Hallo Leute,
nach nun fast einem Jahr seeliger Ruhe bin ich heute Morgen mal wieder böse Heimgesucht worden.
Und zwar von einer Spyaxe Verwandschaft. SpywareStrike heißt der *sorry* Mist. Nach drei Stunden Reg. durchforsten und booten und Abgesichertem Modus etc. dachte ich ich bin clean...aber schaut was ich doch noch drauf habe. Würde mich über Eure Hilfe wieder mal sehr freuen.
Markus

HJK Log.:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:25, on 25.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\nvctrl.exe
D:\WINDOWS\system32\sstray.exe
G:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
D:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
G:\Programme\Visual TimeAnalyzer\tbaction.exe
D:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
G:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\System32\GEARSec.exe
G:\Programme\QuickTime\qttask.exe
G:\Programme\Norton Ghost\Agent\VProSvc.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
G:\Programme\Norton Ghost\Agent\GhostTray.exe
G:\Programme\CleanUp XP\CleanUp.exe
G:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
G:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINDOWS\system32\fxssvc.exe
G:\Programme\Bonjour\mDNSResponder.exe
G:\Programme\iPod\bin\iPodService.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Markus\Desktop\Nicht verwendete Desktopverknüpfungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - D:\WINDOWS\system32\hp4BDD.tmp
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] G:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] D:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [TBAction] G:\Programme\Visual TimeAnalyzer\tbaction.exe
O4 - HKLM\..\Run: [ATIPTA] G:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] G:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "G:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ATICCC] "G:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "G:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [CleanUp XP] G:\Programme\CleanUp XP\CleanUp.exe -h
O4 - HKCU\..\Run: [PcSync] G:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Personal ID] G:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = G:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\MS_Office_XP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MS_OFF~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O10 - Unknown file in Winsock LSP: g:\programme\bonjour\mdnsnsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\icslsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_04) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDCD674D-BF8C-445B-8E19-F4A62AE59DAF}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - G:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - G:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - G:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - G:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hallo lueff,

downloade smitrem.exe auf Deinen Desktop.
Extrahiere die Datei per Doppelklick und ein eigenen Ordner wird erstellt.
Wechsel in den abgesicherten Modus.
Starte "Runthis.bat" per Doppelklick.
Poste anschliessend den Inhalt der Datei"C:\smitrem.txt".

dartus

Hallo dartus,
danke für die schnelle Hilfe.
HAtte smitrem schon drauf. Allerdings nicht im Abgesicherten Modus laufen lassen(wie dumm von mir).
Auf jeden FAll kommt wenn die bereinigung anfangen soll wieder der Bildschirm Win wir im Abgesicherten Modus ausgeführt OK oder nicht muss bestätigt werden. Wenn ich nicht bestätige läuft etwas ab...zumindest rödelt die Festplatte kurz....wenn ich auf OK gehe geht gar nix...was soll ich tun ?
Grüssle
Markus

Hallo lueff,

wenn smitrem nicht will, dann versuch es mit SmitfraudFix .
SmitfraudFix.cmd -> Option 1 -> rapport.txt Inhalt hier posten

dartus

siehe --> http://www.trojaner-board.de/showthread.php?t=12240