HJT Logfile zur Überprüfung
 

Hallo zusammen,

ein Bekannter von mir hat sich auf seinem PC anscheinend eine Menge Spyware eingefangen. Ich habe schon einiges weg bekommen aber eben nicht alles :( Das größte Problem ist das die Spyware die Installation von Spybot nicht akzeptiert, d.h. wenn ich Spybot installieren will macht die Spyware automatisch die Installation wieder zu. Ich kann auch nicht auf die Spybot Internetseite surfen, wenn ich dort drauf gehen will macht er auch automatisch den Browser zu.

Die Spyware macht beim surfen öfter Werbefenster auf. Ich hoffe es kann mir jemand helfen das ganze "Zeugs" zu entfernen. Eine Neuinstalltion kommt leider nicht in Frage, da es ein Geschäftscomputer handelt und die Installation nicht mehr durchgeführt werden kann.


Logfile of HijackThis v1.99.1
Scan saved at 19:37:03, on 31.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\NT\nrcs.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\lsass.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\OfficeScan NT\tmlisten.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\OfficeScan NT\ofcdog.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\wkssvr.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\GEMEIN~1\fifz\fifzm.exe
C:\PROGRA~1\GEMEIN~1\fifz\fifza.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Dokumente und Einstellungen\XYYYYYYY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.domain.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,wkssvr.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft (R) Windows Vista/NT Runtime Compatibility Service] C:\WINNT\NT\nrcs.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [fifz] C:\PROGRA~1\GEMEIN~1\fifz\fifzm.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://admail1.fujisawa-deutschland.de/iNotes.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61B4EAFD-EEE0-49F0-A513-E6D9CBBF80EC}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCFA9F1-CB1B-40A6-BDCD-F1DCEED5B47C}: NameServer = 217.237.151.115 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{61B4EAFD-EEE0-49F0-A513-E6D9CBBF80EC}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{61B4EAFD-EEE0-49F0-A513-E6D9CBBF80EC}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\i8420ihoe84c0.dll
O23 - Service: Compaq Local Alerter (CPQALERT) - Hewlett-Packard Company - C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Hewlett-Packard Company - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINNT\NT\nrcs.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINNT\lsass.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

Servus, shaggy!

Hier sitzt der hier - ein sog. Backdoortrojaner.
Außerdem hast Du noch den an Board.
Da kann und will ich Dir nur noch diesen Rat geben - folge Cidres Anleitung genau. Alles andere ist sinnfreie Bastelei!

lg, stupormundi

Hi stupormundi,

danke für deine Antwort. Nur leider ist eine Neuinstalltion (wie ich oben schon geschrieben habe) leider nicht möglich da es sich um einen Geschäftscomputer handelt und mir die einzelnen Programme zur Installation nicht zur Verfügung stehen. Gibt es wirklich keine Möglichkeit diese Schädlinge runter zu bekommen?

Viele Grüße
Shaggy

Dieses Forum richtet sich an Privatanwender; für gewerblich genutzte Rechner bitte professionelle Hilfe in Anspruch nehmen!

Gruß :daumenhoc
Yopie

Hm!
Da kann ich Yopie nur vollinhaltlich anschließen (das mit dem Geschäftscomputer habe ich überlesen)!

alles Gute, stupormundi

btw: für einen Geschäftscomputer schön versifft ...!

Na toll vielen Dank dafür :mad:

Den richtigen Tip für Privatanwender hast du bekommen. Wenn du glaubst, dass sei bei eurem Rechner aus betrieblichen Gründen nicht anzuwenden, dann kann nur ein Profi weiterhelfen. Logisch, oder?

Gruß :daumenhoc
Yopie

Es soll auch Privatanwender geben die Ihren Rechner nicht einfach so neu aufsetzen können, aber egal muss ich mich halt anderweitig umschauen...

In welchem Fall soll das bei einem Privatanwender so sein?

Gruß :daumenhoc
Yopie

Indem er sich damit nicht auskennt. Außerdem wird der PC zu 95 % eh privat genutzt.

Was glaubst du wohl, warum es eine ausführliche Anleitung mit Screenshotguide gibt? :confused:

Dann solltest du zu 95% auf jeden Fall neu aufsetzen. :balla:

Gruß :daumenhoc
Yopie

Einmal will ich mich hier noch einmischen!
Das ist genau der Modellfall, bei dem - neben anderen wesentlichen Gründen - das neue Installieren und Konfigurieren nach einer umfangreichen Anleitung (eben Cidres) einen weit größeren Nutzen (Lern- bzw. Ahaeffekt) bringt und viel einfacher ist, als irgend welche Bastelanleitung ("Lass mal remover xy laufen", fixe dies, editiere in der Registry, et altera blabla) ohne Verständniszusammenhang an Hand einer von Dritten gestellten Ferndiagnose abzuarbeiten.

lg, stupormundi

[Edit]Servus, Yopie[/Edit]

Kommt ist egal :snyper: