Spyware.

Hallo!
Ich habe wieder einmal (wie so oft) ein Problem. Diesmal geht es um Spyware. Gleich einmal am Anfang: ich habe WinXP Home mit SP1 (ich weiß..., hab mir eh schon SP2 bestellt..)
Als erstes muss ich zu meiner Schande gestehen, dass ich ohne ausreichenden Schutz auf einer Serien-Nummer Suchmaschien war. Doert habe ich einen Link angeklick. Eine Site erschien, danach ein Pop-Up und dann hat sich der i-explorer automatisch geschlossen. Danach erschien ein Warn- Symbol auf der Leiste neben der Uhr und schrieb, dass mein Computer mit Spyware infiziert worden ist. Ich habe meinen PC ofort resetet und beim nächsten start erschien das Warnsymbol wieder diesmal mit folgendem Text:
"<Warndreieck> Your Computer is infected!

Windows has detected spyware infection!

It is recommend to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.

Click here to protect your computer from Spyware."
Ich hatte zu dem Zeitpunkt keine Verbindung zum Netz. Zuerst habe ich bversucht den Task- Manager zu öffnen, doch da erschien nur die Meldung: "Der Task- Manager wurde durch den Administrator deaktiviert"
Ich habe danach meinen AV- Scanner (ewido) durchlaufen lassen, der hat ungefähr 50 Dateien gefunden die mit folgendem zeug infiziert waren:
Spyware.ISTBar
Dialer.Generic
Not-A-Virus.Hoax.Renos.I
TrojanDownloader.Small.aux
TrojanDownloader.Small.atl
TrojanDownloader.Small.bho
Trojan.LowZones.y
TrojanDropper.Small.acg
TrojanDownloader.Agent.li
Spyware.Cokie.Ivwbox
Spyware.Cokie.Doubleclick
Spyware.Cokie.Adition
Spyware.Cokie.Advertising
Spyware.Cokie.Valuclick
Spyware.Cokie.Adtech
Spyware.Cokie.Falkag
Spyware.Cokie.Tradedoubler

Mir sagt das alles nicht viel, aber es wurde entfernt und ich habe danach den PC neu gestartet. Das Symbol war weg, der Task- Manager ließ sich immer noch nicht öffnen. Also hab ich den PC im Abgesicherten Modus als Admin gestartet, aber dort ging er auch nicht.
Ich habe dann meinen W-LAN adapter aktiviert (internet läuft darüber), dann erschien das selbe Symbol neben der Uhrzeit wieder und mein PC schickte sofort Daten ans Netz und empfing auch welche. Ich habe die Verbindung sofort getrennt und ewido noch mal durchlaufen lassen. Davon habe ich jetzt das ganze Protokoll:

Report 2.Scan:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:09:46, 22.08.2005
+ Report-Checksumme: 55AE85CD

+ Scanergebnis:

[1276] C:\WINDOWS\System32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
[584] C:\WINDOWS\System32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Gesäubert mit Backup
[1716] C:\WINDOWS\System32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Fehler beim Säubern
[1528] C:\WINDOWS\System32\vxgamet1.exe -> Trojan.LowZones.y : Gesäubert mit Backup
C:\WINDOWS\system32\vxh8jkdq1.exe -> TrojanDownloader.Small.bho : Gesäubert mit Backup
C:\WINDOWS\system32\vxh8jkdq8.exe -> TrojanDownloader.Small.bho : Gesäubert mit Backup
C:\WINDOWS\system32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
C:\WINDOWS\system32\vxh8jkdq6.exe -> TrojanDownloader.Small.aux : Gesäubert mit Backup
C:\WINDOWS\system32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Gesäubert mit Backup
C:\WINDOWS\system32\vxgamet1.exe -> Trojan.LowZones.y : Gesäubert mit Backup
C:\WINDOWS\system32\vxgame1.exe -> TrojanDropper.Small.acg : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\1.qtdfmp -> TrojanDownloader.Small.bho : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\2.qtdfmp -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\6.qtdfmp -> TrojanDownloader.Small.aux : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\7.qtdfmp -> TrojanDownloader.Small.atl : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\vxt1.game -> Trojan.LowZones.y : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\vx1.game -> TrojanDropper.Small.acg : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031048.exe -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031049.exe -> TrojanDownloader.Small.atl : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031050.exe -> TrojanDownloader.Small.bho : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031051.exe -> Trojan.LowZones.y : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031052.exe -> TrojanDropper.Small.acg : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031053.exe -> Dialer.Generic : Gesäubert mit Backup
C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031056.exe -> TrojanDownloader.Small.aux : Gesäubert mit Backup


::Report Ende

Vor allem das orange macht mir sorgen. Das Symbol ist wieder weg, der Task-Manager geht noch immer nicht, arbeiten (Word, etc.) kann ich aber darauf.
Bis jetzt bin ich von dem PC aus nicht mehr ins internet gegangen, weil ich gerne wissen will ob diese Warnung wirklich von Microsoft stammt,und wenn nicht, wie ich die Spyware wieder entfernen (wenns geht ohne, dass ich meinen PC komplett formatieren muss) kann.

