Spabot

S

Seppl

New member
Spabot wird gefunden von Spybot. Lässt sich aber nicht entfernen. Auch im abgesicherten Modus ist nach Probleme beheben das Problem wieder da!

Was kann ich tun um Spabot loszuwerden??
 
Ok, das will ich tun

1. Spybot Search & Destroy wird gestartet und updatet sich automatisch

2. Nach Problemen Suchen und diese beheben.

3. Problem gefunden: Spabot

Spabot: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\*modul*.exe


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-05-31 TeaTimer_original.exe (1.4.0.2)
2006-04-03 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-07-14 Includes\Cookies.sbi (*)
2006-07-14 Includes\Dialer.sbi (*)
2006-07-14 Includes\Hijackers.sbi (*)
2006-07-14 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-07-14 Includes\Malware.sbi (*)
2006-07-14 Includes\PUPS.sbi (*)
2006-07-14 Includes\Revision.sbi (*)
2006-07-14 Includes\Security.sbi (*)
2006-07-14 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-07-14 Includes\Trojans.sbi (*)

4. Problem beheben

5. Neustart (F8) abgesicherter Modus als Administrator

6. Spybot Search & Destroy starten

7. Problem suchen

8. Problem gefunden: Spabot

9. Problem beheben

10. Neustart

11. Spybot Search & Destroy starten

12. Problem suchen

13. Problem gefunden: Spabot


kann also Spabot nicht entfernen! Schade! Was kann ich noch tun???

Vielen Dank vorab.
 
Da iss'es

Logfile of HijackThis v1.99.1
Scan saved at 18:04:11, on 16.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\module\software\schutz\avg\avgamsvr.exe
C:\module\software\schutz\avg\avgupsvc.exe
C:\module\software\schutz\avg\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\module\software\system\mstdefrag\mstDfrgS.exe
C:\module\software\schutz\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\module\software\schutz\avg\avgcc.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\module\geraete\drucker\hppsc1315\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\module\software\schutz\Spybot - Search & Destroy\TeaTimer.exe
C:\module\geraete\acer\n30\WCESCOMM.EXE
C:\module\software\internet\DynDNS Updater\DynDNS.exe
C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqtra08.exe
C:\module\software\information\Rainlendar\Rainlendar.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\module\software\schutz\Spybot - Search & Destroy\SpybotSD.exe
C:\module\software\internet\firefox\firefox.exe
C:\DOKUME~1\Basti\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\module\software\internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\module\software\grafik\adobe acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\module\software\internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\module\software\schutz\avg\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [OutpostFeedBack] C:\module\software\schutz\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [HP Software Update] C:\module\geraete\drucker\hppsc1315\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] REM "C:\module\software\media\clonecd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] REM C:\module\software\schutz\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] REM C:\module\software\schutz\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\module\software\schutz\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\module\software\schutz\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Azureus] REM C:\module\software\internet\Azureus\Azureus.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\module\geraete\acer\n30\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ICQ] REM C:\module\software\internet\ICQLite\ICQLite.exe
O4 - HKCU\..\Run: [Skype] REM "C:\module\software\internet\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Bluetooth] REM C:\module\geraete\bluetooth\bluesolei\BlueSoleil.exe
O4 - HKCU\..\Run: [KeePass Password Safe] REM C:\module\software\schutz\KeePass Password Safe\KeePass.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\module\software\internet\DynDNS Updater\DynDNS.exe"
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\module\software\grafik\adobe acrobat\Reader\reader_sl.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\module\software\media\NaturallySpeaking\Program\natspeak.exe
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: HP Image Zone Schnellstart.lnk = C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqthb08.exe
O4 - Startup: Miranda IM.lnk = C:\module\software\internet\Miranda IM\miranda32.exe
O4 - Startup: Rainlendar.lnk = C:\module\software\information\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\module\software\grafik\adobe acrobat\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\module\software\internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\module\software\schutz\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\module\software\internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\module\software\internet\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144056878525
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144057381558
O20 - Winlogon Notify: winrpf32 - winrpf32.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgemc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mst Defrag Service (mstDfrgS) - mst software GmbH, Germany - C:\module\software\system\mstdefrag\mstDfrgS.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\module\software\schutz\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
 
Dieser Eintrag sorgt dafuer, das die Windowseigene Firewall diese Datei nicht blockiert. Du solltest ihn auch ueber Systemsteuerung/(Sicherheitscenter)/Windows-firewall/Ausnahmen finden koennen. Deaktiviere ihn bitte. Allerdings sollte der Eintrag keinen Einfluss auf deinen Rechner haben, da du Outpost als FIrewall nutzt.

Du musst diesen Eintrag (sicherheitshalber) unter dem Nutzer beheben, mit dem das Problem besteht.

Laut Hijackthis log hattest du eine Zlob/Smitfraud verseuchung. Daher sollte das Problem aber nicht stammen.

Zur Kontrolle kannst du Drweb Cureit im abgesicherten Modus deinen Rechner pruefen lassen: http://virus-protect.org/cureit.html
 
Seppl, koenntest du noch ein Datfindbat report posten: http://virus-protect.org/datfindbat.html

und fix, im abgesicherten Modus, folgende Eintraege(anhaken und fix checked druecken):

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
O20 - Winlogon Notify: winrpf32 - winrpf32.dll (file missing) (Schau, ob der Eintrag nach einem neustart immer noch auftaucht)
 
Bitte für normale User

Raman ich würde dir gerne helfen. Aber die system32 liste ist super lang, einfach posten sprengt glaube ich den rahmen.

