[xzdoie]

Tag,

seit vorgestern abend plagt mich ein nerviger Spyware Wurm. Ich habe ihn wohl durch den automatischen Download von einem Active X Element heruntergeladen.

Ich bekomme alle paar Minuten eine Nachricht auf den Schirm: Spyware infected.......... press ok for best help und so weiter, also es erscheinen noch einige Links auf dem Desktop, der Inet Explorer startet auf kurioser Seite, popup neben der Uhr....

Habe schonmal AVG Anti Spyware 7.5 durchlaufen lassen( mit Aktion auf löschen im abgesicherten Modus), brachte jedoch nichts.

Hier der Bericht von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:05, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\NetFx20SP1_x86.exe
c:\f862a74d4390789457\setup.exe
C:\WINDOWS\system32\msiexec.exe
c:\WINDOWS\system32\MsiExec.exe
c:\WINDOWS\system32\MsiExec.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O21 - SSODL: bqxomdo - {DBD896EA-3CA4-4645-8BA5-1E45FCC94A3E} - C:\WINDOWS\bqxomdo.dll
O21 - SSODL: aswmklt - {6FC6ED26-DAEC-46CF-82C5-FD22352082DD} - C:\WINDOWS\aswmklt.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2504 bytes

Bitte um schnelle Hilfe!

Dieser Beitrag wurde von xzdoie bearbeitet: 23. Januar 2008 - 16:38

[Übertakter]

Also ich hab 2 Schädliche Dateien gefunden.


c:\f862a74d4390789457\setup.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarerefer...=...6Ojg5&lid=2

O21 - SSODL: bqxomdo - {DBD896EA-3CA4-4645-8BA5-1E45FCC94A3E} - C:\WINDOWS\bqxomdo.dll


O21 - SSODL: aswmklt - {6FC6ED26-DAEC-46CF-82C5-FD22352082DD} - C:\WINDOWS\aswmklt.dll

Fixe diese Sachen .

MFG,
Übertakter

[xzdoie]

Hab ich jetzt gemacht, c:\f862a74d4390789457\setup.exe konnte ich im Log File nicht mehr finden

Was soll ich nun machen?

Edit: Anscheinend ist der Virus noch da, Nachricht erscheint noch, nur das PoP Up ist nun weg. Die Dateien sind übrigens nun wieder bei Hijackthis in der Liste, wie krieg ich die ganz gelöscht?

Dieser Beitrag wurde von xzdoie bearbeitet: 23. Januar 2008 - 16:59

[Übertakter]

c:\docume~1\gaston~1\locals~1\temp\pftb.tmp

Versuch mal diese Datei zu finden.

Zum Virenproblem settze die mal unter Quarantäne.

[xzdoie]

Kann nix unter Quarantäne stellen, die Scanner finden ja nichts.

Die Datei scheint es bei mir anscheinend nicht zu geben, Suchprogramm fand nichts.

Dieser Beitrag wurde von xzdoie bearbeitet: 23. Januar 2008 - 17:21

[Skalarism]

Lade Dir mal von www.moosoft.com das Programm "The Cleaner" runter. Mach dann die neuesten Updates und lass ihn mal dein System scannen. Der sollte den Schädling finden, hab da selbst schon gute Erfahrungen mit gemacht.

Hier der Link: http://tinyurl.com/333k4z

[xzdoie]

Abend,

ich glaube ich habe das Ding weg (mit Smitfraud Rapport gespeichert, im gesicherten Modus alles gelöscht, und dann Neustart ohne Systemwiederherstellung).

Danke für eure Hilfe!

[xzdoie]

Tag Leute,

das Ding ist heute plötzlich wieder da

Das The Cleaner Programm hängt immer ab einer bestimmen Datei, keine Ahnung woran das liegt.

Hier ist mal ein Bild vom Desktop angehängt, ich hoffe, damit können wir eine weitere Lösung finden, nervt langsam wirklich.

Edit: Bild war zu groß, kann es leider nicht anhängen. Der Avoraxantispy bricht ab einer bestimmten Stelle auch den Scan ab. The Cleaner find nichts.

Dieser Beitrag wurde von xzdoie bearbeitet: 24. Januar 2008 - 15:47

[xzdoie]

Link zum Bild: http://www.lupiuploa...27/0TUSHhFI.bmp

[xzdoie]

Und wie nennt sich der Dienst den ich abschlaten muss? Habe da so nix auffäliges gefunden.

[xzdoie]

Achso, verstehe.

Kommen noch Windows Nachrichten durch, wenn der Nachrichtendienst deaktiviert ist? Und macht dieser Virus, oder was auch immer, im Hintergrund irgendetwas?