Hallo!

Ich bin am verzeifeln wegen diesem SpySheriff. Wenigstens bin ich nach grosser Verwirrung drauf gekommen, dass es sich um einen Virus handelt. Habe nämlich gerade einen neuen PC gekauft und bin das erste Mal damit im Internet rumgesurft... Und schon hats mich erwischt...

Was soll ich nun am besten tun? Unten habe ich mein HijackThis file...

Vielen Dank für eure Hilfe!!!!!!!!!!!!!!!


Logfile of HijackThis v1.99.1
Scan saved at 01:56:45, on 17.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Norman\bin\ZLH.EXE
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Bluewin\Quick Help\bin\mpbtn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\**********\Desktop\HijackthisEntpackt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hp://w.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hp://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hp://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hp://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hp://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 ww.autoescrowpay.com
O1 - Hosts: 127.0.0.3 ww.awmdabest.com
O1 - Hosts: 127.0.0.3 ww.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 ww.allforadult.com
O1 - Hosts: 127.0.0.3 ww.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 ww.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 ww.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 ww.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 ww.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 ww.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 ww.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 ww.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 ww.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 ww.toolbarpartner.com
O1 - Hosts: 127.0.0.3 ww.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 ww.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: 127.0.0.3 ww.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 ww.nylonsexy.com
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 ww.vparivalka.com
O1 - Hosts: 127.0.0.3 iframeprofit.com
O1 - Hosts: 127.0.0.3 ww.iframeprofit.com
O1 - Hosts: 127.0.0.3 topsearch10.com
O1 - Hosts: 127.0.0.3 ww.topsearch10.com
O1 - Hosts: 127.0.0.3 statscash.biz
O1 - Hosts: 127.0.0.3 ww.statscash.biz
O1 - Hosts: 127.0.0.3 vxiframe.biz
O1 - Hosts: 127.0.0.3 ww.vxiframe.biz
O1 - Hosts: 127.0.0.3 crazy-toolbar.com
O1 - Hosts: 127.0.0.3 ww.crazy-toolbar.com
O1 - Hosts: 127.0.0.3 topcash.biz
O1 - Hosts: 127.0.0.3 ww.topcash.biz
O1 - Hosts: 127.0.0.3 loadcash.biz
O1 - Hosts: 127.0.0.3 ww.loadcash.biz
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
O16 - DPF: ConferenceRoom Java Client - ht//irc1.bluewin.ch/java/cr.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

Dein Post und auch die dazugehörigen Beiträge wurden aus diesem Thread gelöst. Eröffne zukünftig einen eigenen Thread!

LG Cidre
S-Mod TB

@chriburg

Zitat:

Habe nämlich gerade einen neuen PC gekauft und bin das erste Mal damit im Internet rumgesurft... Und schon hats mich erwischt...
.

Dann setzt du dein System am besten nochmal neu auf.

Grund:Wenn, dann setzt man das System richtig auf und verhindert damit Malwarebefall-wenn du nicht neuaufsetzt will ich nicht wissen, wie dein System in einem halben Jahr aussieht!

Mein Tipp: Setze dein System gemäß folgender Anleitung auf:

http://www.trojaner-board.de/showthread.php?t=12154

Beachte die Anleitung genau .
Dazu auch der erste Link in meiner Signatur

Hm, das habe ich leider befürchtet... Doch warum habe ich mir diesen Dreck eingefangen? Ich habe das System nicht selber aufgesetzt.

Gibt es keine andere Möglichkeit? Wahrscheinlich nicht, ich habe die Story mit der Komprimittierung gelesen.

Ich habe noch einen anderen (älteren) Rechner, den ich in Zukunft für das Internet verwenden werde. Den neuen werde ich vorerst nicht mehr an das Netz schliessen, will ihn aber unbedingt sauber haben: dann muss ich wohl alles neu aufsetzen?

Wie kann ich mich (bei beiden PCs) vor weiteren Schädlingen schützen, beziehungsweise welche Programme und Einstellungen sind unerlässlich für einen guten Schutz?

Zitat:

Zitat von chriburg

Doch warum habe ich mir diesen Dreck eingefangen?

Dein System war vor der ersten I-Net Verbindung nicht sicher genug konfiguriert.

Zitat:

Gibt es keine andere Möglichkeit

Da dein PC relativ neu ist, ist das denke ich die sauberste Lösung.

Zitat:

Ich habe noch einen anderen (älteren) Rechner, den ich in Zukunft für das Internet verwenden werde. Den neuen werde ich vorerst nicht mehr an das Netz schliessen

Das halte ich für eine übertriebene Maßnahme.Wenn du dir ein neues Auto kaufst, läßt du es doch auch nicht in der Garage stehen, weil dir auf der Straße die Gefahr eines Unfalls droht.

Zitat:

ich habe die Story mit der Komprimittierung gelesen.

Na siehste, darin wird doch beschrieben, daß so etwas sehr wohl vermeidbar ist.

Zitat:

Wie kann ich mich (bei beiden PCs) vor weiteren Schädlingen schützen, beziehungsweise welche Programme und Einstellungen sind unerlässlich für einen guten Schutz?

Indem du beide PC vor der ersten Internetverbindung vernünftig absicherst.
Das steht aber alles in dem Link beschrieben, den ich dir gegeben hab.Aber ich poste ihn dir gerne nochmal:

http://www.trojaner-board.de/showthread.php?t=12154

Besonders wichtig für dich ist das Abarbeiten des 12-Punkte Plans, wie gesagt vor der ersten Internetverbindung.
Wenn du Fragen dazu hast, kannst du dich gerne wieder hier melden.
Merke: Im Zweifel lieber nochmal nachfragen

Ok, ich habe die Neuinstallation hinter mich gebracht und werde erstmal mit dem alten Computer auf dem Internet surfen und die Sicherheitsvorkehrungen so treffen, dass mir nichts mehr passieren kann... Wenn ich dann mehr Erfahrungen habe, dann kann ich den neuen PC ja immer noch an das Internet anschliessen.

Ich habe noch folgende Fragen zu den Daten auf dem PC: wenn ich Windows neu installiere - so habe ich mal gehört - bleiben immer noch Reste von Informationen drauf, die man einsehen kann, ist das wahr? Oder wird wirklich alles gelöscht und der Computer ist wie neu?

Die alte Maschine die ich habe (Win Xp home, Pentium III), habe ich schon einige Male neu aufgesetzt. Ich kriege aber die ursprüngliche Geschwindigkeit nicht mehr hin, hat das damit was zu tun?

Zitat:
10. Image der Systempartition erstellen mit z.B. Acronis True Image 8
11. Surf-, Patch- und Downloadverhalten überdenken
12. AV Anwendung installieren, AV Guard aktivieren und aktuell halten

Bei den Punkten 10-12 habe ich noch folgende Fragen:
Wie erstelle ich ein Image?
Welche AV ist sinnvoll? Ich habe bis jetzt immer mit Symantec Internet Security gearbeitet...

Vielen Dank für die Hilfe in der Not !!!