Spyware Infection?

[LuBu]

Ich habe seit neuestem mitten auf meinem Bildschirm ein großes schwarzes Schild stehen, Spyware Infection in dicker roter Schrift. Habe schon AntiVir und Ad-Aware drüber laufen lassen, aber die finden nichts. Spybot S&D hab ich auch schon laufen lassen, hat aber auch nichts gefunden. Hier mal mein HijackThis Log

Code:

Logfile of HijackThis v1.99.1
Scan saved at 22:17:38, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir\AVGNT.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OSSelectorReinstall] F:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132224477366
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE

Bitte helft mir ich weiß nicht mehr weiter

[Speedy]

hi

downlaod den ccleaner, installieren, starten -> unter options settings -> german einstellen, nun bereinige damit dein system (windows, applications, registry) (quick-tour und screenshots)
einstellungen siehe screenshots, überprüfe nun alle temp. ordner, ob sie leer sind!

downlaod von datfindbat, führe es nach anleitung aus und poste den inhalt der erstellten logfiles (das werden 4 stück, wobei von c:\windows\system32 nur die letzten 30 tage gepostet werden sollten)

[LuBu]

Temp Ordner sind alle leer

Hier die Logfiles von datfindbat:
System32

Code:

 Verzeichnis von F:\WINDOWS\system32

17.11.2005  22:41                 0 asfiles.txt
17.11.2005  22:38             2.550 Uninstall.ico
17.11.2005  22:38             1.406 Help.ico
17.11.2005  22:38             1.718 Open.ico
17.11.2005  22:38             1.406 AddQuit.ico
17.11.2005  22:38             5.350 IE.ico
17.11.2005  22:38             9.470 Desktop.ico
17.11.2005  22:38             1.718 Quick.ico
17.11.2005  18:39            48.156 perfc007.dat
17.11.2005  18:39           311.604 perfh009.dat
17.11.2005  18:39           316.594 perfh007.dat
17.11.2005  18:39            39.992 perfc009.dat
17.11.2005  18:39           721.390 PerfStringBackup.INI
17.11.2005  17:21            13.646 wpa.dbl
17.11.2005  17:10               251 spupdwxp.log
17.11.2005  17:09            91.888 FNTCACHE.DAT
17.11.2005  15:34            34.064 lhacm.acm
17.11.2005  15:04            23.392 nscompat.tlb
17.11.2005  15:04            16.832 amcompat.tlb
17.11.2005  11:47            25.065 wmpscheme.xml
17.11.2005  11:47            13.588 wpa.bak
17.11.2005  11:45               261 $winnt$.inf
17.11.2005  11:43             2.951 CONFIG.NT
17.11.2005  11:42               488 WindowsLogon.manifest
17.11.2005  11:42               488 logonui.exe.manifest
17.11.2005  11:42               749 ncpa.cpl.manifest
17.11.2005  11:42               749 sapi.cpl.manifest
17.11.2005  11:42               749 cdplayer.exe.manifest
17.11.2005  11:42               749 nwc.cpl.manifest
17.11.2005  11:42               749 wuaucpl.cpl.manifest
17.11.2005  11:41            21.740 emptyregdb.dat
16.11.2005  14:48           492.544 WRLogonNtf.dll
16.11.2005  14:48             8.192 ssiefr.EXE
16.11.2005  14:48            17.920 wrlzma.dll
10.11.2005  21:17         2.377.568 MRT.exe
07.11.2005  17:46           135.168 snapapi.dll
04.11.2005  16:27           534.280 LegitCheckControl.DLL
29.10.2005  06:52           307.200 atiiiexx.dll
29.10.2005  06:13           258.048 ATIDEMGR.dll
29.10.2005  05:32         6.684.672 atioglx1.dll
29.10.2005  04:27         4.866.048 atioglxx.dll
29.10.2005  04:12           247.296 ati2dvag.dll
29.10.2005  04:08           110.592 atipdlxx.dll
29.10.2005  04:07            77.824 Oemdspif.dll
29.10.2005  04:07            26.112 Ati2mdxx.exe
29.10.2005  04:07            40.960 ati2edxx.dll
29.10.2005  04:07            47.616 ati2evxx.dll
29.10.2005  04:06           389.120 ati2evxx.exe
29.10.2005  04:06            53.248 ATIDDC.DLL
29.10.2005  03:58         2.491.808 ati3duag.dll
29.10.2005  03:52           603.040 ativvaxx.dll
29.10.2005  03:40           151.552 atikvmag.dll
29.10.2005  03:21            17.408 atitvo32.dll
29.10.2005  03:16           237.568 ati2cqag.dll
28.10.2005  21:05           520.192 ati2sgag.exe
17.10.2005  15:15           110.293 atiicdxx.dat

