Habe Active-X aktiviert und nun "Spyware-Infection"!??

Hallo Experten des Spams,

hab ein "Hammer-Problem"!

War wieder mal auf den unsicheren Seiten unterwegs und hab dabei ungewollt Active-X installiert oder zugelassen - keine Ahnung!
Auf jeden Fall, hatte ich dann ziemlich viel Viren, Trojana, Spyware usw. auf meinem Rechner!
Also gut sagte ich mir: AntiVir-Scan-Lauf als 1. dann machste Ad-aware und zu guter letzt noch Shredder!
Es sind leider aber immer noch Reste von diesem einem Ausrutscher auf meiner Kiste! Könnt Ihr mir noch ein paar hilfreiche Tools nennen?? Am besten Free-Ware!

Ach ja, und immer wieder kommt so ein komischer "System error:..." - siehe Anhang für Screenshot- dabei werde ich dann auf eine Seite mit Freeware weitergeleitet. Und achtet auch mal auf die zwei Ausrufezeichen (es erfolgt die selbe Weiterleitung wie oben bei Error) rechts unten in der Taskleiste!

Schon mal 10000x Dank!

 

Die Meldung ist auch Teil von Spyware.....

http://www.pcwelt.de/forum/showthread.php?t=134046

 

Ich denke, dass du nicht ums Neuaufsetzen herum kommst.
Zur Zeit ist es gefährlich sich mit dem IE auf unsicheren Seiten herumzutreiben. Der FF hat zwar auch noch Lücken, die sind aber nicht so gefährlich, da sie nicht ohne Interaktion des Users ausgenutzt werden können und kein ActiveX unterstützt wird.

Hier kannst du Weiteres erfahren.

 

Und du glaubst es gibt keine andere "nicht so harte" Methode??? Das kann doch nicht sein oder???

 

Was hast du gegen meinen Link Tipp?

 

Hallo,
hängt davon ab was genau du hast. Das sicherste wäre Neuaufsetzen allemal.
Poste mal ein HijackThis Log wie hier beschrieben.

Außerdem löschst du mal deine Temp Dateien mit Cleanup! und poste danach die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!


Grüße Jasager

 

@jasager

also habe als ersters clean up gemacht... erstaunlich, aber es wurden 1,8 gb freigesetzt... danke dafür. jedoch besteht noch immer das problem... war aber wohl klar!

als nächstes hijackthis: hier der Linkhttp://www.hijackthis.de/logfiles/0c5ec3893d7667479ecde16a62c3f8ef.html

und jetzt noch die komischen datfindbat - und ich dachte ich kenne mich mit meinem rechner ein wenig aus :

Verzeichnis von C:\WINDOWS\system32

27.04.2006 17:29 40.128 perfc009.dat
27.04.2006 17:29 311.740 perfh009.dat
27.04.2006 17:29 48.354 perfc007.dat
27.04.2006 17:29 316.924 perfh007.dat
27.04.2006 17:29 723.744 PerfStringBackup.INI
27.04.2006 17:10 8.192 udpmod.dll
27.04.2006 17:10 8.192 questmod.dll
27.04.2006 17:10 8.192 jao.dll
27.04.2006 17:10 8.192 txfdb32.dll
27.04.2006 17:10 8.192 wstart.dll
27.04.2006 17:10 8.192 tcpservice2.exe
27.04.2006 16:21 8.192 CWS_iestart.exe
27.04.2006 16:21 8.192 mirarsearch_toolbar.exe
27.04.2006 16:03 0 wupdmgr.tmp
27.04.2006 15:58 16.896 winapi32.dll
27.04.2006 15:58 71.172 winsrv32.exe
27.04.2006 15:58 8.708 shell386.exe
27.04.2006 15:45 51.203 parad.raw.exe
27.04.2006 15:45 51.203 taskdir.exe
27.04.2006 15:44 11.249 azebar.xml
22.04.2006 08:22 126.112 FNTCACHE.DAT
12.04.2006 01:33 2.206 wpa.dbl
18.01.2006 14:05 57.344 avsda.dll

Verzeichnis von C:\Temp

23.01.2006 15:36 429 datFind.bat
1 Datei(en) 429 Bytes
0 Verzeichnis(se), 70.936.952.832 Bytes frei

