Spytrooper an Bord - Bitte um Hilfe!

Mimi die Noch-Verseuchte · 20.11.2005, 23:07

Hey Ihr Lieben!

Via AntiVir Scan habe ich mich (laut Scan Protokoll) dieses Plagegeistes endledigt... Allerdings popt mein InternetBrowser noch immer mit der Security Toolbar von Spytropper auf.

Anbei mein aktuelles Hijack Profil...
Wer kann helfen?

Logfile of HijackThis v1.99.1
Scan saved at 22:40:44, on 20.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\lotus\datei\organize\easyclip.exe
C:\lotus\datei\smartctr\smartctr.exe
C:\lotus\datei\smartctr\suitest.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\lotus\datei\register\remind32.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp7117.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Lotus SmartSuite r9 Registrierung.lnk = C:\lotus\datei\register\remind32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = C:\lotus\datei\organize\easyclip.exe
O4 - Global Startup: Lotus Schnellstart.lnk = C:\lotus\datei\wordpro\ltsstart.exe
O4 - Global Startup: Lotus SmartCenter.lnk = C:\lotus\datei\smartctr\smartctr.exe
O4 - Global Startup: Lotus SuiteStart.lnk = C:\lotus\datei\smartctr\suitest.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://fr4-download.nocreditcard.com/download/Object/ieaccess2XP.cab
O16 - DPF: {31150A86-0BBA-409F-BEB4-F3922D10BF34} (Gif89 Class) - http://212.175.206.228/xplug.ocx
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125774461985
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C1F71BB-7FF2-4C28-9F16-D741FD48B79F}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Haui45 · 20.11.2005, 23:20

Hallo,

Zitat:

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe

ist ein Dialer (-> Dialer-Hinweis), d.h. wenn du nicht ausschließlich DSL hast, solltest du die Datei auf Diskette/USB-Stick/etc. sichern.

Entpacke HijackThis in ein seperates Verzeichnis.

Entferne, falls möglich, "SecurityToolbar" o.ä. sowie andere unseriöse Software über Systemsteuerung-> Software

Starte den PC im abgesicherten Modus und führe das aus.

Fixe zusätzlich mit HijackThis (sofern noch vorhanden):
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp7117.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://fr4-download.nocreditcard.com/download/Object/ieaccess2XP.cab
O16 - DPF: {31150A86-0BBA-409F-BEB4-F3922D10BF34} (Gif89 Class) - http://212.175.206.228/xplug.ocx
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx

Lösche manuell:
C:\Programme\Security Toolbar
C:\WINDOWS\System32\SysUpd.exe

Poste alle geforderten Logs und ein Silent Runners-Logfile.

Mimi die Noch-Verseuchte · 21.11.2005, 10:27

Danke für die prompte Antwort!

Zwei Probleme sind aufgetaucht...

1.) Spytropper blockt die Seite hinter dem ESCAN Download
2.) Bei dem Versuch im abgesicherten Modus und abgeschalteter Systemwiederherstellung zumindest mit der Datei Runthis.bat zu starten um dann Adaware und Spybot einzusetzen erhalte ich die Meldung
(Der Prozess kann nicht auf die datei zugreifen, da Sie von einem anderen Prozess verwendet wird)

Ach ja, ich habe es nicht geschafft mich via Arcorbutler ins www einzuwählen, sobald ich im abgesicherten Modus arbeite. Warum nicht?
What shall I do?

Lieben Gruss, Mimi

Wildone · 21.11.2005, 10:46

Hallo,
klappt es mit dem Direktdownloadlink?

Zitat:

Bei dem Versuch im abgesicherten Modus und abgeschalteter Systemwiederherstellung zumindest mit der Datei Runthis.bat zu starten um dann Adaware und Spybot einzusetzen erhalte ich die Meldung

Den Satz verstehe ich nicht so richtig, kommt die Meldung bei Ad-Aware oder Spybot oder bei der Runthis.bat? Versuche mal die Datei in Runit.bat umzubenennen.

Das du dich im abgesicherten Modus nicht ins Internet einloggen kannst ist normal, da bestimmte Prozesse nicht gestartet werden die dafür notwendig sind.

Grüße Wildone

Mimi die Noch-Verseuchte · 21.11.2005, 10:58

Hey Wildone!

Danke, ja, der Download hat funktioniert.
Die Meldung kam beim Einsatz der Runthis.bat. Hab die Datei jetzt umbenannt.
Wage jetzt einen neuen Versuch...

Gruss, Mimi

Spytrooper an Bord - Bitte um Hilfe!

Log-Analyse und Auswertung: Spytrooper an Bord - Bitte um Hilfe!