Spyware detected on your computer

Spyware detected on your computer

- de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt.

blauer Hintergrund mittig folgende Meldung:
Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean your computer.

HijackThis

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddco.exe] C:\WINDOWS\system32\kddco.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6830] command /c del "C:\WINDOWS\Help\45AD9FCA.dll_old"

Combofix

((((((((( Weitere Löschungen )))))))))))))

C:\WINDOWS\system32\0quR8n.syz
C:\WINDOWS\system32\80UIXi.syz
C:\WINDOWS\system32\cssrss.exe
C:\WINDOWS\system32\EIVQRU.syz
C:\WINDOWS\system32\EONSoS.syz
C:\WINDOWS\system32\F.tmp
C:\WINDOWS\system32\GkK4vS.syz
C:\WINDOWS\system32\jAHjYm.syz
C:\WINDOWS\system32\kddco.exe
C:\WINDOWS\system32\KFSmKj.syz
C:\WINDOWS\system32\nCLflu.syz
C:\WINDOWS\system32\qBbhlH.syz
C:\WINDOWS\system32\zLuySO.syz

((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))

2008-06-30 00:05 . 2008-06-30 00:05 0 --a------ C:\WINDOWS\system32\A.tmp
2008-06-29 19:32 . 2008-06-29 19:32 0 --a------ C:\WINDOWS\system32\6.tmp
2008-06-29 17:56 . 2008-06-29 17:56 DIR d-------- C:\Dokumente und Einstellungen\%Username%\
Anwendungsdaten\rhcp2tj0e32n
2008-06-29 17:55 . 2008-06-29 17:56 DIR d-------- C:\Programme\rhcp2tj0e32n
2008-06-29 17:55 . 2008-06-30 00:05 60,928 --a------ C:\WINDOWS\system32\blphct2tj0e32n.scr
2008-06-29 17:54 . 2008-06-29 17:54 109,056 --a------ C:\WINDOWS\system32\lphct2tj0e32n.exe
2008-06-29 17:54 . 2008-06-30 00:05 90,838 --a------ C:\WINDOWS\system32\phct2tj0e32n.bmp
2008-06-29 17:54 . 2008-06-29 17:54 20,912 --a------ C:\n2dbr9.exe

2007-03-18 23:05 102,065 --sh--w C:\WINDOWS\Help\45AD9FCA.exe

S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\18.tmp

--------------------

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMDM PMSP Service] - 
"Cssrss.exe is W32/Forbot-CE"
C:\WINDOWS\system32\cssrss.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhcp2tj0e32n]
--a------ 2008-06-29 09:43 C:\Programme\rhcp2tj0e32n\rhcp2tj0e32n.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphct2tj0e32n]
--a------ 2008-06-29 17:54 109056 C:\WINDOWS\system32\lphct2tj0e32n.exe

Beispiel:

KILLALL:: Driver:: {DEF85C80-216A-43ab-AF70-1665EDBE2780} Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C:\WINDOWS\system32\kddco.exe"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32\kddco.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphct2tj0e32n] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMDM PMSP Service] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\n2dbr9.exe"=- Folder:: C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\rhcp2tj0e32n C:\Programme\rhcp2tj0e32n File:: C:\WINDOWS\system32\blphct2tj0e32n.scr C:\WINDOWS\system32\lphct2tj0e32n.exe C:\WINDOWS\system32\phct2tj0e32n.bmp C:\WINDOWS\system32\cssrss.exe C:\WINDOWS\system32\A.tmp C:\WINDOWS\system32\6.tmp C:\WINDOWS\system32\AB.tmp C:\WINDOWS\system32\A9.tmp C:\WINDOWS\TEMP\18.tmp C:\WINDOWS\Help\45AD9FCA.dll_old C:\WINDOWS\Help\45AD9FCA.dll C:\WINDOWS\Help\45AD9FCA.exe C:\n2dbr9.exe