Trojaner-Board - Entfernen der folgenden Spyware?!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Entfernen der folgenden Spyware?! (https://www.trojaner-board.de/25193-entfernen-folgenden-spyware.html)

Entfernen der folgenden Spyware?!

Hi mein anti viren programm (virobot expert 4.0)
findet bei mir ständig spware verseuchte reg einträge!

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotchbar.com
-KCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ysbweb.com
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
-HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com

diese erscheinen nach manuellem löschen ständig wieder!!!
bitte um hilfe
Tobi

p.s.:
escan wurde bereits durchgeführt und entsprechende viren mit killbox beseitigt,
abgesehen von fehlern erkennt er nun nichts mehr an viren!!
die spywares werden aber immer wieder aufs neue von meinem anti viren prog erkannt und sind auch in der registry auffindbar!!

escan,cw shredder,ad aware und spybot haben nichts bewirkt!!
die spywares werden immer wieder aufs neue von meinem anti viren prog erkannt und sind auch in der registry auffindbar!!

hallo,

bitte poste ein HJT logfile..

ok
hier die log:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 16:52:32, on 03.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ViRobotXP\vrmonsvc.exe

C:\Programme\ViRobotXP\Vrres.exe

C:\Programme\ViRobotXP\vrmonnt.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programme\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [VrSchedule] C:\Programme\ViRobotXP\Vrres.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [VrMon] C:\Programme\ViRobotXP\vrmonnt.exe Main

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VrBootScan] C:\Programme\ViRobotXP\VRBScan.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Programme\ViRobotXP\vrmonsvc.exe

virobot expert von hauri ist meinen anti viren prog.

hier noch die löog von solentrunners:

Code:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"VrSchedule" = "C:\Programme\ViRobotXP\Vrres.exe" ["(C)HAURI"]

"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]

"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe" [empty string]

"VrMon" = "C:\Programme\ViRobotXP\vrmonnt.exe Main" ["HAURI"]

"SystemTray" = "SysTray.Exe" [MS]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"VrBootScan" = "C:\Programme\ViRobotXP\VRBScan.exe" [empty string]
 

HKLM\Software\Microsoft\Active Setup\Installed Components\

>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"

                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {CLSID}\InProcServer32\(Default) = "E:\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {CLSID}\InProcServer32\(Default) = "E:\Microsoft Office\Office10\msohev.dll" [MS]

"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"

  -> {CLSID}\InProcServer32\(Default) = "e:\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]

"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"

  -> {CLSID}\InProcServer32\(Default) = "e:\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]

"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"

  -> {CLSID}\InProcServer32\(Default) = "e:\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]

"{170C6CC2-9FB2-42e1-9184-5336C51EBE6D}" = "ViRobot Expert Ver 4.0"

  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ViRobotXP\VShExt.dll" ["HAURI"]

"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"

  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"

  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
 

HKLM\System\CurrentControlSet\Control\Session Manager\

INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e" [file not found], [MS], [file not found], [file not found]
 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]
 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

ViRobot Expert\(Default) = "{734028e4-d909-4130-92ed-74f1d8e0b9dc}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ViRobotXP\vrshex.dll" ["(C) HAURI"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]
 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]
 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

ViRobot Expert\(Default) = "{734028e4-d909-4130-92ed-74f1d8e0b9dc}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ViRobotXP\vrshex.dll" ["(C) HAURI"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop is enabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Active Desktop web content:
 

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

"FriendlyName" = ""

"Source" = "file:///C:/DOKUME~1/PC03/LOKALE~1/Temp/msohtml1/01/clip_image001.gif"

"SubscribedURL" = "file:///C:/DOKUME~1/PC03/LOKALE~1/Temp/msohtml1/01/clip_image001.gif"
 
 

Startup items in "PC03" & "All Users" startup folders:

------------------------------------------------------
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Microsoft Office" -> shortcut to: "E:\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
 
 

Enabled Scheduled Tasks:

------------------------
 

"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" [file not found]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

C:\WINDOWS\system32\dcsws2.dll ["DiamondCS"], 01 - 03

%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 24

%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]

ViRobot Expert Monitoring, vrmonsvc, "C:\Programme\ViRobotXP\vrmonsvc.exe" ["HAURI"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
 
 

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 53 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 15 seconds.

