spybot >installing< spy/adware?!

[sh4dow]

i never had any problems with adware but because i'm a cautious person, i run scans now and then anyway. well... today, first i ran my virus scanner "antivir", no viruses found.

then i ran spybot - which found a whole lot of malware, trojans and whatnot, i let it remove everything and all of a sudden there are windows with ads popping up, i can't use the internet like before any more because i just keep getting bombed with ads and according to "antivir" there NOW is a trojan on my system which cannot be removed

what the hell is going on?!

[md usa spybot fan]

If you would like to post the Fixes.yymmdd-hhmm.txt log from the running of Spybot before you encountered the problem, perhaps someone could take a look at that and figure out what happened.

There are two methods to copy and post that information:

• Method 1:
  
  • Go into Spybot > Mode > Advanced mode > Tools > View Reports > View Pervious reports. Look for the Fixes.yymmdd-hhmm.log file that was produced when you found and fixed the detections you are questioning. Open it. To copy it to the Clipboard, right click on the listing and select Select All > Right click again and select Copy. Paste (Ctrl+V) the contents of the Clipboard into a new post in this thread.
• Method 2
  
  • The Fixes.yymmdd-hhmm.log files are stored in the following folders:
    
    • Windows 95 or 98:
      C:\Windows\Application Data\Spybot - Search & Destroy\Logs
    • Windows ME:
      C:\Windows\All Users\Application Data\Spybot - Search & Destroy\Logs
    • Windows NT, 2000 or XP:
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs
  • Using Windows Explorer, navigate to the correct Fixes.yymmdd-hhmm.log. Double click on it and it should open with Notepad. To copy it to the Clipboard, right click on the listing and select Select All > Right click again and select Copy. Paste (Ctrl+V) the contents of the Clipboard into a new post in this thread.

Note: By default here are two Checks.yymmdd-hhmm logs produced during a scan. The second Checks.yymmdd-hhmm has the details of what the scan found. A Fixes.yymmdd-hhmm log is produced if you fix or attempt to fix something.
__________________

It might also be helpful if you posted the AVSCAN-yyyymmdd-hhmmss-xxxxxxxx.LOG from the Avira AntiVir scan to see what Trojan you are dealing with.

[sh4dow]

i booted windows in safe mode, ran spybot, ad-aware, antivir and some registry cleaner multiple times and now my system seems to be safe and stable once again...

still... i think that outbreak because of spybot's fixes was very odd (i've been using spybot for years now and something like this has never happened to me before) and that's why i'll provide various log-files anyway... i'll mark the beginnings of logs bold, so it's easier to follow. language of the logs is german but i translated parts (marked with {}) that seemed relevant to me.


excerpt of the log of antivir before running spybot - 14:05

Beginn des Suchlaufs: Sonntag, 27. Mai 2007 14:05

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS'
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden! { Warning - The file could not be opened }


Ende des Suchlaufs: Sonntag, 27. Mai 2007 14:09
Benötigte Zeit: 03:45 min

Der Suchlauf wurde vollständig durchgeführt.

1143 Verzeichnisse wurden überprüft
57417 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden {1 file could not be searched}
57417 Dateien ohne Befall
380 Archive wurden durchsucht
1 Warnungen {1 warning}
0 Hinweise
0 Versteckte Objekte wurden gefunden



log of spybot (i let it fix everything, of course - and according to the fixes-file it really could) - 14:20

--- Report generated: 2007-05-27 14:20 ---

Smitfraud-C.Toolbar888: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-583907252-2052111302-725345543-1003\Software\Microsoft\aldd

Smitfraud-C.Toolbar888: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-583907252-2052111302-725345543-1003\AtlMon.ReusableComp.5

Smitfraud-C.Toolbar888: Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\acbblevq.dll

Smitfraud-C.Toolbar888: Ausführbare Datei (Datei, nothing done)
C:\Dokumente und Einstellungen\sh4dow\Lokale Einstellungen\Temp\removalfile.bat

Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

Fake.Wget: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-583907252-2052111302-725345543-1003\Software\Wget

Fake.Wget: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Wget

MediaPlex: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


TagASaurus: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ErrorSafe: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ErrorSafe: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ErrorSafe: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Smitfraud-C.Toolbar888: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


FastClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Zanox: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-05-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-04-18 advcheck.dll (1.5.1.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-05-23 Includes\Cookies.sbi (*)
2006-12-08 Includes\Dialer.sbi (*)
2007-05-23 Includes\DialerC.sbi (*)
2007-04-04 Includes\Hijackers.sbi (*)
2007-05-23 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2007-05-23 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-05-16 Includes\Malware.sbi (*)
2007-05-23 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-05-23 Includes\PUPSC.sbi (*)
2007-05-23 Includes\Revision.sbi (*)
2007-05-24 Includes\Security.sbi (*)
2007-05-23 Includes\SecurityC.sbi (*)
2007-05-23 Includes\Spybots.sbi (*)
2007-05-23 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2007-05-16 Includes\Trojans.sbi (*)
2007-05-23 Includes\TrojansC.sbi (*)



excerpt of the log of antivir after running spybot (this time, i didn't search c:\windows but c: because now that there actually were problems, i wanted to make sure i get >everything<) - 14:46

Beginn des Suchlaufs: Sonntag, 27. Mai 2007 14:46

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Gemeinsame Dateien\Yazzle1654OinAdmin.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.PurtiScan.A { Found - Trojan TR/Dldr.PurtiScan.A }
[INFO] Die Datei wurde gelöscht. { Info - File was deleted }
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden! { Warning - File could not be opened }
C:\WINDOWS\system32\obopfofy.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen { Found - Trojan TR/Vundo.Gen }
[WARNUNG] Die Datei konnte nicht gelöscht werden! { Warning - File could not be deleted }
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden! { Warning - File could not be opened }


Ende des Suchlaufs: Sonntag, 27. Mai 2007 14:58
Benötigte Zeit: 12:09 min

Der Suchlauf wurde vollständig durchgeführt.

