Hi, habe heute Spybot-search&destroy installiert, da mein PC nach der Nutzung durch meinen Sohn mit eigenem Browser vom USB-Stick (Firefox) mich ständig auf Spy-Infektionen hinweist. Einige Online-Tests meldeten mir zu Hauf’ Infektionen, aber das Entfernen war mit dem Kauf des Produktes gekoppelt!!:mad:

Nun habe ich alles „Rote“ beseitigt, aber nach dem Neustart kommt Vcodec (rot) gekennzeichnet permanent wieder!!:confused:

Bin dankbar für jeden Hinweis!

Zur Vollständigkeit halber hier noch der Bericht:

-- Report generated: 2006-01-06 15:26 ---

Vcodec: Daten (Datei, fixed)
C:\WINDOWS\system32\ncompat.tlb

Common Dialogs: History (2 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-01-06 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-01-06 Includes\Cookies.sbi (*)
2006-01-06 Includes\Dialer.sbi (*)
2006-01-06 Includes\Hijackers.sbi (*)
2006-01-06 Includes\Keyloggers.sbi (*)
2006-01-06 Includes\Malware.sbi (*)
2006-01-06 Includes\PUPS.sbi (*)
2006-01-06 Includes\Revision.sbi (*)
2006-01-06 Includes\Security.sbi (*)
2006-01-06 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-01-06 Includes\Trojans.sbi (*)


Gruss Dalidai

Das sind noch ueberreste von einer Smitfraud/Spyaxe infektion.:(

Lade dir bitte smitrem von hier herunter:
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
starte den PC im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm
und fuehre die smitrem.exe aus. Merke dir, in welchem Verzeichnis/Ordner es entpackt wurde, oeffne diesen Ordner und starte die RunThis.bat. Lies dir den Text durch und druecke danach jeweils die Leertastre, wenn du aufgefordert wirst, eine belibige TRaste zu druecken. Das kann je nach Rechner dauern und du wirst auch einige Veraenderungen sehen, aber das ist in Ordnung.
Wenn das Tool seine Arbeit beendet hat, starte den Rechner neu, gehe ins internet und schaue, ob das Problem beseitigt ist.
Du hast im Hauptverzeichniss von Laufwerk C eine Datei Namens smitfiles.txt oeffne diese Datei und fuege den Inhalt der TXT in eine Antwort von dir ein.

Dann sehen wir weiter.

Das sind noch ueberreste von einer Smitfraud/Spyaxe infektion.:(

.........Dann sehen wir weiter.

Danke vorerst für Deine Hinweise, Raman. Das nervt mich so, dass ich schon nahe dran war mein Image-File vom Mai zurückzuspeichern trotz umfangreicher Änderungen am System!! Nun versuche ich es trotzdem noch einmal auf dem anderen Weg - schon wegen der Fitness!?:)

Kann man denn eigentlich garnicht gegen solche Methoden der AntiSpy-Sofware-Vertreiber unternehmen?

Ich melde mich dann wieder!

MfG Horst

Das ist schwer, aber man kann versuchen, von seiner Seite alles moegliche zu machen. SPrich auf andere Browser ausweichen, wie Firefox/Mozilla oder Opera, sein System mit Hilfe von www.windowsupdate.com auf dem neusten Stand zu halten(z.B. um die Luecke fuer das WMF Exploit zu schliessen). Entsprechende Sicherheits oder Arbeitssoftware einsetzen und auf dem neusten Stand halten, Backups anlegen, ein eingeschraenkte Benutzerkonto einrichten usw.

Infos gibt es ueber all im Netz, z.B. auch hier:
http://cidres-security.de/neuaufsetzen.html

Das ist schwer, aber man kann versuchen, von seiner Seite alles moegliche zu machen. SPrich auf andere Browser ausweichen, wie Firefox/Mozilla oder Opera, sein System mit Hilfe von www.windowsupdate.com auf dem neusten Stand zu halten(z.B. um die Luecke fuer das WMF Exploit zu schliessen). Entsprechende Sicherheits oder Arbeitssoftware einsetzen und auf dem neusten Stand halten, Backups anlegen, ein eingeschraenkte Benutzerkonto einrichten usw.

Infos gibt es ueber all im Netz, z.B. auch hier:
http://cidres-security.de/neuaufsetzen.html

Hi, Raman,
danke für die Vielzahl von Tipps und Links. Bezüglich der Aktualisierung des Systems habe ich keinen Nachholebedarf (auch der IE ist aktuell), ZonealarmPro und Antivir aktualisiere ich auch ständig - was auch schon nervig ist. Darf vermutlich meine Kinder nicht mehr an den PC lassen, die durch DSL geradezu verlockt werden!?