Ich hoffe ihr könnt mir helfen.
mfg,
Sebastian

 

Du hast aber schon mal was von "AdAware" und "Spybot" gehört, oder? Die sollen da manchmal ganz nützlich sein... Und HijackThis natürlich nicht zu vergessen!

Ich glaube nicht, dass die Meldung von MS kommt, sondern von dem Bösewicht selber.

 

Hallo,
habe den starken Verdacht das du dir was aus der smitfraud Familie eingefangen hast, erstelle mal bitte ein HijackThis Log wie hier beschrieben und arbeite dich mal durch den vierten Beitrag hier durch, und poste dann auch die entsprechenden Logs.


Grüße Jasager

 

So ist es. Schönen Gruß von "SpySheriff" und Kollegen.

@ Jasager
Imo sollte der TO erstmal die Anleitung von cronos abarbeiten und dann Hijackthis drüberlaufen lassen. Den Status quo haben wir ja schon im wesentlichen. Sehe nur die üblichen Downloader, den Lower und noch keine Backdoor. Vielleicht hat der TO nochmal Glück. Obwohl: So richtig gönnen würde ich es ihm nicht: Mit ungepatchtem System und ungesichertem IE auf dubiose Seiten surfen und dann: "Huch, der SpySheriff ist da."

 

Hallo,
@Tamburas
Ich weiß nicht ob du mich jetzt falsch verstanden hast, ich rate doch gar nicht zum neuaufsetzen, in dem 4. Beitrag wird doch nur automatisiert (smitrem) was in den ersten drei manuell vorgeschlagen wird.


Grüße Jasager

 

Nein. Du hast mich falsch verstanden: Wir sind einer Meinung.
Ich möchte nur vorschlagen, erst die Anleitung von cronos abzuarbeiten und dann den HJT-Log zu machen Halte ich einfach nur für effektiver.

Der Rest meines Salmons sind die üblichen pädagogischen Betrachtungen unbegreiflichen Surfer-Verhaltens.

 

Ich habe jetzt einmal Ad-Aware installiert, upgedated und durchlaufen lassen, jetzt ist alles wieder normal *freu*! Ich bemerke auch keine seltsamen Internet Aktivitäten mehr.. Wenn ihr den HijackThis Log noch braucht, posted mir bitte.
Danke für eure Hilfe,
Sebastian

 

Hallo,
lass mal erst noch den Smitrem drüberlaufen(stimmt Taburas ist die bessere Reihenfolge) und dann erstelle das Hijackthis Log und poste den Link dazu hierher.+ das smitremlog.


Grüße Wildone

 

Hier der Link: http://www.hijackthis.de/logfiles/8c909dc564579dd64308f6671e53ae10.html

Und SmitRem:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN!

Falls was nicht passt (was ich mal vermute), oder ihr noch etwas braucht, postet bitte!!
Auf jeden Fall noch einmal Danke.
mfg,
Sebastian (Allias TO, oder nennt mich von mir aus auch DAU....)

 

Hallo,
erstmal würde ich nie jemanden DAU nennen, ausser er stellt sich total dumm an und ist unkooperativ, beides bei dir nicht der Fall.
Zu deinem Log, beende mal diesen Prozess:
C:\WINDOWS\System32\explorer6s4.exe
und überprüfe die zugehörige Datei hier
und poste dann das Ergebnis.


Grüße Jasager

 

Die Datei ist eindeutig Infiziert...
Wie soll ich den Prozess beenden, einfach über den Task-Manager, oder geht das über HijackThis, ich hab nämlich absolut keine Ahnung wie das Programm funktioniert (Also was fixen ist, usw.)...
Außerdem: Mein explorer macht jetzt ab und zu die Site **tp://asdbiz.biz auf, und will von dort etwas installieren (weiß nicht was, ich breche das immer sofort ab), das ist die Site die bei HiJack This auch als Vertrauenswürdige Site eingestuft habe. Das habe ich aber sicher niemals manuell getan, soll ich die Site jetzt "fixen"?
Gruß,
Sebastian

 

Hallo,
die Frage ist halt mit was ist sie infiziert, beende den Prozess im Taskmanager (ctrl+alt+entf dann rechtsklick drauf, dann "Prozess beenden", dann hochladen und prüfen und Ergebnis posten. Damit du nicht weiter belästigt wirst kannst du schon mal die O15 Einträge fixen(Haken davor und auf "fix checked" klicken) und falls unbekannt auch den:
O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net

Grüße Jasager

 

Nix da sauber, kleines Beispiel:
Du hast in der "Trusted Zone" asdbiz.biz. Diese nette Seite leitet dich auf eine ****-Seite weiter, die bei aktiviertem ActiveX die Datei gdnDE2178.exe istallierte. (Vielleicht musstest du auch Klick machen, sehe ich hier auf die schnelle nicht). Ähnlich wirst du dir explorer6s4.exe eingefangen haben. Letztere dürfte ein Downloader für ****-Dialer sein.

