Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spyware detected on your Computer (https://www.trojaner-board.de/48400-spyware-detected-on-your-computer.html)

Manajah 18.01.2008 20:05
Spyware detected on your Computer
 
Hallo,

Ich hoffe ihr könnt mir helfen, hab mir da was blödes eingefangen. Muss dazu sagen kenn mich nicht so aus.

Ich habe auf dem Desktop als Hintergrundbildschirm ne blaue fläche und in der mitte steht "Warning! Spyware detected on your Computer! Install an antivirus or spyware remover to clean your PC."

Dazu wurden ganz viele sachen auf dem PC installiert! so Casino sachen etc. und programme mit denen ich das angeblich löschen kann, so spyware sachen die mich gewarnt haben und ich auf ok klicken sollte. Aber den habe ich nicht getraut und daher nicht gemacht.

Hinzu kommt, das mir anscheind rechte (adminstrator?) weggenommen wurden. ich kann nicht mehr in den Task Manager, kein ICQ mehr öffnen keine Systemsteuerung mehr vorhanden, mit rechtsklick nicht mehr auf eigenschaften im Desktop. das mir bis jetzt aufgefallen, könnte noch mehr sein.

Habe Adware SE Professional gestartet und der hat über 200 sachen entfernt. Seitdem öffnen sich keine internetseiten oder Programme mehr. Das scheint weg zu sein. Aber das andere beschriebene ist noch da (rechte, Hintergrundbild)

Hier die Hjackthis Log (hoffe das ist so richtig)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:08, on 18.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\mllmj.exe
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O3 - Toolbar: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - C:\Programme\pics-factory Toolbar\pics-factory.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINDOWS\system32\drvraj.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [AntiVirusPro] C:\Programme\AntiVirusPro\AntiVirusPro.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Ultimate Cleaner.install] "C:\Programme\ucleaner_setup.exe" continue
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKCU\..\Run: [UltimateDefender.install] "C:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\trant.exe" continue
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: findfast.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - C:\Programme\pics-factory Toolbar\pics-factory.dll
O9 - Extra 'Tools' menuitem: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - C:\Programme\pics-factory Toolbar\pics-factory.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9559ED6-9757-49C3-89A2-E830827A1DA3}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 8018 bytes



Hoffe jemand kann helfen.

l.G.

Manajah 19.01.2008 19:57
Kann den keiner helfen?

Bitte :heilig:

Jaipur 19.01.2008 21:28
Hallo Manajah,

Zitat:
Ich habe auf dem Desktop als Hintergrundbildschirm ne blaue fläche und in der mitte steht "Warning! Spyware detected on your Computer! Install an antivirus or spyware remover to clean your PC."
Das sieht nach Zlob, Smitfraud und Co aus. Mit diesem hartnäckigen Zeug könnte man ja mit ein bischen Glück noch fertig werden, aber da gibt es denke ich mal noch weit unangenehmeres auf Deinem Rechner:

Zitat:
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Lasse alle Datein und Ordner anzeigen (so gehts:http://www.pc-magazin.de/praxis/cm/p...ble=pg&id=3521) und lade nun nacheinander folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch:

C:\WINDOWS\lsass.exe (nicht C:\WINDOWS\system32\lsass.exe!)

C:\WINDOWS\system32\spoolvs.exe (nicht C:\WINDOWS\system32\spoolsv.exe!)

mgrs.exe

und poste hier die kompletten Ergebnisse.

Gruß

Jaipur

boston 19.01.2008 22:16
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
werden wahrscheinlich schon das aus für das system bedeuten,
aber neben diverser adware gibt es noch andere kandidaten.

F3 - REG:win.ini: load=C:\WINDOWS\system32\mllmj.exe
O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINDOWS\system32\drvraj.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [AntiVirusPro] C:\Programme\AntiVirusPro\AntiVirusPro.exe
O4 - HKCU\..\Run: [Ultimate Cleaner.install] "C:\Programme\ucleaner_setup.exe" continue
O4 - HKCU\..\Run: [UltimateDefender.install] "C:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\trant.exe" continue
O4 - Startup: findfast.exe
O4 - Global Startup: autorun.exe

printer.exe, findfast.exe und autorun.exe könnten zur
spoolvs.exe gehören SPOOLVS.EXE, Prevx

Manajah 20.01.2008 08:54
Hallo,

Erstmal vielen dank für die zeit die ihr für mich nimmt. Das ist sehr nett.

So... aber schon hat der Noob seine ersten Schwierigkeiten.

