Schwierigkeiten mit Spybot

von **svister** am 08.09.2006, 10:56

Hi,
ich habe auf meinem Rechner Spybot SD installiert und der gibt mir zur Zeit ständig kritische Meldungen zu Veränderungen der Registry.. Ich habe mal das Log kopiert:
07.09.2006 00:29:52 Verweigert value "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" (new data: "") hinzugefügt in User-specific browser toolbar!
07.09.2006 00:29:59 Verweigert value "ITBarLayout" (new data: "") hinzugefügt in User-specific browser toolbar!
07.09.2006 10:39:43 Verweigert value "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" (new data: "") hinzugefügt in User-specific browser toolbar!
07.09.2006 10:39:50 Verweigert value "ITBarLayout" (new data: "") hinzugefügt in User-specific browser toolbar!
08.09.2006 00:21:43 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:21:46 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:21:54 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:22:25 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:22:31 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:22:41 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:22:43 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:22:57 Verweigert value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") gelöscht in Global browser toolbar!
08.09.2006 00:30:11 Verweigert value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") geändert in System Startup user entry!
08.09.2006 00:30:24 Verweigert value "Local Page" (new data: "C:\WINDOWS\system32\blank.htm") geändert in Browser page!
08.09.2006 00:30:47 Verweigert value "BootExecute" (new data: "") gelöscht in Session manager!
08.09.2006 00:35:03 Verweigert value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") geändert in System Startup user entry!
08.09.2006 00:42:25 Verweigert value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") geändert in System Startup user entry!
08.09.2006 00:51:21 Verweigert value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") geändert in System Startup user entry!
08.09.2006 00:59:24 Verweigert value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") geändert in System Startup user entry!
08.09.2006 10:02:15 Verweigert value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") geändert in System Startup user entry!
08.09.2006 10:42:12 Verweigert value "wextract_cleanup0" (new data: "rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\IXP000.TMP\"") hinzugefügt in System Startup global entry!
08.09.2006 10:42:22 Verweigert value "MPlayer2_FixUp" (new data: "C:\WINDOWS\inf\unregmp2.exe /Fixups") hinzugefügt in System Startup user entry!
08.09.2006 10:42:22 Verweigert value "WMC_RebootCheck" (new data: "C:\WINDOWS\inf\unregmp2.exe /FixUps") hinzugefügt in System Startup global entry!
08.09.2006 10:49:43 Verweigert value "WMC_RebootCheck" (new data: "") gelöscht in System Startup global entry!
Muss ich mir darüber Sorgen machen?
Viele Grüße, Sven

von **gipsy111** am 08.09.2006, 12:48

Hijackthis

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

von **svister** am 08.09.2006, 16:20

Hi,
hier ist das Log. Es gibt zusätzlich auch das Problem, das bei jedem Neustart XP so tut als wäre eine neue Hardware installiert für die es um Erlaubnis bittet Treiber zu suchen...
Logfile of HijackThis v1.99.1
Scan saved at 16:18:28, on 08.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\BlazeVideo\BlazeDTV2.0\MediaDetector.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programme\BlazeVideo\BlazeDTV2.0\MediaDetector.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 0453276531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0453262718
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Gruss, Sven

von **gipsy111** am 08.09.2006, 16:32

Mache bitte einen PandaOnlineScan und poste den Report (nach dem Scan --> see report --> save report)
http://virus-protect.org/onlinescan.html

von **svister** am 09.09.2006, 11:28

Hi,
hier ist das Ergebnis:
Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.atwola.com/]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.zedo.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.2o7.net/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.ad.yieldmanager.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.com.com/]
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
Spyware:Cookie/Cgi-bin Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@cgi-bin[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsofteup.112.2o7[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsoftwga.112.2o7[1].txt

Grüße, Sven

von **gipsy111** am 09.09.2006, 11:52

Scanne mit Counterspy, stelle nach dem Scan alles auf Remove und poste den Report --> deinstalliere es wieder!
http://virus-protect.org/counterspy.html
________________________________________________________

danach müsste alles wieder ok sein! :wink:

von **svister** am 09.09.2006, 12:29

Leider konnte ich das Prog nicht installieren. Die Fehlermeldung: Der Zugriff auf Windows Script Host wurde deaktiviert... wurde ausgegeben & die Installation danach abgebrochen.
Was ist das??

von **gipsy111** am 09.09.2006, 12:52

Start --> Ausführen --> regedit --> suche den Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert.

von **svister** am 09.09.2006, 15:42

Hi,
habe alles so gemacht, hat leider nix genutzt: der Scanner hat 2 Probleme gefunden und entfernt, ich habe dann einen Neustart gemacht, das anfangs geschilderte Problem war immer nich da. Der Assistent für das Suchen neuer Hardware öffnet sich ungefragt und Spybot meldet: System Startup Global Entry Wert gelöscht, WMC Reboot Check etc: 09.09.2006 14:33:23 Verweigert value "WMC_RebootCheck" (new data: "") gelöscht in System Startup global entry!
Ich habe dann den von dir empfohlenen Onlinescan wiederholt mit folgendem Ergebnis (neues Log):
Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.atwola.com/]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.zedo.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.2o7.net/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.ad.yieldmanager.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.com.com/]
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6p3ad1me.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsofteup.112.2o7[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsoftwga.112.2o7[1].txt

Was nun?
Liebe Grüße & Danke für die Mühe!

von **svister** am 11.09.2006, 15:52

Keine Idee mehr, wie dem beizukommen wäre?

von **svister** am 12.09.2006, 16:35

Naja da ja keinem mehr etwas dazu einfällt, schreibe ich mal über meine weiteren Bemühungen. Ich habe die infizierten Cookies mit der Hand aus dem entsprechenden Verzeichnis des Mozilla Browsers gelöscht, danach war der Panda Online Scan auch erstmal clean. Allerdings war das oben beschriebene Problem nicht behoben. Heute habe ich nochmal mit Adaware gescannt und der hat 6 kritische Registry Einträge (Trojaner Downloader) gefunden und dann beseitigt. Zumindest war der nächste Scan wieder sauber. Das beschriebene Problem ist aber immer noch da.
Vielleicht hat ja noch jemand eine Idee...

Schwierigkeiten mit Spybot

Schwierigkeiten mit Spybot

Ähnliche Themen

Wer ist online?