5442 Verzeichnisse wurden überprüft
152068 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden {2 viruses or unwanted programs were found}
0 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht {1 file was deleted }
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden {3 files could not be searched}
152066 Dateien ohne Befall
687 Archive wurden durchsucht
4 Warnungen {4 warnings}
0 Hinweise
0 Versteckte Objekte wurden gefunden



log of spybot run in safe mode (meanwhile, i also installed spyhunter - which i thought would be another freeware spyware removal software...) - 15:50

--- Report generated: 2007-05-27 15:50 ---

ErrorSafe: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\Downloaded Program Files\UERSU_0001_N91M2407NetInstaller.exe

NoAdware: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EE5B8E34-973C-4FBE-AC83-99F064009FC7}

SpyHunter: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\EnigmaSoftwareGroup\SpyHunter

SpyHunter: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{0E307CAC-D8A7-4156-9B34-35BEC66ABFD0}

SpyHunter: Type library (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{35151C9B-2CF8-48A6-8A12-35FC3176C287}

SpyHunter: Programm-Verzeichnis (Verzeichnis, nothing done)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpyHunter\

SpyHunter: Autorun-Einstellungen (SpyHunter) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SpyHunter

SpyHunter: Programmdatei (Datei, nothing done)
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe

SpyHunter: Programmgruppe (Verzeichnis, nothing done)
C:\Programme\Enigma Software Group\

Smitfraud-C.Toolbar888: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-583907252-2052111302-725345543-1003\Software\Microsoft\aldd

MediaPlex: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Winsoftware: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Winsoftware: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ErrorSafe: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ErrorProtector: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Winsoftware: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Zedo: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ReliableStats: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Winsoftware: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


ErrorSafe: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


BFast: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Winsoftware.WinAntiVirusPro2006: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Zanox: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)


Winsoftware: Verfolgender Cookie (Internet Explorer: sh4dow) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-05-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-04-18 advcheck.dll (1.5.1.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-05-23 Includes\Cookies.sbi (*)
2006-12-08 Includes\Dialer.sbi (*)
2007-05-23 Includes\DialerC.sbi (*)
2007-04-04 Includes\Hijackers.sbi (*)
2007-05-23 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2007-05-23 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-05-16 Includes\Malware.sbi (*)
2007-05-23 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-05-23 Includes\PUPSC.sbi (*)
2007-05-23 Includes\Revision.sbi (*)
2007-05-24 Includes\Security.sbi (*)
2007-05-23 Includes\SecurityC.sbi (*)
2007-05-23 Includes\Spybots.sbi (*)
2007-05-23 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2007-05-16 Includes\Trojans.sbi (*)
2007-05-23 Includes\TrojansC.sbi (*)



excerpt of the final antivir scan which hopefully removed the last dangerous file - 16:00

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\obopfofy.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen { Found - Trojan TR/Vundo.Gen }
[INFO] Die Datei wurde gelöscht. { Info - File was deleted }
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden! { Warning - File could not be opened }


Ende des Suchlaufs: Sonntag, 27. Mai 2007 16:00
Benötigte Zeit: 08:58 min

Der Suchlauf wurde vollständig durchgeführt.

5440 Verzeichnisse wurden überprüft
152345 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden { 1 virus or unwanted program was found }
0 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht { 1 file was deleted }
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden { 2 files could not be searched }
152344 Dateien ohne Befall
697 Archive wurden durchsucht
2 Warnungen { 2 warnings }
0 Hinweise
0 Versteckte Objekte wurden gefunden

[md usa spybot fan]

I believe that it is quite likely that the Trojans where on your system before you ran Spybot and that the reason they were not picked up during the first Avira AntiVir scan is because you scanned a different set of files during the two scans. The first scan was only for 'C:\WINDOWS' the second was for 'C:\'.

Note the significant difference in the two (2) Avira AntiVir scans:

Code:

Beginning with the search in ' C:\WINDOWS '

…

End of the browsing: Sunday, 27 May 2007 14:09
Needed time: 03:45 min

The browsing was completely accomplished.

1143 listings were examined
57417 files were examined

Code:

Beginning with the search in ' C: \ '

…

End of the browsing: Sunday, 27 May 2007 14:58
Needed time: 12:09 min

The browsing was completely accomplished.

5442 listings were examined
152068 files were examined

__________________

If you need additional help, I would like to suggest that you consider posting in the in the Spybot-S&D in deutsch forum were responders may be more adept at reading German logs.

[sh4dow]

i know and i explained the reason... and if you check the paths, you'll see that during the second scan, a trojan was found inside c:\windows... where there was none before...

also, apparently there still is something on my system, i keep getting popups and automatic download windows for a tool called "drivecleaner" and also other random ad windows...

oh well, i'll try the german forum then - thanks...