Doch das ist nicht alles:
skoobidoo.com - Nimmst du wissentlich die Dienste der Firma Blazefind in Anspruch?

Ebenso des Suchdienstes "Slotchbar"?

Was ist "Windupdates"?

edit
Bitte nicht leichtfertig den Links im Log folgen.

 

@Jasager
Das Ergebniss:
Datei: explorer6s4.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Downloader.Small-691 gefunden
Dr.Web Trojan.Click.649 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.biq gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

@Tamburas:
Kenne keine einzige der von dir genannten Anwendungen... Wie kann ich sie entfernen?

Danke für eure schnellen Antworten,
Sebastian

 

Das sind keine Anwendungen, sondern Webseiten, die sich nach der Infektion als "vertrauenswürdige Seiten" in deinem IE eingetragen haben. Damit das geht, wurde ein passender Trojaner gleich mitinstalliert (Lower). Vielleicht ist es sinnvoll, diese Seiten zu lesen:

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
http://www.cidres-security.de/hijackthis.html

Fixe folgende Einträge:

O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe

O4 - HKLM\..\RunServices: [Explorer64] C:\WINDOWS\System32\explorer6s4.exe

O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
(Das ist ein Downloader)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 196.168.1.254

Alles unter 014/015

- Hoffe, nichts übersehen zu haben -

Deaktiviere die Systemwiederherstellung. Wechsle in den abgesicherten Modus. Lösche

C:\WINDOWS\System32\explorer6s4.exe

Gehe zurück in den Normalbetrieb, aktiviere wieder die Systemwiederherstellung. Nächstes HJT-Log posten.

edit:
doch was übersehen, danke, Jasager
C:\WINDOWS\System32\symcsvc.exe
Auch im abgesicherten Modus löschen.

 

Hallo,
gehe mal wieder in den abgesicherten Modus und fixe folgendes falls noch nicht geschehen:
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe
O4 - HKLM\..\RunServices: [Explorer64] C:\WINDOWS\System32\explorer6s4.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net
O15 - Trusted Zone: *.asdbiz.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.asdbiz.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84

Dann löschst du die Datei(en)
C:\WINDOWS\System32\symcsvc.exe
C:\WINDOWS\System32\explorer6s4.exe

Dann läßt du noch mal Ewido durchlaufen, gehst danach wieder in den normalen Modus und postest wieder einen Link zu deinem neuen Log.

@Tamburas
Doppelt gemoppelt hält besser

Grüße Jasager

 

> Doppelt gemoppelt hält besser

Kannste wohl sagen, hatte was übersehen (ist bereits editiert).
Aber beruhigend, dass wir ansonsten einer Meinung sind.

Aber ich pfusche dir jetzt nicht mehr dazwischen, muss arbeiten.

 

http://www.hijackthis.de/logfiles/f5d809321560e5c2256cb4a25c6e76fe.html
Ich bin, wie von Jasager beschrieben, in den abgesicherten Modus gegangen habe mit HijackThis die entsprechenden ??? gefixst. Dann habe ich explorer6s4 gelöscht, aber eine Datei mit dem Namen symcsvc.exe habe ich leider nicht gefunden (auch nicht im gesamten Windows Verzeichniss...), kann es sein, dass es das nicht mehr gibt?
Mit ewido habe ich dann den PC durchsucht, hier das Protokoll:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:57:30, 23.08.2005
+ Report-Checksumme: 89A56F2C

+ Scanergebnis:

C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup


::Report Ende

Hier das aktuelle HiJackThis Log: http://www.hijackthis.de/logfiles/f5d809321560e5c2256cb4a25c6e76fe.html

Ich hoffe ich bin jetzt clean (wenn wir schon von fixen sprechen *gg*).
Vielen Dank für eure Hilfe,
Sebastian

 

Hallo,
ja du bist total on turkey, aber wir wollen ja auch alle das das fixen nicht wieder los gehen muss, deswegen ist es unabdingbar gewisse Resistenzen aufzubauen die nur in dem SP2 vorkommen. Diese verschreibe ich dir hiermit auf Rezept, einzulösen bei Microsoft.


Grüße Jasager

 

Ja, Danke dir auf jeden Fall!
Das "Rezept" von dir habe ich schon vor einer Woche eingelöst, ich muss also noch ca. 3 Wochen warten. Bis dort hin werde ich auf jeden Fall mit Firefox surfen, ist der wirklich um so viel sicherer?
Auf jeden Fall: Danke euch allen !
mfg,
Sebastian