[kxexnxnxy]

Hallo,
wenn mein PC mit WinXP startet kommt nach dem WinXP-Logo ein schwarzes Bild mit einem blau-gelben Kasten mit der Text "Warning spyware detected on your computer. Install spyware-remover Software" danach fährt win normal hoch
Spybot S&D und AviraAntivir haben zwar einzelne Viren gekillt, das Startbild bleibt aber.
Jemand eine Idee?

Danke

[stetha]

Poste bitte mal ein HijackThis-Logfile.
Eine Anleitung dazu findest du hier.

[aNtiCHrist]

Unzuverlässige, zeitaufwändige Methode:

System ein paar Tage vom Netz nehmen damit die Definitionsdateien gegenüber der dann isolierten Malware aufholen können. Dann mit einem (besser mehreren) sauberen Bootmedium und aktuellen Definitionsdateien nach der Malware scannen lassen, etwa über die Rescue-CDs von F-Secure und Avira oder wenn du es zur Hand hast, mit Knoppicillin. AntiVir wird ohne Premium-Lizenzdatei möglicherweise nicht alles finden, weil deine Malware vermutlich "nur" Fake-Antispyware ist, die keine direkte Schadwirkung hat. Knoppicillin bringt solch eine Lizenz allerdings mit, sodass sich damit die exzellente Erkennungsleistung von AntiVir dann voll entfalten kann. Erst wenn die alle nichts mehr finden, solltest du den Rechner wieder ans Netz hängen.


Schnelle, zuverlässige Methode:

Sauberes Backup zurückspielen oder falls nicht vorhanden, System neu aufsetzen.


Damit so etwas nicht erneut passieren kann:

http://board.gulli.com/thread/242574...s-zu-browsern/

[kxexnxnxy]

hier ist das log-file - vielen Dank für eure (schnelle) Hilfe

Spoiler:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:28, on 13.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vidalia\vidalia.exe
C:\Programme\Privoxy\privoxy.exe
C:\Programme\Tor\tor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: System Scheduler - Unknown owner - C:\WINDOWS\Offline Web Pages\svchost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

--
End of file - 3649 bytes

[kxexnxnxy]

hier ist das combo-fix logfile

Spoiler:

ComboFix 08-07-15.4 - Administrator 2008-07-16 16:33:02.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.58 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\incoming\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem\audio.dll
C:\WINDOWS\recover.reg
C:\WINDOWS\system32\blphcjhaj0et59.scr
C:\WINDOWS\system32\phcjhaj0et59.bmp
C:\WINDOWS\system32\wsnpoem

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 ))))))))))))))))))))))))))))))
.

2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ArcSoft
2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ArcSoft
2008-07-15 18:22 . 2006-11-10 15:05 18,688 --a------ C:\WINDOWS\system32\drivers\afc.sys
2008-07-15 18:21 . 2008-07-15 18:21 <DIR> d-------- C:\Programme\MSI
2008-07-15 18:21 . 2008-07-15 18:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-07-15 18:21 . 2003-03-18 22:14 499,712 -ra------ C:\WINDOWS\system32\msvcp71.dll
2008-07-15 18:21 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-07-15 18:21 . 2005-04-27 16:36 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2008-07-15 18:17 . 2007-12-06 05:41 327,296 -ra------ C:\WINDOWS\system32\drivers\AF15BDA.sys
2008-07-12 23:28 . 2008-07-12 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrueCrypt
2008-07-08 18:55 . 2008-07-08 18:55 204 --a------ C:\WINDOWS\wininit.ini
2008-07-08 18:15 . 2008-07-08 18:16 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-08 18:15 . 2008-07-08 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-08 17:39 . 2008-07-08 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-07-08 17:33 . 2008-07-08 17:33 <DIR> d-------- C:\Programme\Avira
2008-07-08 17:33 . 2008-07-08 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-19 20:33 . 2008-06-19 20:33 4,369 --a------ C:\main.html

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 16:54 5,840 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-15 16:54 317,472 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-08 13:41 --------- d-----w C:\Programme\cod4
2008-06-08 12:44 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-06-08 12:41 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-08 12:41 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DAEMON Tools
2008-06-06 11:56 --------- d-sh--w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wsnpoem
.