Verzeichnis von C:\WINDOWS

27.04.2006 19:03 0 0.log
27.04.2006 19:03 159 wiadebug.log
27.04.2006 19:03 1.274.749 WindowsUpdate.log
27.04.2006 19:03 50 wiaservc.log
27.04.2006 19:03 2.048 bootstat.dat
27.04.2006 18:18 32.622 SchedLgU.Txt
27.04.2006 17:24 702 win.ini
27.04.2006 17:24 246 system.ini
27.04.2006 17:10 8.192 dlmax.dll
27.04.2006 17:10 8.192 Pynix.dll
27.04.2006 17:10 8.192 BTGrab.dll
27.04.2006 17:10 8.192 susp.exe
27.04.2006 17:10 8.192 alxtb1.dll
27.04.2006 17:10 8.192 alxie328.dll
27.04.2006 17:10 8.192 alexaie.dll
27.04.2006 16:03 145.920 rfscanax.dll
27.04.2006 15:58 10.809 win-sec-center-logo.gif
27.04.2006 15:58 1.014 warning-bar-ico.gif
27.04.2006 15:58 6.575 remove-spyware-btn.gif
27.04.2006 15:58 64 close-bar.gif
27.04.2006 15:58 177 blue-bg.gif
27.04.2006 15:45 711.711 setupapi.log
27.04.2006 15:45 6.165 sc.exe
27.04.2006 15:45 5.561 loadadv728.exe
27.04.2006 15:45 292 form.js
27.04.2006 15:45 12.344 azesearch.bmp
27.04.2006 15:23 202 NeroDigital.ini
26.04.2006 18:54 5.989 mozver.dat
21.04.2006 10:47 123.448 wmsetup.log

Verzeichnis von C:\

27.04.2006 20:20 0 sys.txt
27.04.2006 20:19 9.933 system.txt
27.04.2006 20:19 268 systemtemp.txt
27.04.2006 20:19 100.703 system32.txt
27.04.2006 19:03 805.306.368 pagefile.sys
27.04.2006 17:24 211 boot.ini
27.04.2006 15:45 0 uniq
11.03.2006 17:35 51.191 EyeCandyLog.txt
15.01.2006 12:01 1.119 INSTALL.LOG
29.07.2005 15:55 294 boot2.ini
29.07.2005 15:49 0 CONFIG.SYS
29.07.2005 15:49 0 IO.SYS
29.07.2005 15:49 0 AUTOEXEC.BAT
29.07.2005 15:49 0 MSDOS.SYS
03.08.2004 23:00 262.448 cmldr
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
23.08.2001 14:00 4.952 bootfont.bin
10.01.2001 13:23 162.304 UNWISE.EXE

was ich komisch finde, die großen zeitsprünge!?
ich hoffe so hast du dir das vorgestellt denn !!!

auf jeden fall schon mal thx @ jasager!

@whiskey: tut mir leid, aber dein kurzer post war mir nicht ganz klar!

 

Hallo,
sieht nicht gut aus, überprüfe mal folgende Dateien(alle im Windowsordner) hier und poste die jeweiligen ergebnisse:

wupdmgr.exe (vorher Prozess beenden)
osaupd.exe (vorher Prozess beenden)
susp.exe
sc.exe
loadadv728.exe

Grüße Jasager

 

so, hab jetzt das mal gemacht wie du gesagt hast:

die ersten .exe-dateien ergaben nichts.
bis auf die letzte (loadadv728.exe); nachdem ich diese ausführe meldet antivir mehrere funde z.b.: TR/Bramas.B; TR/Bramas.B; WORM/Mytob.1.Gen; TR/Dldr.Multi.B.4.A; TR/Dldr.Tiny.CE; TR/Click.Small.KR; TR/Dldr.Multi.B.4.C; BDS/Afcore.cb.2.B usw.
Hab die jetzt alle mal mit Hilfe von AntiVir gelöscht! hoffe die sind jetzt weg!?

Wie geht es jetzt weiter??

danke jasager, ohne dich wär ich wohl noch immer bei adaware..

 

Hallo,
ehrlich gesagt verstehe ich dein Problem nicht so ganz, die Dateien sind doch alphabetisch geordnet (wenn nicht, im Explorer im Windowsordner auf Name klicken), so findet man doch die Dateien ganz einfach.
Bei virustotal gehst du auf "durchsuchen" wählst die betreffende Datei aus, klickst auf send, und postest dann das Ergebnis.

