Trojaner-Board - Spy Fighter pro hat sich instaliert und nun Spyware ??

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Spy Fighter pro hat sich instaliert und nun Spyware ?? (https://www.trojaner-board.de/24624-spy-fighter-pro-hat-instaliert-spyware.html)

Spy Fighter pro hat sich instaliert und nun Spyware ??

Hallo , bin neu hier und hoffe auf eure Hilfe , bei mir hat sich dieses obengenannte Programm instaliert , und mein AVG Viren Scanner hat gleich Virus angezeigt ...immer wenn ich den IE öffne zeigt er ihn immer wieder an obwohl ich immer delete mache c:\windows\mkfvh.dll Trojan Horse Startpage.
Hab ein blaues Desktop mit roter Spyware Infection :koch:

Ich geb einfach mal das Log File

Logfile of HijackThis v1.99.1
Scan saved at 21:19:36, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {CD69B914-A3DD-AE9F-F8EB-AF16B2B02E2A} - C:\WINDOWS\system32\crld.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe

hoffe ihr könnt mir helfen...

Hi,
das hier bitte mal mit HJT im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CD69B914-A3DD-AE9F-F8EB-AF16B2B02E2A} - C:\WINDOWS\system32\crld.dll
Dann die Datei:
C:\WINDOWS\system32\crld.dll
manuell löschen, neu booten (normal) und ein neues Logfile posten.
cacatoa

Was heißt mit HJT Fixen ??? Sorry kenn mich da nicht mit so aus.....

Ganz einfach: Nach dem scan mit HiHackThis einen Haken bei den von mir genannten Punkten machen und unten auf "fix checked" clicken.
cacatoa

Oh man Danke hätte ich mir auch denken können ,..so habe gefixt und die datei manuell gelöscht hmm....log file

Logfile of HijackThis v1.99.1
Scan saved at 23:11:48, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {CD69B914-A3DD-AE9F-F8EB-AF16B2B02E2A} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe

Und was muss ich nun machen ????

PS : Hey super also die Startseite geht schon mal wieder die ich eingebe ..und den Virus zeigt er auch nicht mehr an .freu ...bloß der Desktop ist noch blau mit der Meldung....???

So, geh mal vor, wie in diesem thread beschrieben.
Wenn ich mich heute nicht mehr melde, so liegt es daran, daß ich jetzt dann ins Bett gehe. ;)
Bin dann aber morgen wieder da, o.k.?
cacatoa

Hallo , danke für den Tipp... habe das jetzt mal in den anderen Thread reinkopiert ,weiß aber nicht was ich dort löschen muss???Weißt du es vieleicht ???

HI,
das hätte hier reingehört; aber paßt schon.
Lade Dir mal Spybot S&D 1.4 runter, update es nach der Installation nochmal manuell und lasse es im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen.
cacatoa

Wie oder wo Deaktivier ich den die Systemwiederherstellung ....???

Hallo,
<klick>

P.S. google hätte die Lösung auch gebracht.

Grüße Wildone

Zitat:

Zitat von cacatoa

Habe es im abgesicherten Modus laufen lassen , und er hat einiges angezeigt auch dieses Spy sheriff programm was er instaliert hatte , habe es behoben und nun was soll ich sagen ,das Fenster ist weck ..freu obwohl ich es jetzt nicht mit deaktivierter Systemwiederherstellung gemacht habe , weil ich nicht wußte wie es geht. Ich danke dir für die echt sehr gute Hilfe ...!!!!

Zitat:

Zitat von Wildone

Hallo,
<klick>

P.S. google hätte die Lösung auch gebracht.

Grüße Wildone

Hallo , ja sorry stimmt hätte ich mir auch suchen können danke !!!!

Hallo,
mache mal noch zur Kontrolle einen Onlinescan bei Panda (mit dem IE) und berichte was gefunden wurde.

Grüße Wildone

Pui das nimmt kein Ende :dummguck:

Adware:adware/spysheriff Nicht desinfiziert Windows-Registry

Adware:Adware/SpySheriff Nicht desinfiziert C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\4.tmp.exe.mwt

Hacktool:HackTool/EvID4226 Nicht desinfiziert C:\Programme\EvID4226Patch.exe

Dialer Dialer.DNA Nicht desinfiziert C:\Programme\Microsoft AntiSpyware\Quarantine\8871C19D-79BE-4FA8-8097-C0B077\164EA61A-F239-4F70-A576-8A7241

Adware:Adware/SpySheriff Nicht desinfiziert C:\Programme\Microsoft AntiSpyware\Quarantine\8871C19D-79BE-4FA8-8097-C0B077\625D4963-F7C7-4DFA-9105-464B0F

Ich habe jetzt nur den Arbeitsplatz gescannt....

Hallo,
das sind nur noch Reste, lösche mal mit Cleanup! deine Temp Dateien, und leere den Quarantäneordner von MS Antispy (k.A. wo genau das geht, ich benutze das Programm nicht).
Wo jetzt genau Panda noch einen Registrykey von Spysheriff findet sagt er leider nicht, kann zur Not auch so gelassen werden, da von einem verwaisten Regkey an sich keine Gefahr ausgeht.
Du kannst aber auch noch mal mit Ewido scannen, gut möglich das der ihn findet und beseitigt.

Zitat:

Hacktool:HackTool/EvID4226 Nicht desinfiziert C:\Programme\EvID4226Patch.exe

Kennst du das Tool, hast du irgendwelche optimierungen zum Filesharing vorgenommen?

Grüße Wildone

Also , habe mit beiden Programmen noch mal dein Rat befolgt ,,aber Panda zeigt es immer noch so an..hmmm ???

Und Microsoft Antispyware hatte auch nichts mehr in der Quarantäne...habe nur die Details vom letzten Scan...

Spyware Scan Details
Start Date: 16.12.2005 10:07:28
End Date: 16.12.2005 10:14:03
Total Time: 6 mins 35 secs

Detected Threats

Spyware.Startup.Tmp Spyware more information...
Status: Removed
High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.

Infected files detected
c:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\4.tmp.

Infected registry keys/values detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4.tmp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 5.tmp

SpySheriff Potentially Unwanted Software more information...
Details: SpySheriff is known to be installed through webpages exploiting known vulnerabilities. It scans system for possible spyware infection and prompts user to register in order to clean the system.
Status: Removed
High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.

Infected files detected
C:\Program Files\SpySheriff\heur000.dll
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\heur002.dll
C:\Program Files\SpySheriff\heur003.dll
C:\Program Files\SpySheriff\IESecurity.dll
C:\Program Files\SpySheriff\ProcMon.dll
C:\Program Files\SpySheriff\Uninstall.exe

Detected Spyware Cookies
No spyware cookies were found during this scan.

Aber jetzt findet M . Anti spyware auch nichts mehr..