# SPAM/ADWARE/SPYWARE Attacken bei CS/CS-S:(



## Neok (27. Dezember 2005)

Hallo!


Ich spiele gerne Mal im Internet Counter-Strike.
Jedesmal wenn ich auf einem Server verbinde wird ja dieses kleine Fenster mit dem Ladestatus angezeigt und ein kleines Fenster mit Werbung(Ich vermute das es der IE ist).
Sobald die Werbung angezeigt wird, werde ich aus dem Spiel geworfen und der Desktop wird angezeigt, inkl. einem Popup von euroclick.com oder sonstwelchen Müll. Unten in der Taskleiste auf Counter-strike Schaltfläche gedrückt und schon war ich wieder im Spiel.

Damit konnte ich noch leben, aber bei Counter-Strike: Source ist es noch schlimmer, da komme ich nicht wieder zurück ins Spiel 

Ich hab schon etliche Anti-SPAM/AD/SPYWARE Programme (Spybot Search&Destroy/AD-Aware/Microsoft Anitspyware) installiert. Bringt alles nix    


Was kann man machen?

Edit: Bei Freunden tritt dieses Problem nicht auf.


----------



## Neurodeamon (27. Dezember 2005)

Lade Dir bitte mal hijackthis  herunter und poste uns mal das Log.
Danke


----------



## Neok (27. Dezember 2005)

Logfile of HijackThis v1.99.1
Scan saved at 22:13:19, on 27.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\Ati2evxx.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\windows\Dit.exe
C:\windows\system32\RunDll32.exe
C:\windows\CNYHKey.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\windows\DitExp.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\System32\svchost.exe
C:\windows\system32\wdfmgr.exe
C:\windows\System32\alg.exe
C:\windows\system32\wscntfy.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\windows\explorer.exe
D:\Programme\Valve\Steam\steam.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Tools\Winamp\winamp.exe
C:\Programme\Sony\Vegas 6.0\vegas60.exe
C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 165.194.121.227:80
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09F8505D-AAB1-1DFF-7F40-9669AC26AB1B} - C:\DOKUME~1\CHRIST~1\ANWEND~1\MATHPR~1\title two.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [peak bird] C:\DOKUME~1\CHRIST~1\ANWEND~1\BODYFA~2\Bolt grey.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124214080843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124214064421
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BB88366-07D1-458C-96B6-FEA9678406CE}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5068A4AC-47C0-467C-825D-6BDC8DD95956}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE04E527-CB8C-4C13-8D94-B91B89BB1AA9}: NameServer = 192.168.1.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Intranet\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\windows\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/Intranet/apachefriends/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Einfache TCP/IP-Dienste (SimpTcp) - Unknown owner - C:\windows\System32\tcpsvcs.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\VMwareWorkstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\windows\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


----------



## Neurodeamon (27. Dezember 2005)

Verdächtige BHO (Browser Helper Objects):

O2 - BHO: (no name) - {09F8505D-AAB1-1DFF-7F40-9669AC26AB1B} - C:\DOKUME~1\CHRIST~1\ANWEND~1\MATHPR~1\title two.exe
O4 - HKCU\..\Run: [peak bird] C:\DOKUME~1\CHRIST~1\ANWEND~1\BODYFA~2\Bolt grey.exe

Das ist alles, was ich anhand meiner Recherche und Erfahrung bemängeln würde.

Seltsam ist auch:
C:\windows\system32\RunDll32.exe

Die Datei heißt normalerweise rundll32.exe (also komplett klein geschrieben).
Das muss aber nichts heißen.

Ich tippe eher auf die beiden BHO.


----------



## Neok (28. Dezember 2005)

Hmm und wie krieg ich die weg?
Der Bolt grey Kram kommt immer wieder!

Die *rundll32.exe* ist im SYSTEM32-Ordner auch kleingeschrieben


----------



## Neurodeamon (28. Dezember 2005)

Du mußt den Prozess abschiessen, bevor Du die Datei aus der Registry austrägst. 
Ich habe bisher nur einmal einen richtig fiesen wegmachen müssen, der mehrere Dateien erstellt hatte, die sich gegenseitig immer wieder aktiviert haben.

Am besten ist es die Datei per Notfallkonsole zu löschen. Notfalls ginge es auch per Knoppix oder idealerweise mit BartPE.


----------