Systemtemp

Code:

 Datentr„ger in Laufwerk F: ist Windows
 Volumeseriennummer: 8492-B742

 Verzeichnis von F:\DOKUME~1\LuBu\LOKALE~1\Temp

System

Code:

 Datentr„ger in Laufwerk F: ist Windows
 Volumeseriennummer: 8492-B742

 Verzeichnis von F:\WINDOWS

17.11.2005  22:41               658 win.ini
17.11.2005  19:08             2.033 hosts
17.11.2005  19:08            28.672 tool2.exe
17.11.2005  19:08            66.064 kl.exe
17.11.2005  19:08                 0 uniq
17.11.2005  19:01           627.903 WindowsUpdate.log
17.11.2005  19:01             2.048 bootstat.dat
17.11.2005  18:46           720.896 iun6002.exe
17.11.2005  18:14             6.320 mozver.dat
17.11.2005  17:35            99.970 UninstallFirefox.exe
17.11.2005  17:10           316.640 WMSysPr9.prx
17.11.2005  16:48                10 WININIT.INI
17.11.2005  11:43           299.552 WMSysPrx.prx
17.11.2005  11:43             4.161 ODBCINST.INI
17.11.2005  11:42               749 WindowsShell.Manifest
17.11.2005  11:41                36 vb.ini
17.11.2005  11:41                37 vbaddin.ini
17.11.2005  11:36               231 system.ini
16.11.2005  14:48           478.720 WRUninstall.dll
04.10.2005  14:12            90.112 soundman.exe
09.09.2005  16:39           212.992 alcrmv.exe
12.08.2005  18:40           307.200 alcupd.exe
27.05.2005  00:22            10.752 hh.exe
04.08.2004  08:58           288.768 winhlp32.exe
04.08.2004  08:58            32.866 slrundll.exe
04.08.2004  08:58           153.600 regedit.exe
04.08.2004  08:58            70.144 notepad.exe
04.08.2004  08:57         1.035.264 explorer.exe
04.08.2004  08:57            50.688 twain_32.dll
02.04.2003  13:00             9.522 Zapotek.bmp
02.04.2003  13:00            65.832 Santa Fe-Stuck.bmp
02.04.2003  13:00            15.872 TASKMAN.EXE
02.04.2003  13:00            17.062 Kaffeetasse.bmp
02.04.2003  13:00            94.800 twain.dll
02.04.2003  13:00            17.362 Rhododendron.bmp
02.04.2003  13:00             1.405 msdfmap.ini
02.04.2003  13:00            25.600 twunk_32.exe
02.04.2003  13:00            65.954 Pr„riewind.bmp
02.04.2003  13:00            26.582 Granit.bmp
02.04.2003  13:00            26.680 F„cher.bmp
02.04.2003  13:00            16.730 Feder.bmp
02.04.2003  13:00            18.944 vmmreg32.dll
02.04.2003  13:00                80 explorer.scf
02.04.2003  13:00            49.680 twunk_16.exe
02.04.2003  13:00                 2 desktop.ini
02.04.2003  13:00           257.568 winhelp.exe
02.04.2003  13:00            65.978 Seifenblase.bmp
02.04.2003  13:00            82.944 clock.avi
02.04.2003  13:00            48.680 winnt.bmp
02.04.2003  13:00            48.680 winnt256.bmp
02.04.2003  13:00            34.818 wmprfDEU.prx
02.04.2003  13:00             1.272 Blaue Spitzen 16.bmp
02.04.2003  13:00            17.336 Angler.bmp
02.04.2003  13:00               707 _default.pif
13.08.2002  06:10           155.648 ssleay32.dll
13.08.2002  06:09           684.032 libeay32.dll
              56 Datei(en)      6.756.856 Bytes
               0 Verzeichnis(se),    295.817.216 Bytes frei

