System Instrusion Detected
 

Hallo,

bei mir geht eine nicht entfernbare Balloon-Meldung auf mit dem Inhalt:

"System Instrusion detected

Dangerous infection was detected on your PC
The system will now download and install most efficient antimalware program to prevent data loss and your private information theft.
Click here to protect your computer from the biggest malware theats."

Habe den PC mit AntiVir, Spybot, Ad-Aware, EScan und RegSeeker gescannt und erstmal alles gelöscht, was angegeben wurde. Die Meldung verbleibt aber. Wenn man darauf klickt installiert sich spyware strike. Das findet dann zwar einige wenige Sachen wie etwa Spysheriff, lässt das Löschen der Schädlinge aber nur gegen Zahlung für Spyware Strike zu. Das habe ich mir erstmal erspart!

Eine Frage vorab zum EScan Log: Soll ich hier das komplette Log posten? Das ist ellenlang und füllt alleine mindestens 15 Seiten.. Oder gibt es innerhalb des Logs eine Art Ergebnis und nur dieses muss gepostet werden?
Ich habe mal nur das herausgepickt was eklig aussah:

Fri Jan 06 03:41:05 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jan 06 03:41:05 2006 => Loading Spyware Signatures from new External Database (Size: 146571).
Fri Jan 06 03:41:07 2006 => Indexed Spyware Databases Successfully Created...

Fri Jan 06 03:41:09 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Fri Jan 06 03:41:26 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:26 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Fri Jan 06 03:41:26 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:26 2006 => Offending Key found: HKLM\Software\limewire !!!
Fri Jan 06 03:41:26 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:26 2006 => Offending Key found: HKCU\Software\gnu !!!
Fri Jan 06 03:41:26 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:27 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\popcaploader.dll
Fri Jan 06 03:41:27 2006 => System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: No Action Taken.

Fri Jan 06 03:41:28 2006 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\ebay.url
Fri Jan 06 03:41:28 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Fri Jan 06 03:41:28 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Startmenü\programme\limewire
Fri Jan 06 03:41:28 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jan 06 03:41:28 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\limewire
Fri Jan 06 03:41:28 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Danach folgte eine Auflistung des Gesamtscans - also jede einzelne Datei meines PC. Schien mir wenig hilfreich aber vielleicht irre ich mich. Hier noch schnell das Gesamtergebnis von EScan:

Fri Jan 06 04:37:28 2006 => ***** Scanning complete. *****

Fri Jan 06 04:37:28 2006 => Total Objects Scanned: 59145
Fri Jan 06 04:37:28 2006 => Total Critical Objects: 10
Fri Jan 06 04:37:28 2006 => Total Disinfected Objects: 0
Fri Jan 06 04:37:28 2006 => Total Objects Renamed: 0
Fri Jan 06 04:37:28 2006 => Total Deleted Objects: 0
Fri Jan 06 04:37:28 2006 => Total Errors: 43
Fri Jan 06 04:37:28 2006 => Time Elapsed: 00:57:08
Fri Jan 06 04:37:28 2006 => Virus Database Date: 1/6/2006
Fri Jan 06 04:37:28 2006 => Virus Database Count: 165303

Fri Jan 06 04:37:28 2006 => Scan Completed.


Zusätzlich dazu nun die (komplette :) ):

Logfile of HijackThis v1.99.1
Scan saved at 12:36:34, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\valve\steam\steam.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {27150f81-0877-42e9-af13-55e5a3439a26} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124374354781
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F4ED9A8F-48EC-48FE-A473-7C5C77EBFF1F} (Seagate DiscWizard German) - h**p://www.seagate.com/support/disc/asp/dwiz/de/bin/npdscwiz.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3550DF38-BDE8-4180-BBA4-74CDB12ED19B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3550DF38-BDE8-4180-BBA4-74CDB12ED19B}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Frage also: Wie bekomme ich diese Popup Baloonmeldung wieder weg oder gibt es sonst Viren o.ä., die weg müssen?
Ich freue mich über Hilfe
Gruß
Nick

tja also dein logfile scheint sauber zu sein.
kann jedenfalls nix auffälliges darin finden.

Hm, das ist depri...

Ich hänge noch mal eben ein jpg des desktop an

Gruß Nick

besorg dir ad-aware date es up und lass es drüberlaufen.
lösche alles was er findet..
desweitern besorg dir Clearprog hacken bei alles alles löschen.

