Spyware weg - comp lahmt trotzdem noch

dead_cherry · 01.12.2007, 12:59

Hay

Ich habe letztens den Computer meines Vaters versucht von Spyware Viren etc. zu befreien. Man konnte nicht einmal mehr ein Fenster öffnen, ohne dass sofort ein pop-up kam. Aber der Rechner ist trotzdem noch fast genauso lahm wie vorher und es taucht immer wieder eine iexplore.exe auf egal wie oft man sie löscht.
Habe schon ne ganze Weile das Forum durchsucht und die automatischen updates beendet und alles, was beschrieben wurde, woran es liegen kann, nachgeschaut.

Hilfe O_O

Ich kann mit dem Hijack nichts anfangen ... weis irgendwer was sein könnte???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:47, on 01.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Sun\AppServer\lib\appservService.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPRV10.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\KillBox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ndaeziuxicm.us/aatCDMLAj2GfwPzbG7mLvGX7Bwnpx41aN9RKNh4oD9TGtntnSrISpvPB1qE8zRzo.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {904290F7-273E-40AC-A99F-4A11EBE8B4F4} - C:\DOKUME~1\Besitzer\ANWEND~1\INFOAX~1\Anti Okay.exe (file missing)
O2 - BHO: (no name) - {CB816551-BAE0-44F4-FFA6-51F72F3D2C38} - C:\DOKUME~1\Besitzer\ANWEND~1\INFOAX~1\Anti Okay.exe (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [chicsetupcoolcast] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\for bash chic setup\linkmath.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] "C:\Programme\Logitech\Video\ISStart.exe"
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [supportonlinebowsdale] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hold ante support online\bits settings.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Programme\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Music Manager) - http://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{312F9C43-EF39-48C2-A5F7-4BAB8AAE96C1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{312F9C43-EF39-48C2-A5F7-4BAB8AAE96C1}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SunJavaSystemAppserver9PE (AppServer9PE) - Unknown owner - C:\Sun\AppServer\lib\appservService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6891 bytes

nochdigger · 01.12.2007, 14:41

Hallo

Zitat:

Ich kann mit dem Hijack nichts anfangen ... weis irgendwer was sein könnte???

Jupp, sieht sehr nach Swizzor aus und Adware "Save".

Mach bitte zuerts alle versteckten Dateien und Ordner sichtbar.
Dann versuche über Start -> Einstellungen -> Systemsteuerung -> Software alle dir unbekannte Software (dabei sollte auch Save/WhenU o.ä. sein) zu deinstallieren.
Anschließend folge dieser Anleitung zum Swizzor entfernen.
Relevante Einträge für dich sind :

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ndaeziuxicm.us/aatCDMLAj2GfwPzbG7mLvGX7Bwnpx41aN9RKNh4oD9TGtntnSr ISpvPB1qE8zRzo.htm
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {904290F7-273E-40AC-A99F-4A11EBE8B4F4} - C:\DOKUME~1\Besitzer\ANWEND~1\INFOAX~1\Anti Okay.exe (file missing)
O2 - BHO: (no name) - {CB816551-BAE0-44F4-FFA6-51F72F3D2C38} - C:\DOKUME~1\Besitzer\ANWEND~1\INFOAX~1\Anti Okay.exe (file missing)
O4 - HKLM\..\Run: [chicsetupcoolcast] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\for bash chic setup\linkmath.exe"
O4 - HKLM\..\Run: [supportonlinebowsdale] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hold ante support online\bits settings.exe"

Erstelle bitte nach der Bereinigung ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe

MFG

Spyware weg - comp lahmt trotzdem noch

Log-Analyse und Auswertung: Spyware weg - comp lahmt trotzdem noch

Spyware weg - comp lahmt trotzdem noch

Spyware weg - comp lahmt trotzdem noch

Ähnliche Themen: Spyware weg - comp lahmt trotzdem noch