Spyware geht nicht weg; iexplore.exe, XviDelg.dll, Trojan.BHO, loader.exe
 

Hallo.

Seit gestern habe ich ein lästiges Schadprogramm auf dem Rechner, das nicht so einfach zu löschen ist. Es scheint sich um die Datei „iexplore.exe“ zu handeln, die plötzlich immer im taskmanager auftaucht, obwohl ich den IE garnicht benutze. Regelmäßig poppen auch IE-Fenster mit Werbung auf. Alle paar Minuten werden alle aktiven Fenster von selbst inaktiv, und wenn ich sie anklicke, um z.B. weiterschreiben zu können, schaltet sich der Wave-Output von selbst ganz runter und ich habe keinen Ton mehr.
Eine Logfileanalyse hat dann tatsächlich ein anscheinend chinesisches Programm gefunden, es gab eine smss.exe im lokalen Temp-Ordner, und zwei O2, eins ohne name und ohne Ordner, und eins CDNSCacheObj in WINDOWS mit Namen XviDelg.dll.
Ich habe, weil es sich um dasselbe Problem zu handeln schien, nach der Anleitung unter http://www.trojaner-board.de/28388-a...n-swizzor.html die Dateien im abgesicherten Modus gelöscht, gefixt, mit Ccleaner alle Tempdateien gelöscht, mit deaktivierter Systemwiederherstellung neugestartet, Systemwiederherstellung wieder aktiviert. Eine 16-stellige *.job-Datei habe ich aber nicht gefunden, auch kein O4, das der Beschreibung entsprach, eben nur die O2. Vielleicht war es ein Fehler, wie bei swizzor vorzugehen, denn das Problem bestand nach der Prozedur immer noch. Das alte Logfile von vor dem Fix ist mir ärgerlicher Weise verlorengegangen, aber im Backup von Hijackthis habe ich die Auskunt über die beiden gefixten Datei gefunden:Der Panda-Online-Scan erkannte heute nacht dann immer noch mehrere infizierte Ordner. Mittlerweile habe ich Malwarebyte durchlaufen lassen, hat drei Infizierungen gefunden und gelöscht, aber das Problem besteht immer noch. OTL habe ich versucht, herunterzuladen, lässt sich aber nicht installieren, immer erscheint eine Fehlermeldung.
Kann mir bitte jemand helfen, das Programm zu beseitigen? Ist es ein gefährliches Programm, was z.B. Daten und Manipulation betrifft, oder ist es in erster Linie einfach ein lästiges Werbespam-Programm? Ich poste mal chronologisch die Logfiles. Unter 'Running Processes' im letzten Logfile scheint iexplore.exe übrigens nicht aufzutauchen, aber im Taskmanager erscheint es unter dem Benutzernamen SYSTEM und arbeitet die ganze Zeit!
Vielen Dank für schnelle Hilfe!

Logfile Panda-scan:
Logfile Malwarebytes:
Logfile Malwarebytes nach dem Löschen:
Hier noch ein aktuelles Logfile mit HijackThis:

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

Hallo Daniel,

vielen Dank, dass Du Dich meiner annimmst.

Es gibt ein kleines Problem: wie ich bereits schrieb, schaffe ich es nicht, OTL zum laufen zu bringen. Ich habe es schon mehrfach runtergeladen, aber immer, wenn ich dann auf OTL.exe und dann auf Ausführen klicke, erscheint die Fehlermeldung 'OTL hat ein Problem festgestellt und muss beendet werden'. What to do?

Sehen wir mal ob da was blockt

Drucke dir die Anleitung gegebenfalls aus :)

Downloade Dir bitte OTH ( by Oldtimer ) und speichere die Datei dort wo sich auch die OTL.exe befindet

• Starte OTH.scr mit Doppelklick.
• Klicke nun auf den Kill All Process Button.
• Klicke auf Start OTL.
• Wenn OTL beendet ist, klicke in OTH auf Reboot

Poste mir wenn möglich die Log

verflixt und zugenäht, auch das hilft nichts, die gleiche Fehlermeldung. Ich habe OTL.exe ganz normal auf dem Desktop gespeichert.
Ich weiß nicht, ob das hilft, aber das ist die 'Problemsignatur':

Downloade OTS.exe und speichere es unbedingt auf Deinem Desktop. Doppelklick auf die OTS.exe
Wenn Dein Anti-Viren-Programm bei OTS Meldung macht, erlaube es.

• Mache einen Haken bei "Scan All Users und Include MD5".
• Kopiere folgenden Text in die http://img695.imageshack.us/img695/918/customscan.jpg Box.
  
  Code:

  ---

  NetSvcs
Drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

  ---

• Unter der http://img268.imageshack.us/img268/8083/additional.jpg Box klicke auf den http://img823.imageshack.us/img823/9514/extrasb.jpg Button.
  Hake nun folgende Einträge an:
  
  
  • Reg- Active Sub Paths
  • App Paths
  • Approved Shell Extensions
  • Disabled MS Config Items
  • File Lop Check
  • File Purity Check

  Mache währenddessen nichts anderes an dem Rechner.
  Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit dem Logfile.
  Auch zu finden auf dem Desktop ( OTS.txt )

• Schließe nun alle laufenden Programme sowie deinen Browser.
• Klicke auf den http://img689.imageshack.us/img689/4333/runscan.jpg links oben, um die Untersuchung zu starten

Hänge diese Log bitte hier an, die ist nicht gerade kurz.

das gibt es doch nicht, ots.exe will mein rechner auch nicht öffnen, gleiche fehlermeldung wie bei otl, das programm hätte einen fehler festgestellt und müsse beendet werden. liegt das vielleicht an irgendeiner einstellung an meinem computer? bei windows xp müsste doch ein doppelklick reichen, um die datei auszuführen, oder?

Gut, dann sehen wir mal anders nach.

Möglichkeit eine CD zu brennen ? wenn ja,

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

So, das hat wunderbar geklappt. Um sicherzugehen, habe ich alle files aus den letzten 60 Tagen scannen lassen. Beide .txt sind im Zipordner.

O1 - Hosts: 127.0.0.1 activate.adobe.com

"{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support

Was kannst Du mir dazu sagen. Die Software kostet ca 1000$. Der HostsEIntrag verhindert den Zugriff auf den Server von Adobe. !!

Ein Zeichen einer illegalen Version

ja, das sollte ich wohl besser wieder löschen...

ist sonst an malware ncihts zu finden?

Ich helfe nicht beim Besitz von illegaler Software

Anleitung zum Neu aufsetzten

Hilfst du mir, wenn ich das programm gelöscht habe?

Nein, wer sagt mir das du es Dir danach nicht nochmal saugst?

BTW gibt es gute Freeware Allternativen. CS4 braucht man in privatbereich nicht.

Mehr als mein Ehrenwort kann ich tatsächlich nicht anbieten, aber in der weiten Netzanonymität ist das wohl ziemlich wertlos, das sehe ich ein.

Ich habe das Programm jedenfalls gelöscht, werde es mir auch nicht noch einmal saugen (außerdem habe ich mir vor Jahren mal Fireworks gekauft, das ist immer noch ganz gut - ansonsten ist GIMP zu empfehlen, oder?), und werde jetzt clean andernorts nach Hilfe suchen.

Vielen Dank trotz allem für Deine Hilfe und entschuldige das Ärgernis.