Habe ich gemacht. Cleanprog hat ebenso wie Ad-Aware 'Spyware' gefunden und sie auch gelöscht. (nach nochmaligem Durchlauf beider Progs keine neuen Schädlinge) Allerdings bleibt es bei dem Baloon Popup...
Hat also leider nicht funktioniert.

ps. Systemwiederherstellung ist übrigens aus

haste die beiden sachen im agesicherten modus laufen lassen??

eben nicht sry, jetzt aber. hat sich nichts geändert.. : /

dann seh mal in der systemsteuerung unter software nach.
deinstalliere was dir da nicht bekannt ist.
aber vorher versuche mal noch mit reg-seeker die registery zu säubern

Hallo,
mach mal folgendes und poste die vier logs (nur die Dateien der letzten drei Monate abkopieren!).
Hast du mal folgendes gemacht?

Grüße Wildone

Diesen hier kann ich nicht zuordnen:

HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run\RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

RegSeeker gibt ihn als nvMediaCenter aus ?!

An Software gab es nur den oben beschriebenen Spyware Strike. Den habe ich gelöscht. Auf anderen Seiten habe ich gelesen, dass dieses angebliche Anti-Spyware möglicherweise selbst Spyware ist. Im Sinne von: Wir präsentieren dir hausgemachte Spyware die nun nur noch durch uns wieder entfernbar ist... Naja weisst du was darüber?

Abgesehen davon ist dieses dämliche Baloon-Ding auch weiterhin nicht dazu zu bewegen zu verschwinden..

mach mal das was wildone dir geschrieben hat

@ Wildone: Nein leider auch kein Eintrag dieser Art bei mir..

Mom sry ich habe erst den Desktop gecheckt. melde mich gleich

bei mir is es das gleiche mit dem besch.. ballon:snyper: :kloppen: :pfui:

so hier der log:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0480-7AFB

Verzeichnis von C:\WINDOWS\system32

06.01.2006 04:48 43.094 nvapps.xml
06.01.2006 01:41 102.400 netwrap.dll
05.01.2006 20:39 2.206 wpa.dbl
29.12.2005 03:54 280.064 gdi32.dll
27.12.2005 16:38 6.948 jupdate-1.5.0_06-b05.log
20.12.2005 22:25 16.832 amcompat.tlb
20.12.2005 22:25 23.392 nscompat.tlb
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 10:11 127.704 FNTCACHE.DAT
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
11.11.2005 20:14 34.064 lhacm.acm
11.11.2005 14:49 180.224 nvudisp.exe
11.11.2005 14:49 180.224 NVUNINST.EXE
11.11.2005 13:47 1.019.904 nvwimg.dll
11.11.2005 13:47 1.662.976 nvwdmcpl.dll
11.11.2005 13:47 229.376 nvmccs.dll
11.11.2005 13:47 73.728 nvtuicpl.cpl
11.11.2005 13:47 131.139 nvsvc32.exe
11.11.2005 13:47 86.016 nvmctray.dll
11.11.2005 13:47 81.920 nvwddi.dll
11.11.2005 13:47 425.984 keystone.exe
11.11.2005 13:47 573.440 nvhwvid.dll
11.11.2005 13:47 466.944 nvshell.dll
11.11.2005 13:47 1.466.368 nview.dll
11.11.2005 13:47 5.394.432 nvoglnt.dll
11.11.2005 13:47 286.720 nvnt4cpl.dll
11.11.2005 13:47 3.924.992 nv4_disp.dll
11.11.2005 13:47 86.016 nvapi.dll
11.11.2005 13:47 442.368 nvappbar.exe
11.11.2005 13:47 45.056 nvmccsrs.dll
11.11.2005 13:47 1.519.616 nwiz.exe
11.11.2005 13:47 35.328 nvcod.dll
11.11.2005 13:47 35.328 nvcodins.dll
11.11.2005 13:47 147.456 nvcolor.exe
11.11.2005 13:47 7.311.360 nvcpl.dll
11.11.2005 13:47 16.356 nvdisp.nvu
11.11.2005 13:47 1.339.392 nvdspsch.exe
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 17:38 311.604 perfh009.dat
30.10.2005 17:38 39.992 perfc009.dat
30.10.2005 17:38 48.156 perfc007.dat
30.10.2005 17:38 316.594 perfh007.dat
30.10.2005 17:38 723.744 PerfStringBackup.INI
25.10.2005 10:22 102.400 tsccvid.dll
24.10.2005 03:02 45.056 CSvidcap.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 20:17 53.248 pxhpinst.exe
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 23:55 2.272 w95inf16.dll
03.09.2005 23:55 4.608 w95inf32.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

und dieses hier:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0480-7AFB

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

06.01.2006 14:08 2.614.600 sa1C.exe
03.01.2006 18:08 123 3FCA41B8.TMP
2 Datei(en) 2.614.723 Bytes
0 Verzeichnis(se), 26.342.526.976 Bytes frei

