Spyware Strike 2.5 & Virus Alert! im Infobereich
 

hey!

hab seit gersten auch dieses komische Spywaren Strike, es hat zwar geklappt, es nen paar mal du deinstallieren allerdings bleibt dieses Symbolhttp://muhtrix.de/stumpfsinn/virus.gif im Infobereich immer noch vorhanden und läßt sich nicht löschen. Hab z.B. spybot schon benutzt, welches es auch findet, aber nicht wirklich löscht. Außerdem hab ich ewido installiert und das läuft im Hintergrund, hat aber auch nur wenig gefunden.
Hab schon durchs Forum geguckt und so einiges ausprobiert, aber dieses Teil ist mal echt hartnäckig. Kann mir jemand sagen, wie dieser Mist runterkommt?
In dem Zusammenhang hab ich versucht ne neue Firewall zu installieren, allerdings bekomme ich mit der "sygate" keinen Internetzugang (was weiß ich warum). Danach wollte ich wieder die "zonealarm" installieren, doch immer, wenn ich jetzt die Installation mit der .exe Datei starte, bootet der Rechner sofort neu!
Meint ihr die Probleme hängen direkt zusammen?

Wäre super, wenn mir jemand helfen könnte!


hier mal mein hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:38, on 25.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\OPLIMIT\ocrawr32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kicker.de/
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp3331.tmp (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PUXPTWKS.EXE /TWEAK
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?323
O17 - HKLM\System\CCS\Services\Tcpip\..\{B23558AA-6C61-4494-91C2-B241292F1C2C}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

hallo,

kurze frage..
kann es sein das du 2 antivirenprogramme am laufen hast?

wieso 2?

kaspersky dachte ich eigentlich nur?

meinst du mit dem anderen "ewido anti-malware"?

ja das meine ich.
denn der guard von ewido läuft mit

hab den guard von ewido mal eben ausgestellt, oder soll ich es ganz löschen?

mache geade ne systemuntersuchung mit kasersky!

was hälst du für sinnvoll, diesen plagegeist zu läschen?

mach mal den scan zu ende und teile das ergebniss hier mit..

o.k., aber das dauert wohl noch was!

was soll ich von dem kaspersky ergbnis hier einstellen?
das Protokoll oder die Statistik?

Hallo,
das Protkoll, also den Ausschnitt welche Dateien (mit genauer Pfadangabe) gefunden wurden und als was genau sie bezeichnet werden.


Grüße Wildone

jetzt schein gerade nichts mehr da zu sein, das symbol im infobereich ist weg, und das porgramm spyware strike auch.

wo finde ich im nachhinein noch die dateien, die kaspersky gescannt hat?

leider bootet der rechner immernoch neu, wenn ich zonealarm installieren will...hast du ne idee wildone?

schonmal nen dickes danke, das ihr euch so bemüht :party:

hab das protokoll gefunden, aber wie markiere und kopiere ich diese 1000 dateien hierher? :mad:

hab das protokoll gefunden, aber wie markiere und kopiere ich diese "1000" dinge hierher? :mad:

Hallo,
kenne mich mit Kaspersky selbst auch nicht gut aus, da ich ein anderes AV habe.
Aber da Spywarestrike ganz gerne mehrere Dateien an verschiedenen Orten ablegt, wäre es vielleicht noch ganz gut wenn du dir dieses Programm besorgst, es entpackst, in den abgesicherten Modus(F8 beim booten drücken) gehst und die runthis.bat ausführst. Dann postest du den Inhalt der Datei C:\Smitfiles.txt

Außerdem besorgst du dir folgendes Tool, und postest die vier Logfiles wie beschrieben, nur die Dateien der letzten drei Monate abkopieren.

Warum der Rechenr neu bootet, bei dem Installationsversuch von Zonealarm kann ich nicht sagen, ganz abgesehen davon rate ich im allgemeinen von Desktopfirewalls ab, da sie keinen Nutzen haben, aber viele Probleme verursachen können.

Edit
das werden wahrscheinlich alle Dateien sein die gescannt wurden, ich bräuchte aber nur die infizierten Dateien die gefunden wurden, wie gesagt, keine Ahnung wo Kaspersky die anzeigt, vielleicht doch in der Statistik?


Grüße Wildone

:) hab den kaspersky report


allerdings ist er viel zu groß um es hier einzustellen!

so, ich hoffe, das ist es, was du meinst:


Statistik:
Start: 25.01.2006 13:35:39
Ende: 25.01.2006 14:56:03
Untersuchte Objekte: 216642
Gefährliche Objekte gefunden: 1
Gefährliche Objekte desinfiziert: 0
Gelöschte Objekte: 0
Nach Quarantäne verschoben: 0

Einstellungen:
Untersuchungsobjekte:
Arbeitsplatz
Aktion für gefährliche Objekte:
Bearbeitung aller Objekte nach Abschluss der Untersuchung
Aktion für verdächtige Objekte:
Bearbeitung aller Objekte nach Abschluss der Untersuchung
Untersuchungsstufe:
Maximale Sicherheit:
Untersuchungsobjekte - Alle Dateien
Archive - werden untersucht
Gepackte Dateien - werden untersucht
Selbstextrahierende Archive - werden untersucht
OLE-Objekte - werden untersucht
Alternative NTFS-Ströme - werden untersucht
Mail-Format-Dateien - werden untersucht
Mail-Datenbanken - werden untersucht
Größenbeschränkung - keine
Zeitbeschränkung - keine
Kennwort - wird abgefragt
Untersuchungsbeschleunigung - iChecker™/iStreams™
Einstellungen für aus dem Untersuchungsbereich auszuschließende Objekte:
Nicht verwendet

Protokoll:
C:\WINDOWS\system32\__delete_on_reboot__replmap.dll ist das potentiell gefährliche Programm not-virus:Hoax.Win32.Renos.v 25.01.2006 14:48:08
C:\WINDOWS\system32\__delete_on_reboot__replmap.dll Objekt wurde nicht desinfiziert, Desinfektion wurde verschoben 25.01.2006 14:48:08
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask durch Kennwort geschützt, nicht bearbeitet 25.01.2006 14:55:52
C:\WINDOWS\system32\__delete_on_reboot__replmap.dll ist das potentiell gefährliche Programm not-virus:Hoax.Win32.Renos.v 25.01.2006 14:55:52
C:\WINDOWS\system32\__delete_on_reboot__replmap.dll in das Backup verschoben 25.01.2006 14:55:57
C:\WINDOWS\system32\__delete_on_reboot__replmap.dll Löschen nicht möglich, Objekt wurde gesperrt 25.01.2006 14:55:57
C:\WINDOWS\system32\__delete_on_reboot__replmap.dll wird bei Neustart des Computers gelöscht 25.01.2006 14:56:03