Ich finde die lsass.exe einfach nicht. Ich bin den Link vom PC Magazin 3 mal durchgegangen ob ich vieleicht was übersehen habe, aber passt alles. Hab dann mal bei "Suche" geschaut ob der vieleicht woanders ist, als im "Windows" Ordner. Aber Fehlanzeige, hat nur die aus dem "System32" gefunden. Versteh ich nicht, kann die vieleicht aufeinmal weg sein oder irgendwie super versteckt was im PC Magazin nicht steht? Oder bin ich einfach nur ein Trottel :kloppen:

Na gut, die SpoolVS habe ich gefunden, allerdings auch da probleme! Wollte die bei Virustotal hochladen und hab erstmal gewartet. nach einer halben stunde kam mir das sehr lange vor und fragte mich wieso der so lange brauch. Hab mal geschaut dann wie gross die datei ist und die ist nur 320kb gross! nach 2 stunden habe ich erstmal beendet. Hat da was nicht gestimmt oder dauert das tatsächlich sehr lange? Werde es später nochmal probieren, vieleicht war auch nur irgendwas überlastet. mal schauen.


Zitat:
Zitat von boston (Beitrag 317092)
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
werden wahrscheinlich schon das aus für das system bedeuten,
Ohje, was genau bedeutet das im Klartext? Ich meine zur Not, wenn nicht anders geht, muss ich halt neu Formatieren. Wäre aber sehr viel arbeit für mich, daten und so neu auf den PC zu bringen.

Ich meine so gehts eigentlich noch! Keine werbung mehr oder so, kann Spiele zocken ohne probleme, filme schauen, musik hören etc. hab nur keine admistrator rechte oder so mehr.

Auf jedenfall erstmal nochmal vielen dank

Lg.

boston 20.01.2008 16:38
ich würde dir auch ohne prüfung von avp.exe, mgrs.exe und lsass.exe dringend dazu raten,
den rechner sofort vom netz zu nehmen und neuaufzusetzen.

Zitat:
Ich meine so gehts eigentlich noch!
sicher, aber im hintergrund werden fleißig deine daten ausspioniert
und wohl noch schlimmeres

hier nur ein paar auszüge(quelle prevx)

AntiVirusPro.exe

The process hooks code into all running processes which could allow it
to take control of the system or record keyboard input, mouse activity
and screen contents

ucleaner_setup.exe

Can communicate with other computer systems using HTTP protocols

SPOOLVS.EXE

Changes Windows Firewall Control Settings to allow itself to communicate with
other computers
Disables Access to the Windows Registry Editior

Zitat:
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

http://www.trojaner-board.de/12154-a...sicherung.html

Jaipur 20.01.2008 21:41
Hallo Manajah,

ich rate Dir ebenfals dazu, Dein System umgehend neuaufzusetzen und da nicht mehr lange rumzuexperimentieren. Das Risiko ist zu hoch.

Die Analyse ist auch ohne ein Ergebnis von Virustotal ziemlich eindeutig.

Gruß

Jaipur

Manajah 23.01.2008 20:12
Hallo,

Erstmal nochmal vielen Dank für die Hilfe. Habe mein PC Formatiert.

Hab da jetzt noch ne Frage, habe noch Daten von mir auf CD gemacht, die ich ungern verlieren möchte (fotos (Urlaub, Weihnachten), Dokumente etc.)

Die habe ich auf cd gebrannt, als der Virus schon drauf war. Kann der Virus mit auf die CD gekommen sein? Wäre es ein Risiko das auf den PC zu packen? Wenn ja, gibts ne möglichkeit das sicher auf den PC zu tun? Weil sonst wär wirklich schade, sind schon sachen die mir was bedeuten.

lg.

Jaipur 23.01.2008 20:59
Hallo,

Zitat:
...habe noch Daten von mir auf CD gemacht,...(fotos (Urlaub, Weihnachten), Dokumente etc.)
Das Risiko ist ziemlich gering, solange es sich bei den Daten nicht um Programme und ausführbare Dateien handelt (z.B. "exe" oder "com" Dateien).

Bilder oder Office- Dokumente sind relativ unkritisch.

Wenn es nicht unbedingt sein muss, z.B. um Bilder zu bearbeiten, würde ich die Daten aber auf der CD belassen und von dort aufrufen, denn ein gewisses Restrisiko ist natürlich nie auszuschliessen.

Für die Zukunft empfehle ich Dir, wichtige Dokumente und Bilder, die Dir etwas bedeuten, regelmäßig auf CD zu brennen. So bist Du für den Fall der Fälle was das angeht auf der sicheren Seite.

Gruß

Jaipur


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131