Noch was: in einem anderem Thread habe ich gelesen, das andere user Probs mit einem Prog namens SpyAxe haben. Das hier abgebildete Programm sieht vom Design exakt wie Spyware Strike aus...

Hallo,
schon klar das das eine Art von spyaxe ist, aber ich kann die sonst üblichen Dateien nicht finden. Lösche erstmal alle Temp Dateien mit Cleanup!

Speichere mal die mcor.reg und die spyaxe.reg per Rechtsklick "Ziel speichern unter" auf deinem desktop, gehe dann in den abgesicherten Modus und füge sie per Doppelklick der Registry bei.
Taucht dann der Ballon immernoch auf?


Grüße Wildone

@wildone

das gleiche problem hatte ich auch.
dachte schon ich wäre heute nicht voll dabei,aber wenn es dir genauso geht.
bin froh das du kamst wusste echt nicht mehr weiter in der sache.

So entschuldigt bitte, hat etwas gedauert. Ich habe erstmal Spyware doctor übers System laufen lassen. Der fand, was im Anhang zu sehen ist. Lies sich leider nicht entfernen; wurde wieder einmal Geld gefordert. Da wollte ich lieber vorher nochmal hier nachfragen.
Ich werde im Anschluss jetzt mal die beiden reg dateien im abgesicherten modus versuchen.

Gruß Nick

Hallo,
kannst du noch mal den genauen Pfad von ersten zwei Funden(PSguard und Gaslide.B) posten, die sind leider auf dem Screenshots nicht zu erkennen.


Grüße Wildone

Name der Infizierung Standort Risiko
Brilliant Digital HKCR\.s3d Mittel
Brilliant Digital HKCR\.s3d## Mittel
Common Components for Rogue Anti-Spyware HKCR\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5} Mittel
Common Components for Rogue Anti-Spyware HKCR\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}## Mittel
PSGuard Desktop Hijacker C:\Dokumente und Einstellungen\All Users\Startmen?rity Troubleshooting.url Hoch
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch

Hilft das?

Öhm im Zweifel mal löschen die dinger oder?

Hallo,
also das letzte scheint mir definitiv ein Fehlalrm zu sein, da an dieser Stelle ein Trojaner keinen Sinn machen würde. Die Datei:
C:\Dokumente und Einstellungen\All Users\Startmen?rity Troubleshooting.url
kannst du mal löschen, davon wird aber wahrscheinlich keine Verbesserung auf dem Desktop eintreten, mach mal weiter mit den beiden reg Dateien und berichte.


Grüße Wildone

Die habe ich bereits im abgesicherten Modus in die Registry eingefügt. Keine Veränderung.

Hallo,
jetzt gehen mir langsam die Ideen aus. Mach mal einen Onlinescan bei Panda und berichte was dort gefunden wird.


Grüße Wildone

Ereignis Zustand Standort

Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem\Process.exe
Virus:W32/Alcan.A.worm Desinfiziert E:\Programme\LimeWire\Downloads\River Past Video Cleaner Pro 6.5.1.zip[Setup.exe]

Das hat Panda jetzt noch gefunden. Mann mann was geht denn ab.... Jedes Tool findet was neues.. :koch: Das Video habe ich gelöscht. Die smitrem datei kanns eigentlich nicht sein. Das war soweit ich mich erinnere ein Removal Tool dass ich ganz am Anfang ausprobiert hatte... echt zum Mäuse melken..

Ach so, vielen dank an alle für die ganzen Mühen und zahlreichen ideen zu meinem prob! Irgendwie wird das schon noch..

ps. Hier noch kurz die links zu den Beschreibungen der von Panda gefundenen Schädlinge:
http://www.pandasoftware.com/virus_i...teccion=139535 und
http://www.pandasoftware.com/virus_i...eteccion=46186

Hallo,
verdammt, nein das bringt uns nicht weiter, die Datei:
E:\Programme\LimeWire\Downloads\River Past Video Cleaner Pro 6.5.1.zip[Setup.exe] kannst du löschen.
Das smitrem als unerwünschtes Tool erkannt wird ist mir schleierhaft, kann man aber wohl ignorieren.
Jetzt starte ich mal noch einen Rundumschlag, mal schauen ob das etwas zu Tage fördert.

