Kämpfe seit Tagen ... hier mein LOG

Ruhrtommy · 11.10.2006, 12:05

Hallo,

zunächst möchte ich mich kurz vorstellen.
Mein Name ist Thomas und ich lese schon seit längerem desöfteren mit.
Nun habe ich mich angemeldet, weil ich seit Tagen auf meinem Rechner mit gar nicht so netten, kleinen Plagegeistern kämpfe. Laufend kamen rechts unten auf dem Bildschirm angebliche Windows Sicherheitswarnungen, die mir in englischer Sprache dazu rieten, Spyware zu kaufen. Das passende Fenster dazu ging im Internet Explorer regelmässig von alleine auf. Außerdem änderte sich von alleine mein Destop Bild. Es wurde blau und in der Mitte stand eine angebliche Sicherheitswarnung bezüglich Spyware, ect. Meine IP stand auch dabei. Ich habe mein System dann ziemlich durchkämmt und einige Plagegeister gefunden und versucht zu entfernen. Danach war mehrere Tage Ruhe. Gestern Abend habe ich dann weitere Dateien im "windows32" Ordner gelöscht, die als Plagegeister auf entsprechenden Seiten und Foren genannt werden. Die Datei users32.exe habe ich bereits vor mehreren Tagen entfernt und sie ist auch seitdem nicht mehr aufgetaucht. Gestern habe ich dann folgende Dateien entfernt: a.exe , bridge.dll , jao.dll , runsrv32.exe . tcpservice2.exe , wstart.dll
Wohl alles nicht so nette Zeitgenossen.
Heute morgen kamen nun wieder die Sprechblasen rechts unten und die Internetseite mit der "Softwareempfehlung" zum entfernen der Spyware ging wieder auf (aaarggh). Beim Blick in den "windows32" Ordner viel mir auf, das die Datei "a.exe" wieder da ist. Nach der Systemwiederherstellung auf den Zustand gestern Abend, ist die Datei wieder weg, wird aber mit Sicherheit wieder kommen. Ihr seht, ich habe schon einiges probiert, stehe aber langsam an dem Punkt, wo ich Expertenhilfe gebrauchen könnte.

Hier mein Logfile von heute:
Logfile of HijackThis v1.99.1
Scan saved at 12:34:07, on 11.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRAM FILES\HijackThis\HijackThis.exe
C:\PROGRAM FILES\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shortnews.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F3 - REG:win.ini: run=
O1 - Hosts: 17.250.248.77 idisk0.mac.com idisk1.mac.com idisk2.mac.com idisk3.mac.com idisk4.mac.com idisk5.mac.com idisk6.mac.com idisk7.mac.com idisk8.mac.com idisk9.mac.com idisk10.mac.com idisk11.mac.com idisk12.mac.com idisk13.mac.com idisk14.mac.com idisk15.mac.com idisk16.mac.com idisk17.mac.com idisk18.mac.com idisk19.mac.com idisk20.mac.com idisk21.mac.com idisk22.mac.com idisk23.mac.com idisk24.mac.com idisk25.mac.com
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\VIRUS-~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {B53455DB-5527-4041-AC41-F86E6947AA47} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E1689D9-C30C-4A4A-8FFA-352BB402E776}: NameServer = 192.168.2.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: MsMsgSrv - C:\WINDOWS\SYSTEM32\MsMsgSrv.DLL
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: Sophos Anti-Virus Update (SweepUpdate) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe

P.S.: Ich sehe im LOG gerade iPodService.exe. Ich habe keinen iPod, habe auch nie dieses Programm installiert! Ist vermutlich auch so´n Plagegeist ...
P.P.S.: Habe QuickTime auf meinem Rechner. Möglicherweise kommt daher die iPosService.exe

Kämpfe seit Tagen ... hier mein LOG

Log-Analyse und Auswertung: Kämpfe seit Tagen ... hier mein LOG

Kämpfe seit Tagen ... hier mein LOG

Ähnliche Themen: Kämpfe seit Tagen ... hier mein LOG