Mein Prob. "Spysheriff"

hi,
habe hier schon einiges darüber gelesen und mein hijackthis log angefertigt.

Ich habe auf einer Seite gesurft und keine Firewall gehabt, brauchte ich bis jetzt noch nie.
Na ja jedenfalls hat dann sich ein downloader geöffnet und ich hatte das programm drauf, alles versucht mit jeder antivierensoftware und es ist immer noch zugs drauf.

Na ja hier ist mein hijackthis log link: http://www.hijackthis.de/logfiles/359be9578785edb55d02eec23a131ac6.html

Ich hoffe das ist das richtige und ihr Pors könnt mir helfen, währe mir echt wichtig den rechner nich platt machen zu müssen. Ich hoffe auf schnelle Antworten, danke im vorraus.

MFG DarkstarII

 

Ach ja der inhalt des Tooles:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

svcp.csv
winsub.xml


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

desktop.html


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of explorer.exe

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

svcp.csv
winsub.xml


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

desktop.html


~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll is missing!!

Kann mir jemdan weiter helfen?

 

Brav. Eine Firewall wird dich NIE vor so etwas schützen. Antivirensoftware oft auch nicht. Helfen tut der Verzicht auf Warez- und F*ck-Seiten sowie ein eingeschränktes Benutzerkonto. Selbst ein top-aktuelles Betriebssystem hilft nicht alleine, wie man bei dir sieht.
Nützlich, aber keine wirkliche Rund-um-Sicherheit sind auch: Browser wie Firefox/Opera, oder aber ein abgedichteter IE.

Lade folgende Dateien
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe

C:\windows\timessquare.exe

c:\\drsmartloadb.exe (genauer Pfad? wo ist die?)

C:\winstall.exe

C:\WINDOWS\SYSTEM32\avpe32.dll

mal hier hoch:
http://virusscan.jotti.org/de/



Sieht schlecht aus, letztgenannter (avpe32.dll) scheint ein Backdoor zu sein:
http://www.sophos.de/virusinfo/analyses/trojhaxdoorap.html

Vorschlag:
Sichere deine Daten (Bilder, docs etc.), formatiere und setze neu auf.

 

Danke für die antwort, ich habe alle datein (denke ich) löschen können, mittels anleitung im Internet , aber ich habe mal ne Frage, was ist wenn ich Daten auf einen anderen Rechener kopiere. Also die daten die ich kopieren will liegen auf D: also nicht der system partition, aber wenn ich das jetzt kopiere besteht die Gefahr das der Virus mit kopiert wird?


Ja jetzt kam mir die Idee das ich doch einfach nur C: paltt mache und somit keine savdaten machen muss, besteht da die Gefahr das ein virus auf den anderen Partitionen ist, ich habe alle möglichen Anti-Vir Programme durchlaufen lassen. Ohne ergebniss, aber ich meine die haben Spysheriff ja auch nicht gefunden.


MFG Darkstar

 

Hallo DarkstarII

Wenn du dein System plattmachen (neu aufsetzen) willst, dann gehe nach dieser Anleitung vor:

http://www.cidres-security.de/neuaufsetzen.html

Gruß
Nevok

 

Ob die noch da (im AUtostart/Registry) sind, erfährst du mit einem zweiten HJT-Log.

Theoretisch natürlich. In den Registryzweigen der betreffenden Malware siehst du zumindest, wohin die Startverweise gehen. Deshalb musst du die gesicherten daten hinterher mit einem sauberen Rechner oder aber einer aktuellen Boot-CD mit AV-Scanner prüfen.

Das überrascht nicht. AV-Software auf einem infizierten Rechner ist komprimittiert und keinesfalls mehr vertrauenswürdig. Das siehst du ja daran, dass sie lt. HJT-Log gestartet wurden und dass du, wie du sagst, sie gelöscht hast. Ich nehme an, du hast das im abgesicherten Modus gemacht, sonst bringt es nichts.

Vergiß aber nicht, alle Passwörter/Zugangsdaten zu ändern, das ist Pflicht nach Backdoor-Befall!

 

@steppl >Helfen tut der Verzicht auf Warez- und F*ck-Seiten<

Ich hab mir vor mehreren Wochen den SpySherrif mit dem BDS.Agent.QS Trojaner geholt.
Zugegeben war nur SP1 installiert und AntiVir länger nicht abgedatet(Ich surf seit 5 Jahren Virenfrei)

Holte ihn allein durch den Aufruf der Seite salsamafia.com. Der Name erscheint jetzt wohl für dich unseriös. Ist es aber nicht. Ist eine Seite in Frankreich wo ausschließlich Tanzfigurenvideos hinterlegt sind, und absolut vertrauenswürdig ist. Allein durch das Aufrufen hab ich mich infiziert. Die Seite war eingefroren. Und als ich vor ein paar Tagen es auf einem Internet-Cafe aufrufen wollte, wurde sofort die Verbindung abgebrochen. Offensichtlich ist der Server immer noch gekapert.

 

Ich wollte dir ja nichts unterstellen, aber man kennt ja seine Pappenheimer...

Ja, auch den von dir geschilderten Fall gibt es, zwar relativ selten, aber auch der Landesregierung Niedersachsen ist das schon passiert..

 

Hi,

danke noch mal für die Infos., ich habe die Partition C: plattgemacht und Windows neu aufgesetzt. Habe dann noch mal ein Virenprogramm alles Kontrolieren lassen, und hoffe das alles weg ist, und mir so was nicht noch mal unterkommt (war auf keiner warz oder f*cken Seite). Na ja hoffe der Alptraum ist vorbei.

(Weiß jemand wer Spysheriff porogrammiert hat, Adresse und so währe hilfreich, dann wird der nie wieder was programmieren )