Der 1. Link zum Download von Smitrem.exe geht bei mit nur bis 74/75% und dann ist Schluss. Hab's auch direkt von der Seite probiert - 's geht nicht. Kann eine Überlastung des Servers sein, oder das korrumpierte System lässt es intellegent nicht zu:D

Neige nun doch zum Neuaufsetzen, noch dazu wo Antivir (mal eher als 14-täglich aktualisiert) noch 3 Trojaner identifiziert hat!

MfG Horst

Hm, stimmt, da scheint es einige Probleme mit dem Download und der Seite zu geben.

In Bezug auf deine Kinder, nutz die Vorteile von Windows(2000/XP) und richte ein eingeschraenktes Konte fuer sie ein, dann hast du Ruhe:
http://cidres-security.de/benutzerkonto.html

Bei Windows XP Home musst du das am besten im Abgesicherten Modus ueber den Administrator machen. BTW: Auch einem Admin sollte man ein Passwort zuordnen!:)

Hm, stimmt, da scheint es einige Probleme mit dem Download und der Seite zu geben.

In Bezug auf deine Kinder, nutz die Vorteile von Windows(2000/XP) und richte ein eingeschraenktes Konte fuer sie ein, dann hast du Ruhe:
http://cidres-security.de/benutzerkonto.html

Bei Windows XP Home musst du das am besten im Abgesicherten Modus ueber den Administrator machen. BTW: Auch einem Admin sollte man ein Passwort zuordnen!:)

:dancing-c
Es ist vollbracht - runde 20 Min, und "C" ist mit Hilfe von Acronis (mit manuellem Eingriff - wegen externer Festplatte mit USB-HUB)wiederhergestellt! ZA-, Antivir- und Sytemupdate's sind erledigt. Nun ist nur noch die Frage der Erneuerung aller Passwörter offen. Das überlege ich mir noch!

Auf jeden Fall nochmals Dank für Deine Mitwirkung!

MfG Horst

Hallo!

Ich hatte ein ähnliches Problem
(siehe http://forums.spybot.info/showthread.php?p=13398)

Mit Euren Tipps bin ich die Kacke wieder los geworden.
Danke.

Harry

Das sind noch ueberreste von einer Smitfraud/Spyaxe infektion.:(
Das selbe Problem habe/hatte ich auch - danke jedenfalls für die Tipps, ich bin deinen Anleitungen einmal gefolgt (smitrem.exe usw)


Du hast im Hauptverzeichniss von Laufwerk C eine Datei Namens smitfiles.txt oeffne diese Datei und fuege den Inhalt der TXT in eine Antwort von dir ein.
Dann sehen wir weiter.

Das hier ist der Inhalt meiner TXT:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Downloads\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1772 'explorer.exe'
Killing PID 1772 'explorer.exe'

Starting registry repairs

Registry repairs complete
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deleting files
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)
Ich bin leider ein ziemlicher PC-Beginner ... heißt das jetzt, dass vcodec beseitigt ist??

Danke für die Hilfe!!
Luitpold

Das haengt davon ab, mit welcher Version du dich infiziert hast. Bei den neueren Varainten dieser Malware hilft smitrem nur noch bedingt. Findet Spybot, wenn du es aktualisierst, noch etwas, bzw faellt dir noch etwas ungewoehnliches auf?

Ansonsten kann ein Hijackthis log nicht schaden: http://www.cidres-security.de/hijackthis.html

hallo raman!

Danke für die schnelle Antwort! Mir ist jetzt nichts mehr ungewöhnliches aufgefallen, auch Spybot findet nichts mehr.

Hijackthis hab ich installiert und einen log gemacht. Die Seiten zur Auswertung hab ich mir angeschaut, damit komm ich aber leider überhaupt nicht klar :scratch:
Die einzelnen Zeilen hab ich mir angeschaut, wobei mir als quasi-Laie jetzt nichts aufgefallen ist. Vielleicht kann mir hier nochmal wer kurz helfen - hab die txt angehängt ...

Vielen, vielen Dank!!!
LiGrü aus Groningen
Luitpold

Das sieht ganz gut aus. DU kannst zur Kontrolle einen Onlinescan mit Kaspersky machen, um zu schauen, ob noch was gefunden wird.
http://www.kaspersky.com/de/virusscanner

Das sieht ganz gut aus. DU kannst zur Kontrolle einen Onlinescan mit Kaspersky machen, um zu schauen, ob noch was gefunden wird.
http://www.kaspersky.com/de/virusscanner
Kaspersky hat jetzt auch nichts mehr gefunden ... vielen, vielen Dank für deine Hilfe! :bow: