Spyware Strike

rolikx23 · 03.02.2006, 23:25

Hallo, bitte helft mir!
Bringe dieses Spyware Strike nicht weg.

Logfile of HijackThis v1.99.1
Scan saved at 23:21:24, on 03.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp4882.tmp
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Alaunch] C:\Windows\alaunch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://bike1.gonogo.ch/msrdp.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

C1Stolli · 04.02.2006, 00:58

War bei mir auch so - ich habe keine Ahnung...aber ich habe zuerst SP 3 installiert und danach gemäß der Auswertung unter hijackthis.de habe ich im abgesicherten Modus

mssearchnet.exe und
nvctrl.exe

unter

C:\WINDOWS\system32\

im abgesicherten Modus gesucht und gelöscht; bei mir ist seitdem Ruhe.

Gruß
Mario

dartus · 04.02.2006, 01:34

Hallo rolikx23,

folgendes sollte helfen:
http://www.trojaner-board.de/showpos...51&postcount=2

dartus

rolikx23 · 04.02.2006, 14:32

hallo,
erstmal danke für eure Hilfe,bin schon etwas weitergekommen mit diesem
verd..... Spyware Strike.

1. Habe 2 bösartige Dateien gefunden im system 32 (mssearchnet.exe und
nvctrl.exe).
2. Konnte mssearchnet.exe löschen. Computer ist immer noch langsam und als Startseite kommt immer noch about:blank.
3.Kann nvctrl.exe in system32 nicht löschen, kann das damit zu tun haben
dass ich meinen PC nicht im abgesicherten Modus starten kann?

BataAlexander · 04.02.2006, 14:42

Hallo,

lade Dir http://www.atribune.org/ccount/click.php?id=3
und führe das Tool aus, starte dannach den Rechner neu.

Gruß

Schrulli

rolikx23 · 04.02.2006, 16:34

Hallo,
jetzt läuft die Kiste wieder sauber.
habe jetzt im abgesicherten Modus auch C:\...\nvctrl.exe löschen können.
Spyware Strike konnte ich dann ganz löschen.
Dann hatte ich aber immer noch die falsche Startpage im IE, die konnte ich dann aber mit HijackThis fixen.

Danke an euch alle!!!

04.02.2006, 14:42	#5
BataAlexander > MalwareDB	Spyware Strike Hallo, lade Dir http://www.atribune.org/ccount/click.php?id=3 und führe das Tool aus, starte dannach den Rechner neu. Gruß Schrulli __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Spyware Strike

Log-Analyse und Auswertung: Spyware Strike

Spyware Strike

Spyware Strike

Spyware Strike

Spyware Strike

Spyware Strike

Spyware Strike

Ähnliche Themen: Spyware Strike

04.02.2006, 00:58	#2
C1Stolli	Spyware Strike War bei mir auch so - ich habe keine Ahnung...aber ich habe zuerst SP 3 installiert und danach gemäß der Auswertung unter hijackthis.de habe ich im abgesicherten Modus mssearchnet.exe und nvctrl.exe unter C:\WINDOWS\system32\ im abgesicherten Modus gesucht und gelöscht; bei mir ist seitdem Ruhe. Gruß Mario __________________

04.02.2006, 01:34	#3
dartus	Spyware Strike Hallo rolikx23, folgendes sollte helfen: http://www.trojaner-board.de/showpos...51&postcount=2 dartus __________________ __________________

04.02.2006, 16:34	#6
rolikx23	Spyware Strike Hallo, jetzt läuft die Kiste wieder sauber. habe jetzt im abgesicherten Modus auch C:\...\nvctrl.exe löschen können. Spyware Strike konnte ich dann ganz löschen. Dann hatte ich aber immer noch die falsche Startpage im IE, die konnte ich dann aber mit HijackThis fixen. Danke an euch alle!!!