Control No viruses found (0.34 seconds taken)

Statistics
Last piece of malware found was Trojan.Trojandownloader.Agent.Ej in NSCNTRL.0XE, detected by:

Scanner Malware name Time taken
AntiVir Heuristic/Trojan.Downloader 0.15 seconds
Avast X 1.51 seconds
BitDefender X 0.81 seconds
ClamAV X 0.32 seconds
Dr.Web X 0.51 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus TrojanDownloader.Win32.Agent.ej 0.89 seconds
mks_vir Trojan.Trojandownloader.Agent.Ej 0.20 seconds
NOD32 X 0.41 seconds
Norman Virus Control X 0.96 seconds



Service statistics:

9942 files (7195 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
2116 of those 7195 files contained a virus or any other form of malware.
This page has been visited 22897 times in this time period.
This service managed to spot 127 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 964 suspicious files without any help from scanner results.
However, 92 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 98.72% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

DeLaRomeo 25.11.2004 19:11
C:\WINDOWS.0\System32\deihpaa.dll

das konnte er nicht finden.

Cidre 25.11.2004 19:13
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)", und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" -> danach die C:\WINDOWS.0\System32\deihpaa.dll löschen

DeLaRomeo 25.11.2004 19:15
das andere hab ich gefixt nur jetzt meldet norton antivirus

das er einen virus auf meinem pc gefunden hat
bloodhunt oder so
was jetzt??? :heulen:

Cidre 25.11.2004 19:18
Poste mal den Pfad der Datei

DeLaRomeo 25.11.2004 19:25
C:\WINDOWS.0\System32\deihpaa.dll

das zeigt er trotzdem nicht an und die meldung von dem virus kann ich auch nicht mehr anzeigen lassen.
ich glaub ich hab die bösen geister vom pc geweckt... :o

Passat2002 25.11.2004 19:26
hi

C:\WINDOWS.0\System32\deihpaa.dll löschen --> wirklich schon löschen, ich hätte sie zuerst geprüft :rolleyes:

bloodhunt --> norton idee, mach einen onlinescan mit housecall

Cidre 25.11.2004 19:38
Zitat:
C:\WINDOWS.0\System32\deihpaa.dll löschen --> wirklich schon löschen, ich hätte sie zuerst geprüft
Wie will er denn die Datei überprüfen, wenn er sie nicht finden bzw. zur dieser Datei navigieren kann.

Einzige Möglichkeit wäre denn Pfad der Datei kopieren und in das Feld "Dateiname" einfügen, danach auf "Öffnen".

DeLaRomeo 25.11.2004 21:34
sooo das C:\WINDOWS.0\System32\deihpaa.dll hab ich gelöscht,
und auch auf viren gescannt dieses bloodhunt kann er nicht mehr finden aber dieses blöde fenster :headbang: ist gerade wieder gekommen,was ist das????
wiese geht das nicht weg????

DeLaRomeo 25.11.2004 21:58
ich habe etwas gefunden als ich bei datei suchen einfach antispy eingegeben habe hat er mir das hier gefunden:

ergin bal@topantispyware[1]
C:\Dokumente und Einstellungen\Ergin Bal\Cookies
89 Byte (89 Bytes)

hab es auch gelöscht aber diese seite kommet trotzdem!?

DeLaRomeo 25.11.2004 22:02
also jetzt werd ich verrückt,ich hab auf diese meldung drauf eklickt und dann kam er auf die seite www.topantispy.com
und ganz unten auf der seite stand uninstall da hab ich drauf geklickt dann kamm das:

We apologize for actions of several our advertisers. We are investigating their promotion business.
We have prepared FreeClean desktop removal utility to help to fight with desktop advertisements of our site.

If you have problems with this site follow the next steps:

1. Download and run the cleaning program here
2. Reboot your PC
3. Upgrade your windows to windows XP SP2
4. Install good antivirus protection and spyware remover.

If you have any questions dont hesitate to ask us: support@topantispyware.com

DeLaRomeo 25.11.2004 22:39
hilfe....:heulen: :heulen: :heulen: :heulen:

DeLaRomeo 25.11.2004 22:49
naja trozdem gute nacht euch allen bis dann....
:schmoll:

Shadowdance 27.11.2004 22:04
Hallo DeLaRomeo,

hast Du Deinen Rechner mit dem eScan untersucht? Lade bitte den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Wir machen das per Hand mit unseren Usern.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

DoGGiE 30.11.2004 19:25
Hey Jungs ich habe das gleiche ScheissTeil drauf und alle 30 Mins öffnet sich mein IExplorer und haut mich aus dem aktuellen Programm raus.
Hab Spybot durchlaufen lassen aber hab nichts gefunden.
Hab auch unter EigeneDateien(cookies den Cookie gelöscht aber der ist verm. gleich wieder da.
Man was ist da los?

DeLaRomeo haste inzwischen ne Lösung?

Maxinator 30.11.2004 19:44
Hallo DoGGiE,

möcht mich ja nicht wichtig machen, aber eröffne doch ein neues Thema.
Sonst verwirrt es nur unnötig. :crazy:

DoGGiE 30.11.2004 21:47
Ich bin schon verwirrt genug.
Wie gesagt das ExplorerFenster geht so ca. alle 35 Minuten auf.
Finde nirgendwo was womit das zusammenhängt! :(

Shadowdance 30.11.2004 22:06
Hallo DoGGiE,

mach bitte einen eigenen Thread auf mit der Button-Funktion "neues Thema" hier im gleichen Forum, erstelle ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es in Deinem eigenen neuen Thread.

Shadowdance


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131