Überprüfe übrigens zusätzlich zu den oben genannten Dateien auch noch:
C:\Windows\System32\winapi32.dll
C:\Windows\System32\winsrv32.exe


Achja, und lösche erstmal auf keinen Fall etwas.

Grüße Jasager

 

glaub hab soeben alles ganz anders gemacht als du gesagt hast hier aber trotzdem die ergebnisse:

wupdmgr.exe
http://www.virustotal.com/vt/en/resultadof?3af14be7979a698a453d02436dc5815d

osaupd.exe
http://www.virustotal.com/vt/en/resultadof?700bb913df6eda6757dc3efb285c0f80

susp.exe
http://www.virustotal.com/vt/en/resultadof?17a12fe5f80a1eb4c5e0a2dcf003c42a

sc.exe
http://www.virustotal.com/vt/en/resultadof?a5d680606065ec375479165cd57b81af

loadadv728.exe (konnte nicht fertiggescannt werden, fehler auf der Seite)
http://www.virustotal.com/vt/en/resultadof?30c1143aede8e8007d9baf325289d52b


winapi32.dll
http://www.virustotal.com/vt/en/resultadof?2bc492371c1e1becdfb87d56766098c2

winsrv32.exe
http://www.virustotal.com/vt/en/resultadof?fd624d24a1fe627fa014a27c3fc2d98c

hoffe das passt jetzt!
thx...

 

Hallo,
also ich würde dir wirklich raten das System neu aufzusetzen, da sind einfach zuviele infizierte Dateien auf deinem System. Und bei der susp.exe wird es sich sehr wahrscheinlich um einen neuen Trojaner handeln der von den AVs zur Zeit noch nicht erkannt wird, und der ist gleich in fünfzehnfacher Ausführung auf deinem System:

27.04.2006 17:10 8.192 udpmod.dll
27.04.2006 17:10 8.192 questmod.dll
27.04.2006 17:10 8.192 jao.dll
27.04.2006 17:10 8.192 txfdb32.dll
27.04.2006 17:10 8.192 wstart.dll
27.04.2006 17:10 8.192 tcpservice2.exe
27.04.2006 16:21 8.192 CWS_iestart.exe
27.04.2006 16:21 8.192 mirarsearch_toolbar.exe
27.04.2006 17:10 8.192 dlmax.dll
27.04.2006 17:10 8.192 Pynix.dll
27.04.2006 17:10 8.192 BTGrab.dll
27.04.2006 17:10 8.192 susp.exe
27.04.2006 17:10 8.192 alxtb1.dll
27.04.2006 17:10 8.192 alxie328.dll
27.04.2006 17:10 8.192 alexaie.dll

(zu erkennen daran das sie alle gleich groß sind)
Bei so einem Durchseuchungsgrad solltest du das System nach dieser Anleitung neu aufsetzen und nie wieder solche Seiten besuchen!

Wenn du noch eine gute Tat vollbringen willst kannst du mal eine der oben genannten Dateien an samples@sophos.com und newvirus@kaspersky.com schicken (Mit Passwort gepackt, welches du dann natürlich in die Mail rein schreibst). Die antworten könntest du dann noch mal hier posten, würde mich nämlich auch interessieren was das genau war.


Grüße Jasager

 

Ok, sobald ich die ergebnisse habe post ich sie!
auf jeden fall noch mal herzlichsten dank!!

Für mich hat ein bekanntest Zitat wieder neue an Bedeutung gewonnen: Gestern standen wir einen Schritt vorm Abrgrund - heute sind wir zwei Schritte weiter!

Aber gut, wer nun mal einfach so Sicherheitshinweise nicht ernst nimmt muss mal eine drauf bekommen!

 

@ jasager: das ist die auswertung von Sophos:
Hi,

Thank you for your email. The file you sent for analysis is a corrupt
file the entry point is beyond the end of file. As such it will not
execute and is therefore not detected by Sophos.

If you have any further questions please do not hesitate to contact
me.

Das andere Resultat war irgendwie in Russisch oder so... ich hab da nix verstanden! Was sagst du dazu?