Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spyware im Systemtray lässt sich nicht entfernen (https://www.trojaner-board.de/17911-spyware-systemtray-laesst-entfernen.html)

Blackburn 17.05.2005 15:41
Spyware im Systemtray lässt sich nicht entfernen
 
Hallo!

Bin ganz neu hier und wende mich an euch, da ich gerade ein riesiges Problem habe, dass ich nicht mehr alleine hinbekomme. Ich hab den PC von einem Bekannten bekommen mit dem Klagen, dass ständig Porno-Seiten aufgehen und er vermutet dass lauter Viren, Spyware auf seinem PC sind.

Also hab ich das gute Teil bei mir aufgestellt angeschalten und ich hab folgendes Verhalten festgestellt:
- Lauter Icons von Porno-Seiten auf dem Desktop
- nur AntiVir und Internet Security von Symantec installiert
- unbekanntes Symbol im System-Tray (rotes Kreuz, aber dazu gleich mehr)
- Browser geht immer wieder mal auf um eine Porno-Seite zu öffnen

Das waren so die ersten Sachen die ich bemerkt habe. Ich dachte schon absolut Easy, die Standart-Programme drüberlaufen lassen und das wars.
Also hab ich erst einmal CounterSpy und Kaspersky Antivirus installiert. Beide im abgesichterten Modus mit Admin-Rechten drüber laufen lassen. Wie zu erwarten wurden einige Viren/Keylogger/Spyware/etc. gefunden und auch erfolgreich entfernt. Doch noch immer waren die Icons auf dem Desktop und das Symbol im System-Tray. Also die Icons gelöscht, aber nach wenigen Sekunden waren diese wieder da. Das Programm im System-Tray schreit auch immer wieder auf (Angriff aus dem Netzwerk obwohl keine Netzwerk angeschlossen ist).

Also hab ich noch AdAware Prof. und Spybot S&D drüber laufen lassen, was aber nicht mit Erfolg gekrönt war. Also Hijackthis runtergeladen drüber laufen lassen und das Log über das Formular von http://www.hijackthis.de auswerten lassen. Alle "bösen" und "unbekannte" Objekte entfernen lassen.

Doch das Icon im System-Tray ist immernoch da. Bin echt am verzweifeln. Leider ist eine Rep.-Installation nicht möglich (damn XP-Home) und auch neuinstallation ist unwirtschaftlich da sehr viele Geschäftsdaten auf dem PC sind, die nur schwer (bzw. mit sehr sehr viel aufwand) gesichert werden können.

Deshalb wende ich mich nun an euch und hoffe dass ihr mit der Fehlerbeschreibung sowie dem nachfolgenden Log und Screenshots etwas anfangen könnt.

Screenshots:
http://www.blackburn.de.hm/screen1.jpg

http://www.blackburn.de.hm/screen2.jpg

Hijackthis-Log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 16:32:04, on 17.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Dokumente und Einstellungen\Jens\Desktop\hijackthis_199\HijackThis.exe
c:\programme\t-online\t-online_software_5\browser\browser.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0194/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114093320203
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A50C198E-5523-427A-9EEC-FD58892E410A}: NameServer = 192.168.0.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Vielen Dank im Voraus!

Greetz Dominik (Blackburn)

Haui45 17.05.2005 15:58
Hallo,

ob dir das weiterhilft kann ich nicht sagen , da du dein Log leider schon selbst bearbeitet hast (naja, wahrscheinlich sowieso nicht, da die Anzeichen nicht vorhanden sind)
-> Wenn du evtl. noch ein 'altes' Logfile hättest, wäre es wahrscheinlich nützlich (diesmal bitte nicht in "code-tags" setzen :))

Hast du Kaspersky mit den erweiterten Signaturen scannen lassen? -> http://www.trojaner-board.de/42731-escan-anleitung.html (ganz unten)

Befinden sich unter Systemsteuerung-> Software unbekannte Programme?

Zitat:
Wie zu erwarten wurden einige Viren/Keylogger/Spyware/etc. gefunden
Was wurde gefunden?

Zitat:
und auch erfolgreich entfernt
Da wär ich mir nicht so sicher!

Blackburn 17.05.2005 17:12
VIELEN VIELEN DANK!!!! :huepp:

Man lernt immer wieder dazu. Hab gerade die erweiterten Signaturen von Kaspersky runterladen lassen und hab gerade eben den Scan gestartet. Gleich am Anfang hat er dann 2 Objekte gefunden:
explorer.exe\param32.dll
C:\WINDOWS\System32\param32.dll
Infiziert mit dem Virus "not-a-virus:AdWare.Serpo.k"
Ich hab beide löschen lassen und nach dem 2. mal löschen wurde der Explorer neugestartet (Startleiste, Icons, usw. verschwunden) und nach dem alles wieder geladen war, ist das Symbol im System-Tray nicht mehr da. Hab dann die Icons auf dem Desktop gelöscht und diese kommen auch nicht mehr wieder.

Ich werd jetzt den Test ganz durchlaufen lassen, dann die anderen Programme nochmal Scannen lassen (CounterSpy, Spybot S&D, AdAware, usw.) und dann werd ich dir/euch nochmal kurz bescheid geben ob wirklich alles weg ist.

Schaut aber schon ganz gut aus!

Vielen vielen Dank nochmal ;)


Greetz Dominik

Blackburn 17.05.2005 19:55
so, der pc ist wieder clean :kloppen:

Nach dem ich dann noch die be....scheidene Firewall von Symantec runter gemacht habe, konnt ich auch noch die Windows-Updates drauf machen :D

Auf jeden Fall vielen Dank an Haui45 für den super Tipp mit den erweiterten Signaturen! :party:

Greetz Dominik

Haui45 17.05.2005 19:58
Gern geschehen. :)
Zwei Sachen noch:
1.) Du kannst dir nicht 100%ig sicher sein, dass der PC wieder sauber ist!
2.) Dein Bekannter sollte seinen PC richtig absichern. Tipps dazu gibt's z.B. hier.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:59 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129