---------- (total run time: 86 seconds)

danke für die hilfe
Tobi

hat keiner eine idee!!
bin am verzweifeln:sleepy:

sry ich muss schieben, weil ich keine lösung finde!
angaben sind doch genug oder?

Ich habe eine Idee für Dich:
Poste Dein Log wie alle hier.

danke für diese idee:dummguck:
aber die idee habe ich bereits umgesetzt
hijack log, silent runners log
und falls auch escan log nötig ist
hab ich sie in diesem thread gepostet
http://www.trojaner-board.de/showthread.php?t=25128
meiner meinung nach hilft aber escan nix bei spyware!!

ansonsten wüsste ich ned welche log du meinen könntest:balla:

...ah, noch mehr Betroffene...Wie ich sehe, gibts einige Threads zu ein und demselben Problem der "Zonemaps" ?

Das sind meine Funde unter Zonemaps:

blazefind.com
clickspring.net
flingstone.com
mt-download.com
my-internet.info
searchbarcash.com
searchmiracle.com
skoobidoo.com
slotch.com
slotchbar.com
windupdates.com
xxxtoolbar.com
ysbweb.com

Keiner ne Idee ?

Analyse

1. Einträge in der Registry löschen

2. Regmon starten. Folgende Filtereinstellungen:

> Include: Create
> Exclude: regmon.exe; explorer.exe
> Highlight: Zonemap
> Alle Häckchen setzen

Nun mal beobachten, welcher Prozess die Einträge neu schreibt (Wahlweise auch mal zuerst Regmon starten und dann erst löschen). Sollte nichts zu sehen sein:

> Options > Log Boot
> Neustart

Da ich nur Halbwissender bin, bitte ich die Experten mal meinen Lösungsvorschlag ggfs. zu bestätigen:

Wenn ich richtig liege, dann sind die in der Registry unter Zonemaps/Domains eingetragen Seiten die Seiten der IE-Sicherheits-Internetzonen, auch die "bösen" restricted sites. Bei mir hat wohl Spyware-Blaster einen Haufen dieser "Restricted Sites" in die Zonemaps eingetragen. XPclean und PestPatrol haben davon wenige davon fälschlich als Malware erkannt. Die Eintragung in den Zonemaps sollte aber noch keine Bedrohung sein ?

Folgendes habe ich gemacht:

>> Alle "zonemaps" in der Registry gesucht, darunter NUR die "domains"exportiert (zur Sicherheit) und dann NUR die "domains" gelöscht.

Jetzt sind diese domains im Spywareblaster "unprotected".
Sie fehlen jetzt im IE unter "eingeschr. Sites", und werden nicht mehr von XPclean und PestPatrol als Spyware erkannt. Denke, das man diese Meldungen innerhalb der Anti-Spyware-Programme evtl. auch auf "ignorieren" stellen.

Was meint Ihr ?

...darfs ein bisschen mehr sein bitte ?

Zitat:

Zitat von boe

...darfs ein bisschen mehr sein bitte ?

Ungern. Anhand dieser Werte bzw eines Blickes in die Internetoptionen siehst Du ja welche Seiten wie eingestuft werden.

Code:

Wert     Einstellung

------------------------------

   0        Arbeitsplatz

   1        Lokales Intranet

   2        Vertrauenswürdige Sites

   3        Internet

   4        Eingeschränkte Sites

Die Fehlfunktion von XPClean und Pestpatrol - und um nichts anderes handelt es sich hierbei - dadurch zu umgehen die Domains wieder aus den restricted Sites zu nehmen ist höherer Blödsinn.
Wenn XPClean und Pestpatrol so sinnfrei irgendwelche Einträge als Spyware markieren, sollte man sich gut überlegen, ob man sie überhaupt verwenden sollte.
Im übrigen sollte ein Programm reichen. Weniger Softwareeinsatz, mehr bewusstes Handeln am Computer ist deutlich effizienter.

@MightyMarc: Danke, aber genau das wollte ich doch, daß Du oder andere Experten das nochmal bestätigen. Für meinen Teil kann ich die "Restr. Sites" jetzt einfach wieder re-importieren oder ich lasses halt.

Bzgl. der Menge an Software gebe ich Dir grundsätzlich Recht, nur Spyware-Tools würde ich hier ausschließen! Ich würde jedem mindestens Ad-Aware, Spybot S&D und Spywareblaster empfehlen.