Scanne mal das System mit F-Secure Blacklight und poste das Log (Textdatei in selbem Pfad)

Besorge dir mal dieses Tool, entpacke es, und lass es mit der Option "1" laufen.
dann wird eine Datei rapport.txt erstellt, poste sie.

Untersuche dein system noch mit Silentrunners und poste das log.


Grüße Wildone

Mal sehen. Alles ging leider nicht. F-Secure Blacklight hat nichts gefunden. Eine Log gab es wegen 0 Ergebnissen nicht.

Deshalb nur die beiden anderen:


SmitFraudFix v2.11

Rapport fait à 16:19:19,06 le 06.01.2006
Executé à partir de C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A2FDA2-1A5B-2A8F-F3A2-B22DA1A3C41D}"="NetWrap for Windows"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



und



"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = ""e:\valve\steam\steam.exe" -silent" ["Valve Corporation"]
"SpybotSD TeaTimer" = "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Spyware Doctor" = ""D:\Programme\Spyware Doctor\swdoctor.exe" /Q" ["PCTools"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Microsoft Office" -> shortcut to: "D:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["PC Tools"]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "D:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PC Tools Spyware Doctor, SDhelper, "D:\Programme\Spyware Doctor\sdhelp.exe" ["PC Tools"]

Aus meiner Sicht Bahnhof.. :dummguck:

ups, sry. hier das blacklight ergebnis:

01/06/06 16:27:27 [Info]: BlackLight Engine 1.0.30 initialized
01/06/06 16:27:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/06/06 16:27:27 [Note]: 7019 4
01/06/06 16:27:27 [Note]: 7005 0
01/06/06 16:27:30 [Note]: 7006 0
01/06/06 16:27:30 [Note]: 7011 1876
01/06/06 16:27:30 [Note]: FSRAW library version 1.7.1014
01/06/06 16:27:58 [Note]: 7007 0

Hallo,
ich klammer mich mal an Strohhalme, gehe mal wieder in den abgesicherten Modus und führe die smitfraudfix mit Option "2" aus, wenn nach "nettoyer le registre?" gefragt wird mit "o" (für oui) bestätigen.
Log und Bericht ob sich etwas verändert hat.


Grüße Wildone

@wildone

kniffeliger fall das ganze..
weiss im moment auch nix mehr..

@hoerni26
So ist es wohl doch nicht:
Dieses "Spielzeug" ist kein Gutes Programm, von BearShare und Limeware abgesehen.
Wenn ich mich einmischen dürfte, würde ich für Neuafsetzung plädieren.
Danach ändert man sein Internet-Verhalten und passt mehr auf.

@rene

klar wir sind glaub ich im moment für jede hilfe froh..
mir hat der eintrag nix böses geasagt,aber ich lerne gern dazu und bin auch froh das du dich zu wort gemeldet hast.
nochmal danke rene-gad für deine aufklärung wegen dem eintrag.

@hoerni26
pls. klicken ;)

@wildone, hoerni26 und rest: Ich habe den SmitfraudFix nochmal mit der 2ten Einstellung probiert. Leider ebenfalls ohne Erfolg.
Auf gut glück warte ich jetzt einfach mal 1-2 tage ab.. vielleicht tut sich ja noch was. Ansonsten ist dann wohl eine Neuinstallation des Systems angesagt... Kanns irgendwie noch nicht recht glauben dass dieses sh*** teil nicht wegzubekommen ist :nixda:

Danke an dieser Stelle an euch für die wirklich breite hilfe! Daumen hoch

Hallo,
gute Idee noch etwas abzuwarten, mir geht es auch schon gar nicht mehr darum krampfhaft dein System zu retten, sondern eher zu erfahren ob du eine Variante von Spyaxe hast, und wie man dieser beikommen kann. Ich werde mal noch jemanden kontaktieren das sie sich das anschauen soll, vielleicht fällt ihr ja noch etwas ein.


Grüße Wildone

so sehe ich das auch! :daumenhoc

Hallo,
habe mal ein wenig bei der "Konkurrenz" geschmökert, und bin auf die Datei C:\Windows\System32\netwrap.dll aufmerksam geworden, benenne sie mal im abgesicherten Modus um (in netwrap.dll.ren), überprüfe sie hier, und poste das Ergebnis.