------- Sigcheck -------

2004-11-11 12:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 12:00 15360]
"Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2006-08-31 02:01 8915456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programme\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"ArcSoft Connection Service"="C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-12-18 10:15 72192]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 12:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Privoxy.lnk - C:\Programme\Privoxy\privoxy.exe [2006-11-20 16:30:54 250368]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\syst em]
"NoDispScrSavPage"= 0 (0x0)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-01-02 16:41 45056 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-02-12 10:06 262401 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-07-07 09:42 2156368 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Auth orizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Dreamweaver MX\\Dreamweaver.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\WINDOWS\\System32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\cod4\\iw3mp.exe"=

R2 ACDaemon;ArcSoft Connect Daemon;C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2007-12-18 10:15]
R3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\DRIVERS\AF15BDA.sys [2007-12-06 05:41]
S2 System Scheduler;System Scheduler;C:\WINDOWS\Offline Web Pages\svchost.exe []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountp oints2\{2caf88b0-7d71-11dc-b75d-000c6e579e99}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL recycled\sys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountp oints2\{46776196-8de3-11dc-b772-000c6e579e99}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL recycled\sys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountp oints2\{88cae406-362f-11dd-b878-000c6e579e99}]
\Shell\auto\command - G:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - G:\Knight.exe open
\Shell\find\command - G:\Knight.exe open
\Shell\install\command - G:\Knight.exe open
\Shell\open\command - G:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountp oints2\{dbe618d6-768b-11dc-b751-000c6e579e99}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL recycled\sys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountp oints2\{e13d1e90-75b1-11dc-b74f-000c6e579e99}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL recycled\sys.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-avp - C:\WINDOWS\avp.exe
MSConfigStartUp-Disk Knight - C:\WINDOWS\Knight.exe
MSConfigStartUp-lphcjhaj0et59 - C:\WINDOWS\system32\lphcjhaj0et59.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 16:35:18
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-16 16:36:42
ComboFix-quarantined-files.txt 2008-07-16 14:36:38

6 Verzeichnis(se), 1,941,258,240 Bytes frei
9 Verzeichnis(se), 1,942,323,200 Bytes frei

130

[stetha]

Hast du Kaspersky bereits deinstalliert, oder läuft es im Hintergrund?
Das nur aus reinen Stabilitätsgründen.

Du hattest/hast einen Trojaner auf dem Rechner.

Entweder hast du ein Backup, das du zurückspielen kannst, wie aNtiCHrist schon meinte.
Ansonsten empfehle ich dir ein Neuaufsetzen, da sich leider nicht genau sagen lässt, ob der Schädling auch vollständig vom System entfernt wurde.

Ändere nach dem neu Aufspielen des Systems unbedingt alle deine Passwörter! (primär OnlineBanking u. Mailaccount)

[kxexnxnxy]

1. kapsersky hab ich nie drauf gehabt...
2. ob der trojaner noch drauf ist, lässt sich nicht feststellen? ich würde das system natürlich ungern neu aufsetzen...
3. Das "spyware detected" beim Systemstart wird seit Combo-Fix und Spybot S&D übrigens nicht mehr angezeigt
4. kannste mir was genaueres zu dem trojaner sagen (z.B. Gefahr für externe Festplatte etc.)

[kxexnxnxy]

bezieht sich deine trojaner-vermutung auf die knight.exe?

[stetha]

Zitat:

Zitat von kxexnxnxy 

1. kapsersky hab ich nie drauf gehabt...

Dagegen spricht zum einen die avp.exe im autostart und zum anderen die fidbox*-Dateien.
Diese werden von Kasperksy angelegt.

Zitat:

2. ob der trojaner noch drauf ist, lässt sich nicht feststellen? ich würde das system natürlich ungern neu aufsetzen...

Nein, definitiv nicht.
Hier eine von vielen Meinungen zu deinem Backdoor.

Zitat:

3. Das "spyware detected" beim Systemstart wird seit Combo-Fix und Spybot S&D übrigens nicht mehr angezeigt

Dann wahr es wahrscheinlich eine von den anderen gefundenen und gelöschten Dateien.

Du kannst es quasi als Glück im Unglück bezeichnen, dass du dir Rougeware eingefangen hast.
Ansonsten hättest du den Backdoor nie erkannt.

Vor dem Neuaufsetzen könntest du noch folgendes machen.

Such' mal nach diesen Dateien:

lphcjhaj0et59.exe
Knight.exe
avp.exe

Packe diese in ein passwortgeschütztes Archiv, Passwort "virus", und lade es auf zB Rapidshare hoch.
Schick' mir den Link per PM.
Achte darauf, dass auch versteckte Dateien gesucht werden.

[kxexnxnxy]

ich habe keine der Dateien gefunden. auch nicht die von der abuse-seite beschriebenen!

[stetha]

Der Backdoor wurde bereits durch ComboFix entfernt.

Ist dir bekannt, welchen Sinn die knight.exe hatte?

Dann war auf deinem System mit ziemlicher Sicherheit einmal Kaspersky installiert; denk' mal genau nach


Viel Spass beim aufsetzen.
Ist halb so aufwendig, als wie du annimmst.

[kxexnxnxy]

Zitat:

Zitat von stetha 

Viel Spass beim aufsetzen.
Ist halb so aufwendig, als wie du annimmst.

:-) schon passiert, danke euch allen bei eurer Hilfe!