Trojaner-Board - Hartnäckige Spyware

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hartnäckige Spyware (https://www.trojaner-board.de/36419-hartnaeckige-spyware.html)

Hartnäckige Spyware

Hallöschen :D ^^

ich bedanke mich schonmal im vorraus für eure Hilfe.

ICh hab das problem das mein SpyBotSearch&Destroy seit kurzer mehrfach die gleichen Probleme anzeigt:

Advertising.com
DoubleClick
Hitbox Mediaplex
Tradedoubler

ich kann sie entfernen, neu gescannt, sie sind weg. 2h später sind sie wieder da. habe schon mehrere programme, spywarefighter usw., ausprobiert, etweder sie ham die gar nicht gefunden oder man konnte sie löschen aber etwas später waren sie wieder da .

Ich hab auch so schon einiges probiert, manuelles löschen usw. hab manch datei gar nicht gefunden:confused: .

sind auch z.b. 6-7 svchost.exe prozesse gestartet was mich verwundert und ich hab in letzter zeit eine "hohe" auslagerungsdatei von knapp 400, es waren sonst regelmäßig 280- max 310 im "ruhezustand".

daher bitte ich um eure Hilfe.

Systeminformation:
AMD 64 X2 Dual Core 3800
1GB RAM
GeForce 7950 GT
Windows Home SP2

Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 02:33:00, on 19.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\*****\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EA Link\Core.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Noch einmal dankeschön für eure Hilfe ^^

Mfg DJ Cosmic Red :daumenhoc

Halloele.

Das ist aber ein hartes Ding. Dein logFile sieht (leider) ziemlich sauber aus.

Scanne bitte folgende Datei auf VIRUSTOTAL
"C:\Programme\AlienGUIse\wbload.exe" und poste das Ergebnis mit allen Angaben.

Dann mache bitte einen eScan: http://www.trojaner-board.de/17492-a...n-bis-7-x.html
poste auch hier das logFile so wie's in der Anleitung beschrieben ist.

Hast du mal versucht mit Lavasoft's AdAwere zu scannen? Das koennte evtl. was bringen.. Ad-Aware SE P.E.

Das du einige Dateien nicht findest mag daran liegen, dass diese versteckt sind. Um die zu finden musst du alle Dateien und Ordner sichtbar machen.

Öffne einen beliebigen Ordner und gehen Sie wie folgt voran:

Extras
Ordneroptionen

[ ] Geschützte Systemdateien ausblenden
[x] Inhalte von Systemordnern anzeigen
[x] Alle Dateien und Ordner anzeigen

Sollte der Ordner jetzt immer noch nicht angezeigt werden bitte folgendes machen

Start
>> Systemsteuerung
>> Software
>> Internet Explorer Ändern - Entfernen klicken und dann auf Reparieren

Viel Erfolg.

Undoreal

moin moin :D ^^

Ich hab natürlich schon die Ordneroptionen geändert ;)

Mein Virustotalscan ergab das es kein Virus ist.

Mein eScanProtokoll sagt:
Object "medload Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "holistyc Dialer" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Datei C:\System Volume Information\_restore{C2DB0D20-BD08-4FEB-BFA5-D22FC93C3E68}\RP88\A0037771.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.
Datei E:\install's\Nero-7.7.5.1_deu_trial.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.

Was soll man tun?

2. Frage:
Was kann meine hohe Auslagerungsdatei und die 6 svchost.exe'n zu grunde liegen? Dabei kann ich 1-2 svchost.exe'n beenden ohne das es mein System an Kragen geht.

danke schön :daumenhoc

Mein eScanlog:
Object "medload Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "holistyc Dialer" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Datei C:\System Volume Information\_restore{C2DB0D20-BD08-4FEB-BFA5-D22FC93C3E68}\RP88\A0037771.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.
Datei E:\install's\Nero-7.7.5.1_deu_trial.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.

oder was meinst du? ^^

MFG DJ Cosmic Red

Hallo.

Du must schon richtig lesen; an sonsten kann dir hier keiner helfen.

In meinem Post unten findest du einen Link zu eScan. Dieser fuehrt zu einer Anleitung! Anleitungen sollte man durchlesen, verstehen und dann bis zum Ende ganz genau durch arbeiten.

