Spyware-Infektion

[Philosophaster]

Ich brauche Hilfe!

Ich hatte mir über astalavista ein paar cracks runtergeladen (töricht genug). Aber ich wog mich in Sicherheit, einerseits hab ich einen Router mit eingebauter Firewall, andererseits hab ich ja noch das gute alte AntiVir....
keygen.exe (ansich nichts ungewöhnliches, nur ab und zu bedenklich) geöffnet und siehe da... irgend so ein Pseudo-Antiviren-Proggy, was ich nie installiert hab fängt an irgendwas zu analysieren....
Das schmeckte mir natürlich garnicht -> gleichmal über TaskManager alles Merkwürdige sofort unterbrochen... SpyBot-Search&Destroy und Ad-Aware laufen lassen.... hat alles nichts genützt.... Systemwiederherstellung kann man sich natürlich auch abschminken.

Mein Desktop-Hintergrund war inzwischen auch umgestiegen:

SPYWARE INFECTION
Your system is infected with spyware.Windows recommends you to use a spyware removal tool to prevnt loss of important data and increase system prefomance.Using this PC before having it cleaned from spyware threats is highly discouraged.

-> sowas sieht man nicht gerne.... Einstellungen alle gesperrt... gut.. hab ein wenig geGOOGELt, ein paar htmls entfernt und das mit dem Hintergrund klappt wieder... aber das löst das Hauptproblem keineswegs.

Dann hab ich erstmal fleißig Proggys runtergeladen: Microsoft AntiSpyware, Spyware Doctor, Ewido Security Suite, The Cleaner... toll die finden irgendwas ich löschs und es scheint wieder alles in Ordnung.

So ich guck mich in der REGESTRY um: Zunächst war die gesperrt, also man konnte sie lesen, aber nichts editieren... nach den unzähligen AntiSpyWareScans konnte ich da wieder drin rumfuschen... hab ein paar Sachen gerichtet... den SpySheriff entfernt und und und....

Dachte jetzt passt alles wieder.... warf mir den Putzlappen über die Schulter, wollte nach einem Neustart nochmal in der Regestry was nachschaun und siehe da: Wieder gesperrt (mit schwarz hinterlegt).
So.... jetzt bin ich am Ende.... da gibts noch was: Ein paar Programme machen nicht mehr mit... da wäre Alcohol 120% was ich für Norton bräuchte, was ich nur als Image einbinden könnte, da wären aber auch viele .exe-Datein und fast alle Installer, die plötzlich aufhören und einfriern... manchmal kann man .tmp-Datein über TaskManager sofort schließen und dann geht die Installation weiter, aber im Grunde ist das ja keine Lösung.

Ich habe hier mal mein Hijack This Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:00, on 14.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\Programme\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
f:\Programme\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\USBToolbox\Res.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\SpamPal\spampal.exe
F:\Programme\Spyware Doctor\swdoctor.exe
F:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
F:\Programme\Microsoft AntiSpyware\gcasServ.exe
F:\HijackThis.exe
C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe
C:\DOKUME~1\Enrico\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - F:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - F:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [gcasServ] "F:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: TransText.lnk = F:\transText\transtext.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - f:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - f:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

btw: Ist services.exe an der richtigen Stelle?
Was muss ich alles ändern? Ich bin ein n00b und hab absolut keinen Plan mehr.


Ich bin total dankbar für jede Hilfe!

 

[XFreeX]

http://forum.ingame.de/broodwar/showthread.php?s=&threadid=78768

Word!

 

[Philosophaster]

Die dort beschriebenen Prozeduren habe ich alle hinter mir... außerdem antwortet im "Hoffnungslosen"-Thread niemand.

 

[[For]Hood2]

Hä nur weil ich gestern nicht geantwortet habe? Glaubt Ihr eigentlich ich warte nur auf Euch? Es war Wochenende und da darf ich wohl auch mal was anderes machen.




Mach mal den Bitdefender online scan und poste das log wenn er fertig ist.

Download und entpacke es auf deinen Desktop:
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Beende deine Internetverbindung.

Nun markiere das folgende (in fett) und drücke strg+c um es in die Zwischenablage zu kopieren.

C:\WINDOWS\System32\avpx32.dll
C:\WINDOWS\System32\avpx32.sys
C:\WINDOWS\System32\avpx64.sys
C:\WINDOWS\System32\p3.ini
C:\WINDOWS\System32\qy.sys
C:\WINDOWS\System32\qz.dll
C:\WINDOWS\System32\qz.sys

Doppelklicke Killbox.
Klicke auf 'file' in der Menüleiste von Killbox wähle “Paste from clipboard”

Klick auf “delete on reboot”.
Dann klicke auf den Knopf welcher wie ein Roter Kreis mit einem weissen X innendrin aussieht.
Killbox fragt nun ob die Dateien beim neustart gelöscht werden sollen. Klick Yes.
Dann fragt es ob nun neu starten soll. Klicke Yes.
Killbox überprüft nun ob alles in Ordnung ist. Bekommst Du die Meldung: "PendingFileRenameOperations Registry Data has been Removed by External Process!"
dann starte selber neu. (Start-> Ausschalten-> neu starten)

Dann fixe das:
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\avpx32.dll

Poste ein neues HijackThis log.

 

[Philosophaster]

Zunächst einmal möchte ich für meine vorige Antwort um Entschuldigung bitten und bedanke mich für die Bearbeitung meines Problems.

Beim Online-Check gibts unter Firefox eine (für Nestcape vorgesehene) Fehlermeldung. Bei IE gibts ein update-Fehler wodurch der weitere Scan nicht zustande kommt.

Killbox.exe wird bei mehrfachen Versuchen nicht ausgeführt . Ähnlich wie andere (AntiDreck-)Programme.

Process & File Killer hat ein Problem festgestellt und muss beendet werden.

 

[cart]

Jo das gehört hier nicht her... Malware-Thread plz.