SyS

Code:

 Datentr„ger in Laufwerk F: ist Windows
 Volumeseriennummer: 8492-B742

 Verzeichnis von F:\

17.11.2005  22:44                 0 sys.txt
17.11.2005  22:44             2.990 system.txt
17.11.2005  22:44               126 systemtemp.txt
17.11.2005  22:44            88.694 system32.txt
               4 Datei(en)         91.810 Bytes
               0 Verzeichnis(se),    295.809.024 Bytes frei

--Edit--
Habe den PC einmal neu gestartet, das Schild ist jetzt weg, allerdings kann ich immernoch keinen neuen Desktophintergrund einstellen.
Habe auch nochmal HJT laufen lassen, hier das Log

Code:

Logfile of HijackThis v1.99.1
Scan saved at 23:34:27, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir\AVGNT.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
F:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
F:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\WINDOWS\system32\wuauclt.exe
G:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OSSelectorReinstall] F:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [SpySweeper] "F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132224477366
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - F:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

[Ruby]

@ LuBu

Starte Spybot S&D - falls vorhanden - deaktiviere den Teatimer und Resident, deinstalliere das Programm, während der Reinigungsarbeiten.

Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du u.a offline im abgesicherten Modus arbeiten wirst.

Folge den Nummern in der Reihenfolge:

-> Anweisung bitte sorgfältig lesen!

Code:

Teil 1
Lade von den folgenden Programme die runter, die du noch nicht runtergeladen hast:

1-1
NEUE Version: Ad-Aware SE, installieren und updaten
Alle roten Items grün werden lassen.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
bei Verdacht auf Adware oder einmal im Monat anwenden,
das Programm vorher updaten.)

1-2
NEUE Version: Spybot Search & Destroy, installieren und updaten -> ohne den Teatimer!
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
bei Verdacht auf Spyware oder einmal im Monat anwenden,
das Programm vorher updaten.)

1-3
CWShredder, installieren und updaten
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
anfallweise anwenden, das Programm vorher updaten.)

1-4
about:Buster,
entpacke es in C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"

(wenn keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
anfallweise anwenden, das Programm vorher updaten.)

1-5
Lade den RegSeeker 1.45 runter.
Deutsche RegSeeker 1.45 Anleitung
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
anfallweise anwenden, das Programm vorher updaten.)

1-6 (zur Vorbeugung)
Lade den SpywareBlaster runter.
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
vor jeder Sitzung im Netz anwenden, das Programm vorher updaten.)

Teil 2
Anleitung zur Entfernung

1
*SEHR WICHTIG*

Im Windows-Explorer:

>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

2
Du musst nun im abgesicherten Modus (Anleitung) arbeiten.

3
Schliesse alle Programme einschliesslich Internet Explorer.

4
Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing)

Drücke auf den Fix Button.
Beende das Programm HijackThis.

5
Bleib im abgesicherten Modus.
Lass Ad-Aware SE laufen.
Lass das Programm alles entfernen, was es findet.
Speichere das Logfile ab.
Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE und die Quarantäne-Box.

6
Bleib im abgesicherten Modus.
Lass Spybot Search & Destroy laufen.
Geh auf "Advanced", unter Tools kannst du alles mit ein Häkchen aktivieren.
Lass das Programm alles entfernen, was es findet.
Immunisiere dein System.

7
Bleib im abgesicherten Modus.
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

8
Bleib im abgesicherten Modus.
Lass about:Buster laufen
4. Klicke auf "Start".
(Warte bis der Scan fertig ist.)
5. Speichere das Logfile.
6. Klicke auf "Exit".

9
Boote deinen Rechner in den normalen Modus.

10
Lass den Regsseker laufen
und alles entfernen, was er findet.

11
Bitte die Systemwiederherstellung im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.

12
Lass HijackThis laufen
Speichere das Logfile.
.

-> Poste das Ad-Aware SE Logfile.
-> Poste das About:Buster Logfile.
-> Poste das HJT Logfile.