Hallo an alle!!

Habe ein Problem mit meinem Internet Explorer. Hat sich scheinbar ein Hijacker
eingenistet. Beim Aufrufen des IE erscheinen immer wieder Werbeseiten.
Habe schon alles mögliche probiert (cwshredder, Spybot, SpySweeper). Hat
aber alles nichts gebracht. Da ich nicht gerade der Fachmann bin, bitte ich
jemanden um Hilfe und stelle deshalb mein Log-File ins Forum. Hoffe mir kann
jemand helfen. Vielen Dank im voraus.

Logfile of HijackThis v1.99.1
Scan saved at 19:58:26, on 09.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\SOINTGR.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp170A.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5459.tmp" /m
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SponsoredAdBlocker] C:\Programme\SuperAdBlocker.com\Sponsored Ad Blocker\SCHBlock.exe
O4 - HKCU\..\Run: [XPCLEAN] C:\Programme\XPcleanv5\xpclean.exe /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Hallo,
besorge dir dieses Programm, entpacke es, gehe in den abgesicherten Modus (F8 beim booten) und führe die runthis.bat aus. Dann postest du den Inhalt der C:\Smitfiles.txt.

Dann deinstallierst du über Systemsteuerung>>Software SinEspias und löschst den Ordner C:\Programme\SinEspias

Außerdem machst du folgendes und postest die vier Logs, nur die Dateien der letzten drei Monate abkopieren!


Grüße Wildone

Hallo Wildone,

danke vorab für Deine Hilfe. Habe alles so ausgeführt so wie Du es beschrieben hast. (Hoffe es ist
alles so o.k.)

Anbei nun der Inhalt der C:\Smitfiles.txt sowie die vier Logs.

Gruß Panzo


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1664 'explorer.exe'
Killing PID 1664 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


~~~ Upon reboot ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


~~~ Upon reboot ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


~~~ Upon reboot ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


~~~ Upon reboot ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54E8-F68A

Verzeichnis von C:\WINDOWS\system32

10.01.2006 20:06 5.132 ncompat.tlb
10.01.2006 18:22 5.120 msvol.tlb
10.01.2006 18:22 24.064 ld49E.tmp
10.01.2006 18:22 9.705 hpFB09.tmp
10.01.2006 18:01 9.705 hp700.tmp
10.01.2006 17:17 9.204 mssearchnet.exe
10.01.2006 17:17 14.828 nvctrl.exe
09.01.2006 17:18 1.136 wpa.dbl
15.12.2005 17:36 36.864 intercept.dll
07.12.2005 17:38 14.396 mscornet.exe
05.11.2005 18:36 8.464 sporder.dll
30.10.2005 11:06 305.318 perfh009.dat
30.10.2005 11:06 37.760 perfc009.dat
30.10.2005 11:06 309.810 perfh007.dat
30.10.2005 11:06 45.672 perfc007.dat
30.10.2005 11Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54E8-F68A

Verzeichnis von C:\DOKUME~1\Owner\LOKALE~1\Temp

10.01.2006 18:23 16.384 Perflib_Perfdata_680.dat
10.01.2006 18:20 0 WER5.tmp
10.01.2006 18:11 22.127 VGX4.tmp
10.01.2006 18:11 2.662 VGX3.tmp
4 Datei(en) 41.173 Bytes
0 Verzeichnis(se), 21.888.393.216 Bytes frei
:06 705.292 PerfStringBackup.INIVolume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54E8-F68A

Verzeichnis von C:\WINDOWS

10.01.2006 19:53 63.886 comsetup.log
10.01.2006 19:53 37.794 ntdtcsetup.log
10.01.2006 19:53 23.613 iis6.log
10.01.2006 19:53 70.242 tsoc.log
10.01.2006 19:53 1.917 imsins.log
10.01.2006 19:53 6.449 ocmsn.log
10.01.2006 19:53 80.141 ocgen.log
10.01.2006 19:53 8.366 msgsocm.log
10.01.2006 19:53 159.436 FaxSetup.log
10.01.2006 19:52 700.665 setupapi.log
10.01.2006 18:22 0 0.log
10.01.2006 18:22 1.476.122 WindowsUpdate.log
10.01.2006 18:22 2.048 bootstat.dat
10.01.2006 18:21 32.592 SchedLgU.Txt
10.01.2006 18:16 4.795 setupact.log
08.01.2006 12:51 1.891 imsins.BAK
04.01.2006 22:40 216 wiadebug.log
04.01.2006 22:26 250 accessdll.log
04.01.2006 22:26 3.724 avmsetup.log
04.01.2006 22:26 660 avmadd32.log
04.01.2006 22:26 563 avmF.log
04.01.2006 22:25 563 avmE.log
04.01.2006 22:17 107 avmsysnet.log
04.01.2006 21:20 50 wiaservc.log
20.12.2005 19:01 1.990 ModemLog_HSP56 MicroModem.txt
18.12.2005 12:00 106 drwatson.log
17.12.2005 22:40 966 win.ini
15.12.2005 17:36 36.864 intercept.dll
07.12.2005 17:46 49 NeroDigital.ini
07.12.2005 17:35 6.681 msxmidi.exe
10.11.2005 17:31 2.736 avminstcli.log
10.11.2005 17:31 3.250 avmadd321.log
10.11.2005 17:30 567 avmcowlan.log
10.11.2005 17:07 3.099 avminstcli1.log
09.11.2005 11:46 468.480 WRUninstall.dll
05.11.2005 18:39 182.272 NDNuninstall6_98.exe
05.11.2005 18:37 98 acc1.txt
05.11.2005 18:37 98 ncc1.txt
28.10.2005 20:39 159.744 GSetup.exe
12.10.2005 15:57 563 avm2.log
11.10.2005 20:30 563 avmA9.log
11.10.2005 20:20 563 avm7E.log
11.10.2005 20:12 563 avm7D.log
11.10.2005 20:10 563 avm7A.log
11.10.2005 20:09 563 avm79.log
11.10.2005 20:09 563 avm78.log
03.10.2005 11:55 197 wmsetup.lo



10.01.2006 20:12 0 sys.txt
10.01.2006 20:10 8.509 system.txt
10.01.2006 20:09 443 systemtemp.txt
10.01.2006 20:07 94.466 system32.txt
10.01.2006 19:32 2.967 smitfiles.txt
10.01.2006 18:22 234.266.624 hiberfil.sys
10.01.2006 18:22 352.321.536 pagefile.sys
11.12.2005 17:31 74.270 ResponseXML.log
11.12.2005 17:31 76.381 ResponseText.log
11.12.2005 17:31 106.027 Request.log
10.11.2005 17:06 2.784 Errors.log
05.11.2005 18:44 0 BHO.log
20.10.2005 18:18 620 ElsterFormular 2004-2005.lnk
03.10.2005 08:59 4.577.316 eMule0.46c-Installer.exe
01.08.2005 20:34 15.794 PVOEM_debug.txt
30.07.2004 22:39 649.706 YMPEGSetupDemo.exe
25.07.2004 19:20 649.682 YMPEGSetupDemo13.exe
25.07.2004 12:32 2.847.269 DeepBurner1.exe
30.11.2003 12:48 91 setup_PowerDVD.log






~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~

Hallo,
besorge dir mal killbox und lösche damit (on reboot) folgende Dateien, erst bei der letzten den Neustart bejaaen:

C:\Windows\System32\ncompat.tlb
C:\Windows\System32\msvol.tlb
C:\Windows\System32\ld49E.tmp
C:\Windows\System32\hpFB09.tmp
C:\Windows\System32\hp700.tmp
C:\Windows\System32\mssearchnet.exe
C:\Windows\System32\nvctrl.exe
C:\Windows\System32\intercept.dll
C:\Windows\System32\mscornet.exe


und überprüfe mal die Dateien:
C:\Windows\System32\sporder.dll
C:\Windows\intercept.dll
hier und poste das Ergebnis.