Grüße Wildone

Mein lieber Wildone. Es wäre mir ein Freude heute abend mit dir ein kleines fässchen aufzumachen. :party: weg!!
Toll ich danke dir.

Beste Grüße an alle anderen Helfer
Nick

C:\WINDOWS\system32\netwrap.dll

scheint eine neue Variante vom SpyAxe zu sein
(Kaspersky meint: Kaspersky Anti-Virus Found not-virus:Hoax.Win32.Renos.am )...aber das kann sich noch aendern ;)
,also: wie schon vorgeschlagen wurde... in old umbennennen und loeschen

falls es das auf dem System gibt...dann ebenfalls loeschen
C:\Programme\SpywareStrike\

alte Bekannte...man sollte ihnen die Haende ab........

Hallo,
@nick79
Schön das ich dir weiterhelfen konnte, jetzt noch ein Halbsatz für die Zukunft. Unseriöse Programme (Cracks, Keygens, sonstige dubiose Programme) haben auf einem sicheren system nichts zu suchen, also Finger weg davon, und von den Seiten die solche anbieten.
System(incl. Browser, Java...) immer aktuell halten.
Den IE sicherer konfigurieren oder/und dich nach einer Alternative umschauen (Firefox, Mozilla, Opera).

@Sabina
Danke das du dir die Arbeit gemacht hast noch mal drüber zu schauen, habe die netwrap.dll bei der datfind.bat erst glatt übersehen.

Nachtrag
Schön ist in diesem Zusammenhang auch das Statement von Kaspersky in diesem Beitrag, da könnte man wirklich Aggressionen bekommen.
Grüße Wildone

es ist mir unverstaendlich, wieso die Antivirenhersteller so zoegerlich reagieren, denn die angeblichen Virenscanner installieren sich ungefragt, genau wie ein Virus, sie terrorisieren die User..., sie verweisen den Browser auf Porno- oder KreditSeiten, was daran soll legal sein ?

Die Scanner verfuegen auch nur ueber eine einzige Energine...und dass sind ihre eigenen Viren, also PSGuard, Winhound, Winfixer usw. (besser noch, sie haben vorgefertigte Scanreporte, also garkeine Energie)

Es ist wahrlich ein Witz, dass Dave,oder David...oder wie immer er sich nennt, mal aus Singnapur, mal aus den USA... der Erfinder dieser ganzen Geschichte, so rotzfrech damit durchkommt und sich eine goldene Nase damit verdient, von Leuten, welche der Erpressung und dem Terror nachgeben...und bezahlen.
Bei Winfixer sollen es immerhin 51 Euro sein.

Es ist mir, ich wiederhole es, unverstaendlich, dass nicht rigeros dagegen vorgegangen wird...und sogar noch Zweifel bestehen, ob diese "Programme"... legal oder nicht legal sind.

Etwas, was sich ungefragt auf einem PC installieren will, (und sich auch installiert) ist bestimmt nicht legal....das ist ein ganz gemeiner Virus.

------------------------------------------------------------------------------

Domain Name: SPYWARESTRIKE.COM

Registrant:
Keramitsu LLC
David Alan Taylor
321th Melburn Street
Seattle
Washington,98107
US
Tel. +207.9545521

Like the SpyAxe.com registration information, this looks bogus. The domain is also registered through Estdomains, which I recently found out is an ICANN accredited registrar. (Shame on ICANN.) The website shares the IP address with SpyAxe.com and is hosted by Netcathosting in the Ukraine. Netcathosting got SANS most hated IP of the year.

Via Suzi Turner @ ZDnet Blog und wie so oft via Sunbelt Blog
http://sunbeltblog.blogspot.com/2006...of-spyaxe.html
http://blogs.zdnet.com/Spyware/?p=742

----------------
spyaxe
http://virus-protect.net/artikel/spyware/spyaxe.html

Hallo zusammen,
ich habe ebenfalls die letzten Tage mit diesem Problem gekämpft.

Ich habe mich mit der Funktion:
"Start => Programme => Zubehör => Systemwiederherstellung" helfen können!
und der Spuk hat ein Ende!:juul:
Man muß natürlich wissen wann man sich den Infekt eingefangen hat.

MfG exhr23

exhr23

nach meiner Efahrung ist der SpyAxe mit dieser Massnahme nicht restlos geloescht...so einfach ist es also nicht.