1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Spyware Problem !!! versch. Methoden hilflos

Discussion in 'Sicherheit' started by Stylez, Nov 13, 2005.

Thread Status:
Not open for further replies.
Page 1 of 2
  1. Stylez

    Stylez Byte

    Hey,
    Ich weiß nicht wie genau das passiert ist, aber als ich mein PC neugestartet hab (win xp proff.) ist unten rechts immer n "virus alert!" aufgegangen. Wenn ich versuch des zuschließen öffnet sich ein popup für z.b. spyaxe, wobei man da was zahlen msus wenn man des progg benutzen will, also hilflose werbung.
    "Your computer is infected
    windows has detected spyware infection"
    Wurde hier öfters schon gepostet, hat mir aber nicht geholfen.
    Antiviren progamme wie antivir xp, spybot, ewido, ad-aware, pestpatrol, trend micro anti-spyware,hijackthis (log) und spyware doctor hab ich durchlaufen lassen.Die haben zwar manchmal n virus angezeigt,der wurd auch gelöscht, aber die meldung unten rechts is nie verschwunden auch nicht nach nem neustart. Eine sicherheits cd von c´t hab ich auch ausprobiert, die hat aber kein virus bzw spyware gefunden.

    Hier is mal ein log-bild von diesem hijackthis.
    1.teil.
    http://www.directupload.net/show/d/515/g6xamA7W.jpg

    2.teil.
    http://www.directupload.net/show/d/515/u46ETh3w.jpg

    Ich weiß nicht was ich da noch tun kann...ich hoff ihr könnt mir helfen !!
    liebe grüße
     
    Stylez, Nov 13, 2005
    #1
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Wolfgang77, Nov 13, 2005
    #2
  3. Jasager

    Jasager Viertel Gigabyte

    Hallo,
    *augenverdreh* Verdammt Spyaxe.
    Poste erstmal das HijackThis Log wie hier beschrieben. Dann besorgst du dir dieses Tool, entpackst es in einen eigenen Ordner und läßt es im abgesicherten Modus (F8 beim booten) laufen. Dann postest du auch den Inhalt der C:\smitfiles.txt



    Grüße Jasager
     
    Jasager, Nov 13, 2005
    #3
  4. Stylez

    Stylez Byte

    Stylez, Nov 13, 2005
    #4
  5. Jasager

    Jasager Viertel Gigabyte

    *erledigt*
     
    Jasager, Nov 13, 2005
    #5
  6. Stylez

    Stylez Byte

    danke.....
    das mit dem smitrem hab ich nich so kapiert.
    Habs in ein neuen ordner extrahiert,..da sind nun 5 datein.
    Und hab s in einem absgesicherten modus geöffnet. aber ich weiß jetzt nicht genau was da passiert ist.
    und was muss ich jetzt machen
     
    Stylez, Nov 13, 2005
    #6
  7. Jasager

    Jasager Viertel Gigabyte

    Hallo,
    hätte es vielleicht etwas ausführlicher beschreiben sollen. In dem Ordner sollst du die Runthis.bat doppelklicken, dfann den Anweisungen auf dem Bildschirm folgen.


    Grüße Jasager
     
    Jasager, Nov 13, 2005
    #7
  8. Stylez

    Stylez Byte

    smitRem © log file
    version 2.7

    by noahdfear


    Microsoft Windows XP [Version 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~

    msvol.tlb
    ncompat.tlb
    nvctrl.exe


    ~~~ Icons in System32 ~~~

    ts.ico
    ot.ico


    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    ~~~ Miscellaneous Files/folders ~~~




    ~~~ Wininet.dll ~~~

    CLEAN! :)


    ~~~ Upon reboot ~~~

    wininet.old not present!
    oleadm.dll not present!
    oleext.dll not present!


    ~~~ Upon completion ~~~

    wininet.old not present!
    oleadm.dll not present!
    oleext.dll not present!


    ~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


    ~~~~ C:\WINDOWS\system32\wininet.dll Clean! :) ~~~~


    ~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


    ~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


    ~~~~ Checking dllcache\wininet.dll for infection ~~~~


    ~~~~ dllcache\wininet.dll Clean! ~~~~

    ~~~ Replaced wininet.dll from dllcache ~~~
     
    Stylez, Nov 13, 2005
    #8
  9. Jasager

    Jasager Viertel Gigabyte

    Hallo,
    Scanne dein System mal mit Escan (Anleitung sorgfältig lesen!) und poste das Log wie in der Anleitung beschrieben (find.bat). Hast du zufällig folgende Dateien/Ordner auf deinem System (Dateien richtig suchen):
    C:\WINDOWS\system32\1024
    C:\WINDOWS\system32\svchosts.dll


    Grüße Jasager
     
    Jasager, Nov 13, 2005
    #9
  10. Stylez

    Stylez Byte

    log kommt gleich....

