[Lupo]

Hallo, ich hoffe mir kann jemand helfen. Ich habe diesen blauen Desktophintergrund mit dem schwarzen Kasten indem in dicker roter Schrift SPYWARE INFECTED steht. Kann mor jemand sagen wie ich dieses behebe?

Hier meine HijackThis Logfiles

Logfile of HijackThis v1.99.1
Scan saved at 21:33:48, on 21.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\TIMOWU~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\wywcwc.exe reg_run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [owfk] C:\stub_113_4_0_4_0.exe
O4 - HKCU\..\Run: [SpyEmergency] "C:\Programme\Spy Emergency 2005\SpyEmergency.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...3/OCI/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7C22DC-51B3-4C3F-937C-68975D773F67}: NameServer = 195.247.247.195 62.27.27.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A7C22DC-51B3-4C3F-937C-68975D773F67}: NameServer = 195.247.247.195 62.27.27.62
O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\gccceqha.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe


Ich hoffe ihr könnt mir behilflich sein.

Danke

Mfg Lupo

[Graumagier]

Lupo sagte:

Ich hoffe ihr könnt mir behilflich sein.

Jupp, neu installieren und darüber nachdenken, wie das Zeug auf deinen PC gekommen ist. Und in Zukunft vielleicht Updates einspielen...

[Lupo]

Gibts kein anderen Weg ausser Format C: ?

[Graumagier]

Nachdem es bei dir offenbar am grundlegenden Sicherheitskonzept krankt wohl nicht.

[JollyRoger2408]

Hallo,
ev hilft dir das hier weiter:

klick

und nochmal klick

Aber all das sind nicht wirklich gute Lösungen. @Graumagier hat recht, wenn er sagt: format C: und das OS neu drauf.

EDIT:
Es gibt hier im Sicherheitsforum noch einige andere Threats, die mehr oder weniger das gleiche Problem behandeln; lies sie dir mal durch.

Dieser Beitrag wurde von JollyRoger2408 bearbeitet: 21. Dezember 2005 - 22:42

[sparkle]

Bei nem Freund hats nen Scan mit Spybot S&D sowie Neustart getan, dann wars weg und alles wie vorher. Dann noch NOD32 mit Passwort eingerichtet damit ers nicht ausschalten kann und fertig

[linksta]

hallo,

fix doch mal folgende einträge

[quote]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html[/quote]
was ist denn "secure32.html" für ne seite?

[quote]O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\wywcwc.exe reg_run[/quote]
was ist das?

[quote] O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"[/quote]
[url="http://www.sophos.de/virusinfo/analyses/trojtorpigs.html"]Troj/Torpig-S[/url]

[quote]O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe[/quote]
was ist das?
laut chip und dem trojaner-board ist das maleware

[quote]O4 - HKCU\..\Run: [owfk] C:\stub_113_4_0_4_0.exe[/quote]
[url="http://www.google.de/search?hl=de&rls=GGGL%2CGGGL%3A2005-09%2CGGGL%3Ade&q=stub_113_4_0_4_0.exe&btnG=Suche&meta="]maleware laut zig Foren in Google[/url][/quote]

[quote]O4 - HKCU\..\Run: [SpyEmergency] "C:\Programme\Spy Emergency 2005\SpyEmergency.exe"[/quote]
ist das ein anti spyware programm?

[quote] O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - [url="http://sib1.od2.com/common/Member/ClientIn...3/OCI/setup.exe"]http://sib1.od2.com/common/Member/ClientIn...3/OCI/setup.exe[/url][/quote]
was könnte das sein?

ich kann mich den anderen nur anschließen. Ich bin mir nicht sicher ob du dein System wieder sauber machen kannst geschweigedenn ob es kompromitiert ist.

mach auf jeden fall windows update und schmeiss antivir an!

Viel Erfolg

[Rika]

Besonders interessant scheint ja

Zitat

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll

zu sein. Normal ist das nicht, Sinn ergibt das nicht, also vermutlich Malware. Exemplare, die solche exotische Starteinträge manipulieren, sind relativ selten.

Der Rest ist halt ein bisschen übliche Malware, ein ziemlich zugemülltes System und ein User, der ja unebdingt mit Adminrechten surfen muss.

[Win-Fan]

Und das "böse" ServicePack 2 wurde warscheinlich auch aus guten Gründen nicht extra auch noch installiert.

Dieser Beitrag wurde von Win-Fan bearbeitet: 22. Dezember 2005 - 02:44