Trojaner-Board - Spyware Von http://www.softonic.de/seccion/358/XP-Themes

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Spyware Von http://www.softonic.de/seccion/358/XP-Themes (https://www.trojaner-board.de/31804-spyware-http-www-softonic-de-seccion-358-xp-themes.html)

Spyware Von http://www.softonic.de/seccion/358/XP-Themes

Hi ich habe mir heute ein Windowstheme von http://www.softonic.de/seccion/358/XP-Themes runtergeladen und habe diese datei geöffnet. Wärend der installation zeigte mir mein Antivirus "Bitdefender"
Spyware befall "Application.Adware.Savenow.G" &
"Adware. Relevant.A"
worauf ich die installation abbrach. Ich habe versucht mit "TuneUp Shredder"
die exe Datei "160042.exe" zu löschen was mir aber nicht gelang.

"Fehler beim löschen der Datei "160042.exe".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."

Danach habe ich das Programm Themes was in
c:\Programme\Themes
installiert wurde deinstalliert wobei die Datei "~GLH0006.TMP" nicht deinstalliert wurde.

Durch Bitdefender habe ich herausgefunden:

c:\Windows\system32\~GLH0007.TMP Entdeckt: Adware.Relevan.A
c:\Programme\Themes\~GLH0006.TMP Entdeckt: Application.Adware.Savenow.g

Dies muss von diesem Theme Komen da ich gestern mein System mit "Ewido"(Gestriges Update) "Bitdefender" (Gestriges Update) Und Ad-Aware SE Personal (Gestriges Update) Kommplett durgescannt habe.
Alle 3 Programme konnten mir diese Spyware nicht vom Hals schaffen und nun bin ich Ratlos. Durch Bitdefender wird die Spyware geblockt also gehe ich davon aus das sie bis jetzt keinen Schaden weiter angerichtet hat oder anrichten wird. Ich bitte euch um Hilfe
System
Pentium 4 2.66Ghz
512MB Ram
Microsoft Windows XP
Home Edition
Version 2002
ServicePack 2
+alle windows updates bis 30.08.2006 14,32Uhr

Logfile of HijackThis v1.99.1
Scan saved at 19:28:55, on 30.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\Explorer.EXE
D:\Hijack This\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33B780DF-6016-4DD7-B199-3C74EDD417BD} - (no file)
O2 - BHO: (no name) - {359CAF9F-990E-41F1-B779-E3951B750E49} - (no file)
O2 - BHO: (no name) - {380B76BC-4987-46BB-9F3E-9E4B5BD02E49} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B598D5BF-6592-4266-88A6-6DC50EC9238F} - (no file)
O2 - BHO: (no name) - {C19BCC56-C421-456A-AB3F-07D6F5E2B6F8} - (no file)
O2 - BHO: (no name) - {E07A6CC3-884C-4281-B1B2-D2C9AB387317} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {17F3DB3A-8B74-4659-BEAD-1555A077F170} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {17F3DB3A-8B74-4659-BEAD-1555A077F170} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36B949F-AC83-4BCE-A86F-19E07BCD7480}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

huee :) ! Untersuch mal im HijT die "BHO- (no name)" dateien... und fixe sie gegebenfals.

Und google mal diese Datei. "O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll"

Das wird glaube ich von Microsoft. Hat irgendwas mit deinem Betriebssystem zu tun, ob es registriert ist oder nicht... so ähnlich.

habe ich bei mir auch gelöscht...:party:

Soll ich die BHO NO NAME alle löschen?Ich hab keine ahnung von dem mist
Ich habe 2 Wächter laufen Ewido und Bitdefender das hat bis jetzt alles geblockt und gelöscht auser SpywareQuake das hat sich aber auch einfach entfernen lassen. Mach mal bitte idiotensicher die Erklärung von Hijack This hab ich auch keine Ahnung hab ich gestern erst runter gezogen ich weis nichmal für was das Programm so richtig gut is oder was man damit machen kann (auser scan)

Logfile of HijackThis v1.99.1
Scan saved at 11:01:41, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
D:\Hijack This\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {17F3DB3A-8B74-4659-BEAD-1555A077F170} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {17F3DB3A-8B74-4659-BEAD-1555A077F170} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36B949F-AC83-4BCE-A86F-19E07BCD7480}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo,

dein Logfile sieht meiner Ansicht nach sauber aus, hast du denn noch irgendwelche Probleme oder tauchen immer noch Warnungen von deinem AV-Scanner auf?

Lade dir mal folgendes Tool und führe es aus (einfach "Starte Cleaner klicken"):

cccleaner

Zitat:

Hijack This hab ich auch keine Ahnung hab ich gestern erst runter gezogen ich weis nichmal für was das Programm so richtig gut is oder was man damit machen kann (auser scan)

Richtig, du kannst damit deine Systemprozesse anzeigen lassen, auch schön nachzulesen -> HIER

Gruß
Sunny

Tja also alle 3 dateien lassen sich immernoch nicht löschen immernoch fast genau das gleiche wie vorher auser die datei 160042.exe war bis jetz im Prozess manager immer bei offene Dateien dabei jetz nichtmehr allerdings lässt sie sich immernoch nicht löschen. seufz. ccleaner is doch in aufräum Programm?! Hab doch schon TuneUp 2006 und Purgatio Pro.

Ich probier ccleaner mal aus. Muss doch irgendwas geben was den scheiß entfernt!

c:\Windows\system32\~GLH0007.TMP Entdeckt: Adware.Relevan.A:snyper:
c:\Programme\Themes\~GLH0006.TMP Entdeckt: Application.Adware.Savenow.g:snyper: