PDA

View Full Version : spybot scan stops at number 43361 and 1000 other things



BennyHill
2008-06-21, 17:43
Hi, I'm German, so please don't beat me for my English.
I'm working on my fathers PC, and I try desperatly not to beat it with the keyboard... :flame::trample: it's so lame.

It is an XP Prof SP2 Athlon 64 3000+ and usually it's nice and fast.
Software: Antivir, Zonealarm, Spybot, and now because of the problem with spybot, adaware 7.10
New: Firefox 3 because the, hold on tight, IE 6 with zero Securityupdates :buried:

vsmon.exe seems to use up to 99% of the CPU capacity now. I reinstalled ZA, which didn't change anything.

I did scan with Antivir and guess what,
this PC is full of crap!

Antivir found this

G:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\BIT3524.tmp
[0] Archivtyp: ZIP
--> install-privacy-danger.bat
Enthält Erkennungsmuster des Batch-Virus BAT/Fake.Privdanger

G:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\BIT35C7.tmp
[0] Archivtyp: ZIP
--> install-privacy-danger.bat
Enthält Erkennungsmuster des Batch-Virus BAT/Fake.Privdanger

G:\Dokumente und Einstellungen\Bogumila\Lokale Einstellungen\Temp\desktop_background.zip
[0] Archivtyp: ZIP
--> install-privacy-danger.bat
Enthält Erkennungsmuster des Batch-Virus BAT/Fake.Privdanger

G:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\BIT1.tmp
[0] Archivtyp: ZIP
--> install-privacy-danger.bat
Enthält Erkennungsmuster des Batch-Virus BAT/Fake.Privdanger

G:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\desktop_background.zip
[0] Archivtyp: ZIP
--> install-privacy-danger.bat
Enthält Erkennungsmuster des Batch-Virus BAT/Fake.Privdanger

The problem with Spybot:
First Spybot scans like usual, up to number 43361: clickspring.outerinfo
No message, not hanging completely, it just doesn't go on from there.

Several tryouts, also in safemode, ended at that number.
Reinstallation didn't help.

Adaware found 658 infections (bho, Win32.Trojandownloader.Zlob, something called VirusHeat and lots of tracking cookies)

In Control Panel -> Software I found two entries called "Secure Browsing" and "Internet Service". I tried to deinstall them and they gave me the following message:
"You should reboot your computer prior to uninstalling this software. Reboot now?"
I did. Both are still there.

Last but not least, that IE window for system-defender.com comes along now and then.

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:13:34, on 21.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\WINDOWS\system32\PnkBstrB.exe
G:\WINDOWS\System32\PAStiSvc.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\taskswitch.exe
G:\Programme\Java\jre1.6.0_02\bin\jusched.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
D:\Adobe\Reader 8.0\Reader\AcroRd32.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
G:\Programme\Lavasoft\Ad-Aware\aawservice.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: BDEX System - {C4248759-304D-477D-A1B3-F706CF99756D} - G:\WINDOWS\domnftwlvq.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - G:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: 443059 helper - {C6D09EC9-DDB2-4EC4-9D6F-B680A7A849CF} - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - G:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [CoolSwitch] G:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Device Detector 2.lnk = G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.getietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.getietool.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1468900A-BBA9-42EA-B4E9-779C4D5B379C} - G:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1468900A-BBA9-42EA-B4E9-779C4D5B379C} - G:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://82.146.224.245:85/activex/AxisCamControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: alxvdvm - {D1655A32-E35E-4152-B493-1592FD0844C1} - G:\WINDOWS\alxvdvm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - G:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - G:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - G:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: STI Simulator - Unknown owner - G:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - G:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Privacy Protection - file:///G:\WINDOWS\privacy_danger\index.htm

--
End of file - 6824 bytes

I did let it fix the entries for http://internetsearchservice.com
and www.getietool.com (http://www.getietool.com)

I don't know if all those infections did interact.

Anyway, spybot still has that problem.

Perhaps one of you can help me to fix this and tell me why Spybot doesn't work as properly as it used to do.

spybotsandra
2008-06-23, 12:35
Hallo,

Wir haben hier auch ein deutsches Unterforum. :)

Diese Einträge sollten Sie auch noch fixen mit Hijackthis:
O2 - BHO: BDEX System - {C4248759-304D-477D-A1B3-F706CF99756D} - G:\WINDOWS\domnftwlvq.dll
O2 - BHO: 443059 helper - {C6D09EC9-DDB2-4EC4-9D6F-B680A7A849CF} - (no file)
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.getietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.getietool.com/redirect.php (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1468900A-BBA9-42EA-B4E9-779C4D5B379C} - G:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1468900A-BBA9-42EA-B4E9-779C4D5B379C} - G:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O21 - SSODL: alxvdvm - {D1655A32-E35E-4152-B493-1592FD0844C1} - G:\WINDOWS\alxvdvm.dll

Anschliessend löschen Sie bitte Ihre temporären Dateien:

1. Schließen Sie alle geöffneten Programme.
2. Klicken Sie nacheinander auf *Start*, *Programme*, *Zubehör*,
*Systemprogramme* und *Datenträgerbereinigung*
3. Wählen Sie den Namen eines Laufwerks aus der Drop-Down-Liste aus,
wenn Sie dazu aufgefordert werden. (Laufwerk *C:\*)
4. Markieren Sie die Dateitypen, die gelöscht werden sollen. Beim
Löschen von temporären Dateien, Internet-Dateien und Dateien aus
dem Papierkorb gehen Sie kein Risiko ein.
5. Wählen Sie *OK*, um mit der Bereinigung zu beginnen. Klicken Sie
auf *Ja*, um die Handlung zu bestätigen, wenn Sie dazu
aufgefordert werden.

Mit freundlichen Grüßen
Sandra
Team Spybot