P.S. Kann es sein das du dich schon drei mal mit damit infiziert hast?

Grüße Wildone

Hallo Wildone,

habe die von Dir beschriebenen Dateien gelöscht und die beiden Dateien per
VirusTotal überprüft.

Nochmals danke sehr für Deine Bemühungen.

Hier die Ergebnisse:

This is a report processed by VirusTotal on 01/12/2006 at 20:28:06 (CET) after scanning the file "intercept.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.12.2006 SPR/Fake.Spyaxe.2
Avast 4.6.695.0 01.11.2006 Win32:Interceptor
AVG 718 01.12.2006 no virus found
Avira 6.33.0.77 01.12.2006 SPR/Fake.Spyaxe.2
BitDefender 7.2 01.12.2006 no virus found
CAT-QuickHeal 8.00 01.11.2006 no virus found
ClamAV devel-20051123 01.12.2006 no virus found
DrWeb 4.33 01.12.2006 Trojan.NtRootKit.68
eTrust-Iris 7.1.194.0 01.12.2006 no virus found
eTrust-Vet 12.4.1.0 01.12.2006 no virus found
Ewido 3.5 01.12.2006 Adware.Spyaxe
Fortinet 2.54.0.0 01.12.2006 Interceptor!tr
F-Prot 3.16c 01.11.2006 no virus found
Ikarus 0.2.59.0 01.12.2006 no virus found
Kaspersky 4.0.2.24 01.12.2006 no virus found
McAfee 4673 01.12.2006 no virus found
NOD32v2 1.1363 01.12.2006 no virus found
Norman 5.70.10 01.12.2006 W32/NtRootKit.O
Panda 9.0.0.4 01.12.2006 no virus found
Sophos 4.01.0 01.12.2006 no virus found
Symantec 8.0 01.12.2006 no virus found
TheHacker 5.9.2.072 01.12.2006 no virus found
UNA 1.83 01.12.2006 no virus found
VBA32 3.10.5 01.12.2006 Trojan.NtRootKit.68



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com

This is a report processed by VirusTotal on 01/12/2006 at 20:34:13 (CET) after scanning the file "sporder.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.12.2006 no virus found
Avast 4.6.695.0 01.11.2006 no virus found
AVG 718 01.12.2006 no virus found
Avira 6.33.0.77 01.12.2006 no virus found
BitDefender 7.2 01.12.2006 no virus found
CAT-QuickHeal 8.00 01.11.2006 no virus found
ClamAV devel-20051123 01.12.2006 no virus found
DrWeb 4.33 01.12.2006 no virus found
eTrust-Iris 7.1.194.0 01.12.2006 no virus found
eTrust-Vet 12.4.1.0 01.12.2006 no virus found
Ewido 3.5 01.12.2006 no virus found
Fortinet 2.54.0.0 01.12.2006 no virus found
F-Prot 3.16c 01.11.2006 no virus found
Ikarus 0.2.59.0 01.12.2006 no virus found
Kaspersky 4.0.2.24 01.12.2006 no virus found
McAfee 4673 01.12.2006 no virus found
NOD32v2 1.1363 01.12.2006 no virus found
Norman 5.70.10 01.12.2006 no virus found
Panda 9.0.0.4 01.12.2006 no virus found
Sophos 4.01.0 01.12.2006 no virus found
Symantec 8.0 01.12.2006 no virus found
TheHacker 5.9.2.072 01.12.2006 no virus found
UNA 1.83 01.12.2006 no virus found
VBA32 3.10.5 01.12.2006 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com

Gruß Panzo

Hallo,
lösche dann auch noch die Datei:
C:\Windows\intercept.dll
und überprüfe die
C:\Windows\System32\sporder.dll
noch mal hier
und poste das Ergebnis.
Wie siehts den jetzt allgemein auf dem Desktop aus? Alles wieder so wie es sein soll?
Mache mal noch einen Onlinescan bei Panda und berichte was gefunden wird.


Grüße Wildone

Hey,

die Frage eines Laien.

Wie arbeite ich mit SimplyTech? Einfach Datei eintragen und durchlaufen lassen? Danach erscheint jedoch nichts.

Gruß Panzo.

Hallo,
habe selbst gedacht das simplytech anders arbeitet (mit feedback), überprüfe die Datei einfach in einer woche nochmal bei virustotal, wenn dann wieder kein Scanner ausschlägt sollte sie wohl okay sein.
Wie siehts jetzt auf deinem System aus, Desktop so wie es sein soll?
Mach mal noch zur allgemeinen Kontrolle einen Onlinescan bei Panda und poste den Report.


Grüße Wildone

Hallo,

also wenn ich den IE öffne startet die von mir gewünschte Seite. Das ist ja
schon mal o.k. Mittlerweile erscheint wieder, so wie zu Anfang, unten rechts
in der Taskleiste ein roter Punkt mit Kreuz sowie der Kommentar:
Your Computer is infected.

Habe Panda durchgeführt. Nachfolgend das Ergebniss. Hoffe Du findest was.
Da zuviele Zeichen, sende ich dieses Register auf zwei Antworten.

Danke vorab.

Teil 1:

Adware:Adware/SpywareStrike Nicht desinfiziert C:\Programme\SpywareStrike\spywarestrike.exe
Adware:Adware/SpywareStrike Nicht desinfiziert C:\WINDOWS\System32\wiatwain.dll
Adware:adware/securityerror Nicht desinfiziert C:\WINDOWS\SYSTEM32\ncompat.tlb
Adware:adware/p2pnetworking Nicht desinfiziert C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl
Adware:adware/msxmidi Nicht desinfiziert C:\WINDOWS\msxmidi.exe
Spyware:spyware/new.net Nicht desinfiziert C:\WINDOWS\NDNuninstall6_98.exe
Spyware:application/bestoffer Nicht desinfiziert C:\WINDOWS\smdat32m.sys
Potenziell unerwünschtes Tool:applica

Und hier ist Teil 2:

Muß noch eine Antwort hinterher schicken. Reicht vom Platz noch immer
nicht.

Gruß Panzo.

Spyware:Cookie/2o7.net Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Cookies\nadine schäfer@2o7[2].txt
Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Cookies\nadine schäfer@adtech[2].txt
Spyware:Cookie/Advertising Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Cookies\nadine schäfer@advertising[1].txt
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\1.tmp.exe
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\10.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\11.tmp.exe
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\112.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\119.tmp
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\13.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\17.tmp.exe
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\19.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\1B.tmp
Dialer:Dialer.EYJ Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\2.tmp
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\21.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\22.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\22.tmp.exe
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\24.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\26.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\30.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\33.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\3F.tmp.exe
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\4.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\4.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\43.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\50.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\53.tmp
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\6.tmp
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\6.tmp.exe
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\64.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\66.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\7.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\7.tmp.exe
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\79.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\7B.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\8.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\80.tmp.exe
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\92.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\93.tmp
Dialer:Dialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\93.tmp.exe
Adware:Adware/SearchAid

Und nun zu guter letzt Teil 3:

Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\A.tmp
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\AB.tmp
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\AC.tmp
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\AC.tmp.exe
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\B.tmp
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\C.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\C8.tmp
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\D.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\DD.tmp.exe
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\E.tmp
Adware:Adware/SearchAid Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\E3.tmp.exe
Dialerialer.DNA Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\F.tmp
Adware:Adware/SpyFighter Nicht desinfiziert C:\Dokumente und Einstellungen\Nadine Schäfer\Lokale Einstellungen\Temp\FB.tmp
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Owner\Desktop\Engel\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Owner\Desktop\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Owner\Desktop\smitRem.exe[Process.exe]
Spyware:Spyware/Smitfraud Nicht desinfiziert C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temp\SSLanguage.ini
Potenziell unerwünschtes Tool:Application/Need2Find Nicht desinfiziert C:\Programme\Need2Find\bar\1.bin\N2PLUGIN.DLL
Potenziell unerwünschtes Tool:Application/Need2Find Nicht desinfiziert C:\Programme\Need2Find\bar\1.bin\NPND2FN.DLL
Adware:Adware/SpywareStrike Nicht desinfiziert C:\Programme\SpywareStrike\SpywareStrike.exe
Adware:Adware/SpywareStrike Nicht desinfiziert C:\Programme\SpywareStrike\uninst.exe
Adware:Adware/P2PNetworking Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll
Spyware:Spyware/New.net Nicht desinfiziert C:\WINDOWS\NDNuninstall6_98.exe
Dialerialer.Gen Nicht desinfiziert C:\WINDOWS\sex_lesben[1].exe
Adware:Adware/SpywareStrike Nicht desinfiziert C:\WINDOWS\system32\1024\ld5262.tmp
Adware:Adware/SpywareStrike Nicht desinfiziert C:\WINDOWS\system32\1024\ld8266.tmp
Adware:Adware/P2PNetworking Nicht desinfiziert C:\WINDOWS\system32\P2P Networking v126.cpl
Adware:Adware/SpywareStrike Nicht desinfiziert C:\WINDOWS\system32\wiatwain.dll

Hallo,
lösche erstmal deine Temp Dateien mit cleanup!.

Dann lösche wieder mit Killbox folgende Ordner/Dateien on reboot:
C:\Programme\Need2Find
C:\Programme\SpywareStrike
C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll
C:\WINDOWS\NDNuninstall6_98.exe
C:\WINDOWS\sex_lesben[1].exe
C:\WINDOWS\system32\1024\
C:\WINDOWS\system32\P2P Networking v126.cpl
C:\WINDOWS\system32\wiatwain.dll
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\smdat32m.sys

Dann neuer Scan mit Panda und Ewido(Report bereigt con cookies Meldungen) und Bericht über die allgemeine Lage (rotes Kreuz noch da etc).


Grüße Wildone

Hallo Wildone,

zur aktuellen Lage:

Kann meinen IE wieder starten, so daß die von mir gewünschte Startseite
erscheint. Außerdem ist der Punkt mit dem Kreuz in der Task-Leise verschwunden.

Habe die Temp Dateien mit clean up gelöscht.

Beim löschen mit Killbox konnte die folgende Datei nicht gelöscht werden:

C:\Programme\SpywareStrike

Außerdem habe ich die Datei

c:\WINDOWS\Downloaded Programm Files\WebP2PInstaller

nicht gefunden.


Danach habe ich einen neuen Scan mit Panda durchgeführt.
Willst Du das Ergebniss nochmal sehen?

Ewido habe ich ebenfalls durgeführt.

Zu guter letzt habe ich Spy Sweeper durchführt. War soweit alles sauber,
bis auf:

AD cws_lookfor.cc hijack.

Das ist einfach nicht zu löschen.

Gruß Panzo

Hallo,
hast du versucht C:\Programme\SpywareStrike mit der Option deltree mit killbox zu löschen?

Zitat:

AD cws_lookfor.cc hijack.

Ist aufgeführt wo er gefunden wird, scheint mir aber auch nicht so dramatisch zu sein.
Jetzt zur Vorsorge, Finger weg von Cracks, Keygens oder anderen Programmen aus unseriösen Quellen und auch von den Seiten die soetwas anbieten, darüber hast du dir das nämlich höchst wahrscheinlich gefangen.

Außerdem solltest du den IE sicher konfigurieren und/oder einen alternativen Browser (Firefox, Opera, Mozilla) benutzen.

Ansonsten, System immer auf dem aktuellsten Stand halten, will heißen jeden Monat die aktuellen Patches einspielen, oder das automatische Update aktivieren.


Grüße Wildone

Hey,

vielen Dank für Deine Hilfe. Hast mir sehr geholfen. Dachte ich werde das garnicht mehr los.

Kann Dich nur weiterempfehlen.

Gruß Panzo.