Sie sind nicht angemeldet.

  • Anmelden

Problem mit Spyware

Lieber Besucher, herzlich willkommen bei: MastersForum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

1

20.04.2006, 00:49

Problem mit Spyware

Also das Ding was ich grad draufhab ist echt das hartnäckigste das ich bisher erlebt hatte. Hab heute nachm CD Crack gesucht und hab mir da wohl "SpySheriff" eingefangen oder wie der heißt. Der muss wohl ziemlich heftig sein, hab ihn gleich manuell rausgemacht aber seit dem er drauf war kommen jetzt immer in Abständen von 1-2 Minuten Seiten im FireFox, die ich gar nicht angeklickt hab, irgendson Bullshit wie
!!!ACHTUNG NICHT KLICKEN!!!
http://www.intern-etadvertising.com/normal/yyy102.html
http://www.browserbuy-out.com/normal/yyy102.html
http://popunder.paypopup.com/default.php…ndleWare&subid=

Hab folgende Programme laufen lassen:
- Spybot
- Spydoctor
- adaware
- Antivir
- Hijackthis

Spybot, adaware liefen auch schon im Safemode. Hat auch nix gebracht. Als Extrabonus meldet Spybot ab jetzt zusätzlich immer, dass "Defybuildcopy4" zugriff auf die Registry macht und er diese ablehnt.

Und wenn es jemandem von euch weiterhilft, das sagt hjt:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 00:20:16, on 20.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\WNSXS~1\nslookup.exe
C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Moritz\Application Data\??mantec\s?chost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wuauclt.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\My Software\HijackThis.exe

R3 - URLSearchHook: (no name) - {5432E73E-75DC-5379-D807-5F27C094E89B} - C:\WINXP\system32\uruwgu.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Uraa] "C:\WINXP\WNSXS~1\nslookup.exe" -vt yazr
O4 - HKCU\..\Run: [Ngfwyu] C:\Documents and Settings\Moritz\Application Data\??mantec\s?chost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: policies - C:\WINXP\system32\dnnu0159e.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Bin mittlerweile absolut verzweifelt. Sag mir einer mal ein Programm dass den Müll raushaut oder ne Methode wie ich das hinkrieg. Es ist einfach nur furchtbar nervig ...

Imp_Akhorahil

Erleuchteter

Beiträge: 4 395

  • Nachricht senden

2

20.04.2006, 00:59

also was ich nicht kenne:

O20 - Winlogon Notify: policies - C:\WINXP\system32\dnnu0159e.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
<---- sehr auffällig, wenn nicht weißt was das ist solltest das maybe entfernen

O4 - HKCU\..\Run: [Ngfwyu] C:\Documents and Settings\Moritz\Application Data\??mantec\s?chost.exe

kenn ich auch nicht jetz, aber schaut auch sehr verdächtig aus

O4 - HKCU\..\Run: [Uraa] "C:\WINXP\WNSXS~1\nslookup.exe" -vt yazr
auch das kenn ich nicht

R3 - URLSearchHook: (no name) - {5432E73E-75DC-5379-D807-5F27C094E89B} - C:\WINXP\system32\uruwgu.dll
und das schaut auch verdächtig aus

C:\Documents and Settings\Moritz\Application Data\??mantec\s?chost.exe
würd ich mal durchchecken, maybe ist das ein virus

C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
was das sony zeugs ist weiß ich auch nciht aber das müsstest ja du wissen wenn es extra drauf hast ^^


C:\WINXP\WNSXS~1\nslookup.exe
auch ka



der rest dürfte ok sein

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

3

20.04.2006, 01:12

Danke, werds mir mal genauer angucken!

Trotzdem, immer weiter Tipps geben bitte

CF_Faithhealer

Erleuchteter

Beiträge: 8 588

Beruf: GER

  • Nachricht senden

4

20.04.2006, 01:49

Zitat

C:\Documents and Settings\Moritz\Application Data\??mantec\s?chost.ex


böse

disaste_r

Anfänger

  • »disaste_r« wurde gesperrt

Beiträge: 52

Wohnort: ein kleines dorf...

Beruf: GER

  • Nachricht senden

5

20.04.2006, 02:37

?(

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »disaste_r« (20.04.2006, 02:40)

JoD_Raven

Fortgeschrittener

Beiträge: 549

Beruf: GER

  • Nachricht senden

6

20.04.2006, 09:57

Veränder mal die Links, dass sie nicht anklickbar sind, gibt hier bestimmt ein paar Deppen, die sonst draufklicken...

Yen Si

Erleuchteter

Beiträge: 5 884

Wohnort: Boizenburg/Elbe

Beruf: GER

  • Nachricht senden

7

20.04.2006, 10:03

Hast du die Auswertung der Logfile mal durchlaufen lassen?

http://www.hijackthis.de/#anl

_JoD_Dragon

Erleuchteter

Beiträge: 4 750

Wohnort: Krefeld

Beruf: GER

  • Nachricht senden

8

20.04.2006, 10:05

http://housecall.trendmicro.com/housecall/start_corp.asp
http://us.mcafee.com/root/mfs/default.asp?cid=9059

Probier die mal durch die helfen eigendlich sehr gut


Wenn das nicht geht les mal das hier

http://www.wintotal-forum.de/index.php/topic,84123.0.html

mit HiJack kannste es vergessen den weg zu bekommen weil er sich immer neu wiederherstellt wenn du den nicht direkt komplett beseitigst

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »_JoD_Dragon« (20.04.2006, 10:06)

LyS_ruleZ

Schüler

  • »LyS_ruleZ« wurde gesperrt

Beiträge: 118

  • Nachricht senden

9

20.04.2006, 11:11

versuchs mal mit search and destroy. ist eigentlich ganz gut das programm. ich habs auch aufm rechner.^^ :bounce: :bounce: :bounce:

Imp_Akhorahil

Erleuchteter

Beiträge: 4 395

  • Nachricht senden

10

20.04.2006, 11:48

lys das ist spybot das hat er schon probiert.

ich würd einfach in hijackthis das löschen was ich geschrieben hab (nur erst sicehr gehen das es nicht etwas ist was du extra drauf hast) dann sollts wieder klappen

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

11

20.04.2006, 15:04

Zitat


O20 - Winlogon Notify: policies - C:\WINXP\system32\dnnu0159e.dll

R3 - URLSearchHook: (no name) - {5432E73E-75DC-5379-D807-5F27C094E89B} - C:\WINXP\system32\uruwgu.dll


Bis auf die beiden hier hab ich alles gelöscht bzw. einquarantiert usw.. Trau mich irgendwie nich im system32 Folder rumzupfuschen.... darf ich? :rolleyes:

Problem ist noch da...hab aber den Eindruck dass es besser geworden ist (einfach weniger).... nervt trotzdem noch.

@YenSi: Ja hab ich. Er hat nichts bösartiges gefunden, nur die Files von Akho hat er als "unbekannt" markiert, also hab ichs rausgenommen

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Danaus« (20.04.2006, 15:05)

chimaero

Fortgeschrittener

Beiträge: 353

Beruf: GER

  • Nachricht senden

12

20.04.2006, 15:10

Hatte den SpySheriff vor ~3 Monaten auf dem Laptop eines Kollegen.

Nach nem langen Abend Recherche im Netz, unzähligen Versuchen mit Adaware & co. , haben wir resigniert und die Mühle plattgemacht - das kostete kaum ein Viertel der Zeit, die wir vorher mit Systemrettung vergeudet hatten.
Das Ding ist echt ne Pest ...

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

14

20.04.2006, 15:17

Ach ja chim hatte das genau die selben Symptome? Bin gar nich mehr so sicher dass das Spysheriff ist was ich da hab

Imp_Akhorahil

Erleuchteter

Beiträge: 4 395

  • Nachricht senden

15

20.04.2006, 15:55

http://board.protecus.de/t21285.htm

lies das mal durch danauss

edit: dnnu0159e.dll was du da hast steht auch in dem link drin.. sehr verdächtig ^^

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Imp_Akhorahil« (20.04.2006, 15:59)

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

16

20.04.2006, 17:05

Das klingt sehr sehr gut, probiere es mal.
Berichte dann obs gefunzt hat, thx anyway

chimaero

Fortgeschrittener

Beiträge: 353

Beruf: GER

  • Nachricht senden

17

20.04.2006, 18:02

Zitat

Original von Danaus
Ach ja chim hatte das genau die selben Symptome? Bin gar nich mehr so sicher dass das Spysheriff ist was ich da hab

An die Hijack-Logfiles kann ich mich nimmer erinnern - das Teil klinkte sich als Active-Desktop-Hintergrund ein mit der Info, daß ich mir was pöses eingefangen hätte (bzw. der Kollege),
mit der Empfehlung, mir doch Spy Sheriff auf Mausklick runterzuladen, um das Problem zu beheben :D

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

18

20.04.2006, 18:12

Toll:
die komische .dll hab ich mit deinem link wegbekommen, Akho, aber die Fenster sind noch immer da.... arg

Imp_Akhorahil

Erleuchteter

Beiträge: 4 395

  • Nachricht senden

19

20.04.2006, 18:45

dann post mal neue hijackthis logfile

Danaus

Profi

  • »Danaus« ist der Autor dieses Themas

Beiträge: 650

Beruf: GER

  • Nachricht senden

20

20.04.2006, 19:03

Okay System Restore hat ihn jetzt gekillt.
Sehr merkwürdig, da ich in anderen Foren gelesen habe dass System Restore nicht funktioniert. Egal, mir soll's recht sein.
Lustig nur: Das Program, für das ich den Crack gedownloadet hatte, ist jetzt auch weg. 8)