Spyware !?

Terrorente · 28.12.10, 21:44

Hallo,

Ich habe gestern ein paar Dinge runtergeladen ( war auf der Suche nach einen Crack) und nun springt mein Internetexplorer nach 30-40 Sekunden jedesmal an (Obwohl ich Firefox verwende) und es öffnen sich Werbungen.

U.a. sowas hier:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wirklich sehr nervig.
Habe mich jetzt schonmal belesen und einen Scan mit hijackthis durchgeführt.
Folgendes ist dabei rausgekommen:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:33:45, on 28.12.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\DOKUME~1\Sarah\LOKALE~1\Temp\Eqr.exe
C:\WINDOWS\system32\sistray.exe
C:\DOKUME~1\Sarah\LOKALE~1\Temp\Eqs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nitro PDF\Professional\NitroPDFDriverService.exe
C:\WINDOWS\system32\NLSSRV32.EXE
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Erutia.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Gemeinsame Dateien\Corel\Standby\Standby.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Standby] "c:\Programme\Gemeinsame Dateien\Corel\Standby\Standby.exe" -START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [JP595IR86O] C:\DOKUME~1\Sarah\LOKALE~1\Temp\Eqr.exe
O4 - HKCU\..\Run: [WHMDNR9LKK] C:\WINDOWS\Erutia.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIE Helpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\DVDVideoSoftIE Helpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NitroPDFDriverCreatorReadSpool (NitroDriverReadSpool) - Nitro PDF Software - C:\Programme\Nitro PDF\Professional\NitroPDFDriverService.exe
O23 - Service: NLS Service (nlsX86cc) - Nalpeiron Ltd. - C:\WINDOWS\system32\NLSSRV32.EXE
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 6098 bytes

Ich kann leider damit sehr wenig anfangen und hoffe,dass mir jemand helfen kann

Lieben Dank jetzt schonmal

Europe · 28.12.10, 22:10

Das nächste mal kannst du das Logfile selbst unter [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] reinkopieren und auswerten lassen. Da lernt man am meisten dabei.

C:\DOKUME~1\Sarah\LOKALE~1\Temp\Eqs.exe - Schädlich (2.7 / 5.00)

Ich würde als erstes versuchen diese Eqs.exe im Taskmanager zu beenden.
Einen Virenscan machen und dann noch mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] einen vollständigen Systemscan durchführen.

Gruß Europe

Terrorente · 28.12.10, 23:49

Ich danke vielmals.

Denke, dass es diese Datei war, da der wmp auch verrückt spielt.

Kann ich das jetzt einfach so entfernen? Und dann ist alles wieder Schick?
Ich hab nämlich gelesen,dass man Windows neu aufsetzen sollte!?!

Europe · 29.12.10, 00:43

Wenn du dir zu 100% sicher sein willst dann ist eine Windowsneuinstallation natürlich der einzige Weg.

Zudem habe ich noch weitere Prozesse entdeckt welche mir äußerst suspekt vorkommen:
O4 - HKCU\..\Run: [JP595IR86O] C:\DOKUME~1\Sarah\LOKALE~1\Temp\Eqr.exe.
C:\WINDOWS\Erutia.exe

Abgesehen davon laufen bei dir einige Prozesse die nicht bei jeden Windowsstart laufen müssten (QTTask.exe,...)
Aufräumen in der Registerkarte Logon von [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].

Gruß Europe

Schmicky · 29.12.10, 01:14

Richtig

O4 - HKCU\..\Run: [JP595IR86O] C:\DOKUME~1\Sarah\LOKALE~1\Temp\Eqr.exe.
C:\WINDOWS\Erutia.exe

Aber hohl dir am besten Destroy - Saerch und Destroy oder Malwarebytes.org
Sind beides Trojaner Jäger.

Da ich nicht glaube das es das einzigste ist, was bei dir angesiedelt hat.

Terrorente · 30.12.10, 12:49

Also hab dann auch erkannt,dass es da noch mehrere Datein von eq*.exe gibt + dieses erutia.
Adware + Antivir haben das z.b. garnicht erkannt, da bin ich sehr enttäuscht.
Hab den mist jetzt mit tune up shredder gelöscht, ich hoffe,dass das so in ordnung war.

PC werd ich jetzt mal mit Autoruns bearbeiten, da er wirklich langsam ist beim hochfahren -.-

und dann mal die anderen empfohlenen programme durchlaufen lassen.

Ich danke auf jedenfall

Terrorente · 30.12.10, 13:27

omg ich hab grad mal autoruns aufgemacht....
und find mich da garnicht zurecht, was da laufen darf/muss und was nicht
Wenn jemand von euch viel langeweile hat, hab ich mal die liste abkopiert

http://img232.imageshack.us/i/1111fu.jpg/
http://img232.imageshack.us/i/11221j.jpg/
http://img443.imageshack.us/i/12223c.jpg/
http://img842.imageshack.us/i/122224.jpg/
http://img263.imageshack.us/i/1222225.jpg/
http://img291.imageshack.us/i/1222226.jpg/
http://img266.imageshack.us/i/122227.jpg/

achso das shreddern der datein hats nicht gebracht -.- immernoch da der mist

Europe · 30.12.10, 13:55

Zitat:

Zitat von Europe

~~~
Abgesehen davon laufen bei dir einige Prozesse die nicht bei jeden Windowsstart laufen müssten (QTTask.exe,...)
Aufräumen in der Registerkarte Logon von [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
~~~

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Gruß Europe