Du musst das komplette log mit Hilfe der find.bat durchsuchen und dieses log dann posten. Aber LIES einfach die Anleitung.

Bis bald

Undoreal

eScanLog

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Feb 19 14:16:41 2007 => Version 9.1.4
Mon Feb 19 11:54:44 2007 => Virus-Datenbank Datum: 2/16/2007
Mon Feb 19 13:02:51 2007 => Virus-Datenbank Datum: 2/16/2007
Mon Feb 19 13:03:15 2007 => Virus-Datenbank Datum: 2/16/2007
Mon Feb 19 14:15:17 2007 => Virus-Datenbank Datum: 2/16/2007
Mon Feb 19 14:54:41 2007 => Virus-Datenbank Datum: 2/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Feb 19 11:56:54 2007 => System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Feb 19 12:15:35 2007 => Datei C:\System Volume Information\_restore{C2DB0D20-BD08-4FEB-BFA5-D22FC93C3E68}\RP88\A0037771.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.
Mon Feb 19 12:49:11 2007 => Datei E:\install's\Nero-7.7.5.1_deu_trial.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.
Mon Feb 19 14:27:03 2007 => Datei C:\System Volume Information\_restore{C2DB0D20-BD08-4FEB-BFA5-D22FC93C3E68}\RP88\A0037771.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.
Mon Feb 19 14:49:02 2007 => Datei E:\install's\Nero-7.7.5.1_deu_trial.exe//Toolbar.exe markiert als not-a-virus:AdTool.Win32.MyWebSearch. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Feb 19 11:56:54 2007 => Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Feb 19 11:56:48 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Feb 19 14:54:41 2007 => Gefundene Viren: 2
Mon Feb 19 14:54:41 2007 => Anzahl Fehler: 1
Mon Feb 19 14:54:41 2007 => Dauer des Scans bisher: 00:37:59
Mon Feb 19 14:54:41 2007 => Gescannte Dateien: 94203
Mon Feb 19 14:16:41 2007 => Specherüberprüfung: Aktiviert
Mon Feb 19 14:16:41 2007 => Registry Überprüfung: Aktiviert
Mon Feb 19 14:16:41 2007 => System-Ordner Überprüfung: Deaktiviert
Mon Feb 19 14:16:41 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Feb 19 14:16:41 2007 => Überprüfung der Dienste: Aktiviert
Mon Feb 19 14:16:41 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Feb 19 14:16:41 2007 => Überprüfung aller Festplatten :Aktiviert

Gut, damit laesst sich was anfangen.

Starte deinen Computer bitte neu.

Hast du alle Ordner sichtbar? Dann navigiere bitte mal nach
"C:\WINDOWS\icons"
ist diese Datei/Ordner noch vorhanden?

Wenn diese Datei nicht mehr vorhanden ist dann

lasse bitte AdAware (link unten) drueber laufen! Wenn AdAware nichts findet, NUR dann mache weiter wie folgt:

-Fuehre bitte ein Backup der Registry durch.

-Dann loescht du manuell den Registry Eintrag
" HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\media-motor.net ".

Danke ^^

Den Ordner "C:Windwos\Icons" gibt es nicht mehr.

Mein AdAware findet:

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:07:02.265
Objects scanned:160892
Objects identified:1
Objects ignored:0
New critical objects:1

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : jason@rambler[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:2
Value : Cookie:jason@rambler.ru/
Expires : 01.01.2009 01:00:00
LastSync : Hits:2
UseCount : 0
Hits : 2

Morgen.

Hat AdAware das kritische Objekt entfernt?
Wenn nicht, dann entferne es bitte jetzt. Ich meine mich zu errinnern, dass das ohne erneuten scan geht.

Dann fuehre bitte dies hier durch:

Zitat:

-Fuehre bitte ein Backup der Registry durch.

-Dann loescht du manuell den Registry Eintrag
" HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\media-motor.net ".

Das sollte es dann eigentlich gewesen sein..

Viel Erfolg

Undoreal

Danke Danke Danke ^^

Hat alles funktioniert, danke für deine Hilfe und ausdauer ;)

ICh empfehle euch weiter :D

Mfg Jason :aplaus: