Warnung vor Trojaner/Spyware (joleone)

joleone
Gast

« am: 09.10.07, 23:12:47 »

hallo,

habe folgendes problem: kriege immer warnungen vom security center, daß ich einen trojaner/spyware "windows securtity alert - ..." hab. (alle 2-3 min krieg ich ne andere meldung in der task-leiste...
wär ja (nicht) schön und (nicht) gut, aber
1. hab ich security center abgeschaltet.
2. mein T-TeleSec Personal Security Service findet nichts.
3. spybot S&D auch nix.
4. meine ie startseite hat sich geändert auf:"H:\WINDOWS\system32\spywarewarning.mht".Alle links von dort führen nach: " f6b570351536b520f5506670b5201056e585b6914455b555e0c4b4269570154020255 06565b05454100560509474252540405104450510e0f010914510e0b500012045b5e5 3" class="bbc_link" target="_blank">http://antispywarekontrolle.com/schlacht/index.php?4002515d5e421b126b045615685c5d3e50546e4f575203154e5054580503025269005 f6b570351536b520f5506670b5201056e585b6914455b555e0c4b4269570154020255 06565b05454100560509474252540405104450510e0f010914510e0b500012045b5e5 3

Kann mir jemand weiterhelfen?

Moderator informieren

Dr.Low
Gast

Re: Warnung vor Trojaner/Spyware

« Antwort #1 am: 10.10.07, 00:25:05 »

Auch hier: als erstes mal hijackthis logfile ertellen und posten

Anleitung

Moderator informieren

mastaluis (227)

Re: Warnung vor Trojaner/Spyware

« Antwort #2 am: 10.10.07, 20:06:58 »

Hat dir diese Antwort geholfen?

könntest du auch sagen welches antiviren programm und so du benutzt.

das was du da auf deinem pc hast nennt man spyware bzw adware.
erstelle wie von drlow schon erwähnt ein hijackthis logfile.
dannach gehst du in den abgesicherten modus mit einer ausgeschaltenen systemwiederherstellung.
scanne dann dort mit folgenden programmen und folgender schrittweise.

1 scan mit dem tool smitfraudfix
2 neustart
3abgesicherter modus wieder
4 scan mit dem tool drweb
5 neustart
6 abgesicherter modus
7 scan mit dem programm sbybot search & destroy ( dieses warnt dich auch falls in der registry etwas geändert werden sollte da du spyware bzw adware auf deinem pc hast wird das beim normalen systemstart dauernd passieren, da dein pc infiziert ist solltest du keinesfalls eine gesamtsicherung vornehmen )
8neustart
9 normaler systemstart ( nicht abgesicherter modus )
10 erneutes erstellen eines hijackthis logfiles

Alle scanergebnisse hier posten.

luis

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: Warnung vor Trojaner/Spyware

« Antwort #3 am: 10.10.07, 20:11:07 »

Hat dir diese Antwort geholfen?

Smitfrauffix mit Anleitung:

Nutze dieses Programm:(ist mit Anleitung)
http://siri.geekstogo.com/SmitfraudFix_De.php

« Letzte Änderung: 10.10.07, 20:23:33 von ersguterjunge »

Moderator informieren

joleone
Gast

Re: Warnung vor Trojaner/Spyware

« Antwort #4 am: 11.10.07, 13:21:55 »

mein antivirenprog: T-TeleSec Personal Security Service
habs versucht wie angegeben.drweb verträgt sich nicht mit T-Telesec.spybot findet nix.

hier das hijack log:

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Nero Premium 7.9.6.0\Nero 7\InCD\InCD.exe
H:\Programme\FreePDF_XP\fpassist.exe
H:\Programme\Personal Security Service\Common\FSM32.EXE
H:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
H:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
H:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe
H:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
H:\WINDOWS\system32\cisvc.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\1031b.exe
H:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
H:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
H:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
H:\Programme\Personal Security Service\Common\FSMA32.EXE
H:\Programme\Personal Security Service\Common\FSMB32.EXE
H:\WINDOWS\SYSTEM32\GEARSEC.EXE
H:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
H:\Programme\Nero Premium 7.9.6.0\Nero 7\InCD\InCDsrv.exe
H:\Programme\Personal Security Service\Common\FCH32.EXE
H:\Programme\Personal Security Service\Common\FAMEH32.EXE
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wdfmgr.exe
H:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
H:\WINDOWS\System32\alg.exe
H:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
H:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
H:\WINDOWS\system32\cidaemon.exe
H:\Programme\AOL 9.0\waol.exe
H:\Programme\AOL 9.0\shellmon.exe
H:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
H:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
H:\Dokumente und Einstellungen\UserOne\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = H:\WINDOWS\system32\spywarewarning.mht
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hallo Meister
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] H:\Programme\Nero Premium 7.9.6.0\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] H:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "H:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "H:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "H:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "H:\Programme\Personal Security Service\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "H:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Senden an &Bluetooth - H:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - H:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1951D99-8EC4-44F6-9E93-EC9B3F36373A}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - H:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - H:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - H:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Ablagemappe ClipSrvTapiSrv (ClipSrvTapiSrv) - Unknown owner - H:\WINDOWS\system32\1031b.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - H:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - H:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - H:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - H:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: GEARSecurity - GEAR Software - H:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Programme\Nero Premium 7.9.6.0\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - H:\Programme\Nero Premium 7.9.6.0\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--

und hier das smitfraudfix log

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
H:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» H:\

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» H:\Dokumente und Einstellungen\UserOne

»»»»»»»»»»»»»»»»»»»»»»»» H:\Dokumente und Einstellungen\UserOne\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» H:\DOKUME~1\UserOne\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» H:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AFDA6B9-4459-49B8-93DD-DE63C7B1FE96}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AFDA6B9-4459-49B8-93DD-DE63C7B1FE96}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9AFDA6B9-4459-49B8-93DD-DE63C7B1FE96}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Moderator informieren

mastaluis (227)

Re: Warnung vor Trojaner/Spyware

« Antwort #5 am: 12.10.07, 14:48:07 »

Hat dir diese Antwort geholfen?

O23 - Service: Ablagemappe ClipSrvTapiSrv (ClipSrvTapiSrv) - Unknown owner - H:\WINDOWS\system32\1031b.exe

ganz ehrlich diese datei kommt mir ein bisschen sehr komisch vor
sollte das wircklich was böses sein solltest du neu aufsetzen da service nicht immer was gutes bedeutet.
falls es böse ist ist es für dich sicherlich kein service sondern für "jemanden" anderen.

lade diese datei mal bei virustotal.com hoch.

Moderator informieren

Sir Reklov
Gast

Re: Warnung vor Trojaner/Spyware

« Antwort #6 am: 12.10.07, 15:45:53 »

nicht jeder O23 Eintrag mit einem "unknown owner" ist auch gleich ein solcher...

Der Clipserver ist korrekt und bedarf keiner Überprüfung !!
Ich habe schon Logs gesehen da war der Clipserver 40 mal vorhanden... Da ist es so schon ein wenig angenehmer...

@TO
schalte den Teetimer von Spybot aus !!
in Spybot>Modus > erweiterter Modus >Wwerkzeuge > Resident > beide Haken raus

Deinstalliere über Systemsteuerung > Software folgendes :

Zitat

Programme\Personal Security Service\Common\FSM32.EXE

Diesem Pfad spürst du nach wie angegeben :

Zitat

H:\WINDOWS\system32\spywarewarning.mht

Lösche das !!

Schalte den ** Netiquette! **igen Optimizer aus,er macht deine Kiste nur unnötig langsamer und bringt effektiv gar nix.

Zitat

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "H:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart

Bei deinem F-Secure handelt es sich um die uite ? also Firewall und VA mit bei ?
Gehe in den abgesicherten Modus und mache einen Komplettscan mit F-Secure.
Sir Reklov

Moderator informieren

mastaluis (227)

Re: Warnung vor Trojaner/Spyware

« Antwort #7 am: 12.10.07, 15:54:29 »

Hat dir diese Antwort geholfen?

nein ich kannte diese exe bloss nicht und da es auch keinen googleeintrag ausser diesen gab und der service hatte dann auch noch einen unbekannten benutzer...
was war das für eine datei ???

luis

Moderator informieren

Warnung vor Trojaner/Spyware

Antworten zu Warnung vor Trojaner/Spyware:

Re: Warnung vor Trojaner/Spyware

Mehr zu Warnung vor Trojaner/Spyware

« sam broadcaster und second life		Blaues Fragezeichen, rotes Kreuz, Hinweis auf Antivirenprogramm usw. »