Spyware bzw Malware

Hallo Leute

Wir haben ein Problem,

Windows XP starten normal, nach circa 10 Minuten kommt die erste Meldung

Possible Spyware infection detected darunter steht der Trojaner TrojanDownloader.XS.
Sobald man es weg klickt, 2 Minuten später erscheint Abebot.
Abebot ist ein Schein Trojaner. darauf hin erscheint die Meldung System Integrity Scan Wizard im Zusammenspiel von PC-AntiSpyware

Nach einer fast 6 stündigen Suche im Google, steht bei Abebot, das alle Meldung auf einen Trojaner hinaus laufen.

Wir haben jetzt AVG-Anti-Spyware,Kaspersky Lab Online Scan, SpywareDoctor, SpyHunter, HiJackThis, Abebot remover, etc. versucht den Trojaner zu löschen.

Sobald wir meinten, das er weg sei, kommen alle nach ca. 30 Minuten wieder.

Dabei kam auch noch, das bei jedem Start, das Dektop Design ändern, in blauen Hintergrund und der Text bei dem Symbole in Rot dargestellt werden.

Uns ist klar, das eine Neuinstallation von Nöten ist. Kann jedoch erst in frühsten einer Woche eine neue Installation gemacht werden

Ich persönlich werde aber das Gefühl nicht los, als sei ein Malware drauf, der unteranderem das ganze verursacht.

Hat einer ein Tipp für den älteren Herr?
Da ich mit meinem Latein am Ende bin.

Für eine Antwort wäre ich dankbar.

Hallo Friese,

da hast Du wohl was ganz hartnäckiges auf dem Rechner. Es gibt zur Zeit ganz viele tolle angebliche AntiSpyware Programme, die Warnmeldungen herausgeben, wo nichts ist. Und dann sollst Du zum Entfernen bezahlen.

Ich konnte in Deiner Liste keinen Virenscanner entdecken, der auf Deinem Rechner läuft. Hab ich was überlesen?

Poste doch mal Dein HijackThis Log hier - und schau mal nach, ob Du auf Deinen Festplatten irgendwelche autorun.inf findest, wenn ja, weg damit, die gehören da nicht hin. (Nur der Vorsicht wegen).

Steinhund schrieb:

Es gibt zur Zeit ganz viele tolle angebliche AntiSpyware Programme, die Warnmeldungen herausgeben, wo nichts ist. Und dann sollst Du zum Entfernen bezahlen.

Zum Vergrößern anklicken....

Richtig, aber man muss nichts bezahlen, man muss nur wissen wie man den Fund manuell löschen kann. Darauf hin habe ich mich schon einiger Zeit spezialisiert.

Ich konnte in Deiner Liste keinen Virenscanner entdecken, der auf Deinem Rechner läuft. Hab ich was überlesen?

Zum Vergrößern anklicken....

Besser gesagt, hab ich nicht aufgeschrieben, Avast Home 4,8 ist drauf. Das soll aber nicht das Problem sein, Da Kaspersky Lab Online Scan auch nichts gefunden hat.
Unteranderem waren auch noch folgende Programme dabei. Smitfraudfix, Combofix, sdfix, und noch einige, ich weiß nicht wieviel ich verwendet habe.
Die sind jetzt auch sauber deinstalliert wieder Registry Eintrage sind manuell gelöscht.

Poste doch mal Dein HijackThis Log hier - und schau mal nach, ob Du auf Deinen Festplatten irgendwelche autorun.inf findest, wenn ja, weg damit, die gehören da nicht hin. (Nur der Vorsicht wegen).

Zum Vergrößern anklicken....

Autorun.inf bin ich auch auf den Drichter gekommen, Ich hab auch schon HiJackThis auswerten gelassen. Nichts bösartiges zu finden.
Da ich es dir wenn nur per PM schicken kann, weil unteranderem Firmensachen (Versicherungsprogramme) drauf sind, kann es bis heute Abend sich verschieben. Da ich nicht der Besitzer des Rechners bin.

Gerade darauf hin, bin ich mir nicht sicher, das es ein Trojaner ist.
Weil der ältere Herr so etwas ähnliches schon mal hatte, was ich vielleicht schon zu Anfang an erwähnen sollte.
Es war eigentlich genauso, daß einige Popups Seiten göffnet wurden, (was jetzt sogesehn auch, das meine ich mit Meldungen).
Damals war es ein Malware, die einzigste Quelle war damals, wie man den beseitigen könnte, stammte aus Holland.
Was uns auch erfolgreich gelungen war.

Na dann schreib mal ne PN. Hab ich das richtig verstanden, daß die Meldungen im Browser erscheinen? Oder kommen die im Systray?

MfG

Nick

Die erscheinen, nach dem der IE oder Firefox oder Online Bankinmg geöffnet werden, haben aber kene direkte Verbindung mit dem Browser.

Sobald der Browser, egal welcher, geöffnet werden, kommen nach spätestens 2 Minuten die Meldungen. wie der alte Herr feststellte.

Ich habe jetzt eine Seite gefunden, wo knapp 50 Registry Einträge daran schuld sind. Ich bearbeite es erst einmal und schick ich dir die Log Datei.

Hallo Nick,

ich hab es vor 2 Stunden selber geschafft.
Sogsehn hatte ich Recht, es war ein Malware.

Es nistet sich zwei Dateien im System ein, diese befinden sich einmal unter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ncfmfmtw\[size=12pt]dubixcfs.exe[/size]
C:\WINDOWS\system32\[size=12pt]nevitwbc.exe[/size]

Und einmal in der Registry.
O4 - HKCU\Software\Microsoft\Windows\CurrentVersion\\Run: [yitwytdc] C:\WINDOWS\system32\nevitwbc.exe

Die zwei Dateien löschen sowie auch den Regsitry Eintrag löschen und das warst.
System läuft auch sofort schneller.

Das entblüffende an der Sache. geben mal die beiden Dataien in Google ein, Erbgebnis 0 Treffer.
Man finden auch dies bezüglich nichts dergleichen unter Google.

Danke Nick, für deine Anteilnahme.

Gern geschehen und danke für die Rückmeldung - vielleicht trägt sie ja dazu bei, daß andere in Zukunft etwas darüber finden. Hast Du vielleicht auch heraus gefunden, wie und wodurch das ganze auf den PC gelangt ist?

MfG und schönen Sonntag noch

Nick

http://www.wintotal.de/Spyware/index.php

Die gute Fee hat das inzwischen auch in die spywareliste aufgenommen

Steinhund schrieb:

Gern geschehen und danke für die Rückmeldung - vielleicht trägt sie ja dazu bei, daß andere in Zukunft etwas darüber finden. Hast Du vielleicht auch heraus gefunden, wie und wodurch das ganze auf den PC gelangt ist?

Zum Vergrößern anklicken....

Schön wäre es, wenn ich es herausgefunden hätte, was ich nur weiß, das Problem kam Mittwoch auf Donnerstag um die Mitternacht zu stande.
Der gute ältere Herr, hatte wie eigentlich fast jeden Abend, noch für seine Kunden etwas vorbereitet und dann kam es.

Schade das es kein Programm gibt, welches die Dateien zurückverfolgen kann, bzw ist mir nicht bekannt.