    der ordner 1024 ist in system 23 vorhanden
    svchosts.dll ist in system32 vorhanden
     
    Stylez, Nov 13, 2005
    #10
  11. Stylez

    Stylez Byte

    hat zwar lang gedauert aber ich hoff es lohnt sich

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "infected"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:05:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
    Sun Nov 13 18:35:02 2005 => Total Disinfected Files: 0
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "tagged"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "offending"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 17:59:51 2005 => Offending Folder found: C:\Programme\limewire
    Sun Nov 13 18:00:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\k7qxa1k3\adsend[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\k7qxa1k3\adsend[1].js
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Statistiken:
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:35:02 2005 => Total Virus(es) Found: 13
    Sun Nov 13 18:35:02 2005 => Total Errors: 82
    Sun Nov 13 18:35:02 2005 => Time Elapsed: 00:35:50
    Sun Nov 13 18:35:02 2005 => Total Objects Scanned: 39084
    Sun Nov 13 17:58:30 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:35:02 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:36:03 2005 => Virus Database Date: 2005/11/11
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~ © Haui ;-) ~~~~~~~
    ~~~~~~~ Dank an Cidre ~~~~~~~
     
    Stylez, Nov 13, 2005
    #11
  12. Stylez

    Stylez Byte

    hat lang gedauert aber lohnt sich , hoff ich

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "infected"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:05:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
    Sun Nov 13 18:35:02 2005 => Total Disinfected Files: 0
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "tagged"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "offending"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 17:59:51 2005 => Offending Folder found: C:\Programme\limewire
    Sun Nov 13 18:00:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\k7qxa1k3\adsend[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\k7qxa1k3\adsend[1].js
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Statistiken:
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:35:02 2005 => Total Virus(es) Found: 13
    Sun Nov 13 18:35:02 2005 => Total Errors: 82
    Sun Nov 13 18:35:02 2005 => Time Elapsed: 00:35:50
    Sun Nov 13 18:35:02 2005 => Total Objects Scanned: 39084
    Sun Nov 13 17:58:30 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:35:02 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:36:03 2005 => Virus Database Date: 2005/11/11
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~ © Haui ;-) ~~~~~~~
    ~~~~~~~ Dank an Cidre ~~~~~~~
     
    Stylez, Nov 13, 2005
    #12
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Hallo,

    wäre nicht schlecht wenn du einmal deine "temporary internet files" löschst... im IE gibt es da einen Menüpunkt.

    Was mir auch noch aufgefallen ist, dein System ist völlig veraltet... IE, das SP2 für XP fehlt.

    Wolfgang77
     
    Wolfgang77, Nov 13, 2005
    #13
  14. Stylez

    Stylez Byte

    Ja,....die temporary internet files, hab ich scho gelöscht gehabt..teilweise.
    Ich habs heut nochmal probiert des SP2 draufzuinstalliern des geht aber irgendwie nicht, da kommt ne fehlermeldung.

    ps: sry wegen doppel posting
     
    Stylez, Nov 13, 2005
    #14
  15. Jasager

    Jasager Viertel Gigabyte

    Hallo,
    leider eher nicht, das was Escan da anzeigt ist alles harmlos und hat nichts mit deinem Problem zu tun:
    Lösche mal diese Datei im abgesicherten Modus:
    C:\WINDOWS\system32\svchosts.dll (genau auf die Schreibweise achten)
    und den Ordner
    C:\WINDOWS\system32\1024
    schau auch mal ob sich im Ordner System32 eine svchosts.exe befindet.


    Grüße Jasager
     
    Jasager, Nov 13, 2005
    #15
  16. Stylez

    Stylez Byte

    svchosts.dll lässt sich nicht im abgesicherten modus löschen...die wird grad verwendet steht da...verschieben kann man sie aber

    1024, dadrin befindet sich nur 1 ne datei ld9C4B.tmp
    hab mal noch nichts gelöscht
     
    Stylez, Nov 13, 2005
    #16
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Ist der Wortlaut dieser Fehlermeldung ein Geheimnis? :rolleyes:
     
    TheD0CT0R, Nov 13, 2005
    #17
  18. Jasager

    Jasager Viertel Gigabyte

    Hallo,
    verwende das Programm Killbox zum löschen (mit der Option delete file on reboot
    bzw. bei dem Ordner mit deltree on reboot).


    Grüße Jasager
     
    Jasager, Nov 13, 2005
    #18
  19. Stylez

    Stylez Byte

    hehe, ne eigentlich nicht.
    aber kann dir des jetzt nicht genau sagen. Lern des ja nicht auswendig :-)
     
    Stylez, Nov 13, 2005
    #19
  20. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Musst du ja auch net...
    [​IMG]

    ;) :D


    Geht auch mit HijackThis.
     
    TheD0CT0R, Nov 13, 2005
    #20
Page 1 of 2
Thread Status:
Not open for further replies.

Share This Page