Was meinst du mit?

und fix, im abgesicherten Modus, folgende Eintraege(anhaken und fix checked druecken):
besonders: (anhaken und fix checked druecken) ist für mich Normalo noch schwer. Ich helfe dir gern. Aber bitte 1mal für Idioten.


Dein Tip hat übrigens gewirkt. Also mit spypot im abgesicherten modus unter dem Verursacher-User geht es nicht. Aber einfach alle Einträge aus Ausnahmen löschen hat das Problem beseitigt. Dr Web hat übrigens einen Virus im Log-File von Spybot gefunden. Auf meinem Laptop war Spabot auch und auch wieder ein Virus im Log-File von Spybot. Ob Zufall oder nicht, weiß ich nicht, aber ich denke du willst es wohl wissen.
 
Du brauchst auch nicht alles von dem Datfindbat Report posten. Nur die Eintraege der letzten 3 Monate so ungefaehr.

Mit "Fixen" meine ich du sollst hijackthis starten "Do a system scan only" drueken und die Kaestchen vor den Eintraegen, die ich genannt habe anklicken(so das ein "Haken" entsteht) und dann den Button "Fix checked" druecken. Danach neu starten und euin neues Hijackthis log mit einem 3monatigem Datfind Report posten. Wenn du es nicht anders schaffst, Packe die von datfindbat erzeugten Dateien mit zip und haenge sie einfach unten bei Manage attachements an
 
raman said:
Du musst diesen Eintrag (sicherheitshalber) unter dem Nutzer beheben, mit dem das Problem besteht.
Click to expand...



@raman

kurze Zwischenfrage an einen interessierten User,

kann Spybot Search & Destroy 1.4 das Problem mit Adminrechten ausgeführt, in einem eingeschränketen Benutzerkonto nicht auch finden ?

Gruß Digit
 
Spabot: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\*modul*.exe
Click to expand...

ist übrigens als FP zu betrachten, sorry daß ich das erst jetzt mitteile.
Der FP wird mit dem nächsten Update behoben.

bei seppl
wird wohl die firewallausnahme für C:\module\software\internet\firefox\firefox.exe
oder ein anderes im ordner module fälschlicherweise erkannt

zu Digits Frage:
jein, mit Adminrechten hätte Spybot zwar die Berechtigung auch in den anderen Profilen zu schreiben, allerdings schaut Spybot aus verschiedenen Gründen nicht überall in anderen Benutzerkonten nach, bzw. die Erkennungsregeln sind nicht danach erstellt worden, weil dies unter Umständen zu Problemen führen kann.
 
Danke fuer die Info, Yodama. Aber ein gutes hat es dann doch, denn bei Seppl war und ist wohl noch was an Malware auf dem Rechner... ;)
 
so ich hoffe ich habe allses richtig gemacht

19.07.2006 18:10 13.002 wpa.dbl
09.06.2006 12:52 209.696 FNTCACHE.DAT
28.05.2006 14:10 45 desktop.ini
28.05.2006 13:59 2.182.656 KERNEL.TMP
27.05.2006 16:00 405.446 perfh009.dat
27.05.2006 16:00 63.996 perfc009.dat
27.05.2006 16:00 420.812 perfh007.dat
27.05.2006 16:00 77.084 perfc007.dat
27.05.2006 16:00 978.024 PerfStringBackup.INI
27.05.2006 16:00 6.163 mapisvc.inf
22.05.2006 13:02 6 tna44719A45.sys
22.05.2006 12:51 2 dssmi44719799.sys
04.05.2006 06:26 5.818.784 MRT.exe
16.04.2006 16:20 5 afcda_s.dll
16.04.2006 16:20 5 dafcd8_s.ocx
16.04.2006 08:51 0 lame_acm.xml
14.04.2006 12:09 7.006 jupdate-1.5.0_06-b05.log
14.04.2006 09:21 10.936 FFASTLOG.TXT
14.04.2006 08:50 34.113 Wnccdctl.dll
09.04.2006 07:27 45 initdebug.nfo
05.04.2006 12:03 121.080 MSForms.TWD
03.04.2006 19:19 16.832 amcompat.tlb
03.04.2006 19:19 23.392 nscompat.tlb
03.04.2006 18:11 69.632 system.mdw
03.04.2006 14:53 257 spupdwxp.log
03.04.2006 12:28 499.712 msvcp71.dll
03.04.2006 12:28 348.160 msvcr71.dll
03.04.2006 12:01 0 h323log.txt
03.04.2006 11:48 0 TFTP1372
03.04.2006 11:48 0 TFTP1136
03.04.2006 11:38 0 80710.exe
03.04.2006 11:36 0 TFTP3480
03.04.2006 11:20 25.065 wmpscheme.xml
03.04.2006 11:18 12.922 wpa.bak
03.04.2006 11:13 261 $winnt$.inf
03.04.2006 11:10 2.951 CONFIG.NT
03.04.2006 11:09 488 logonui.exe.manifest
03.04.2006 11:09 488 WindowsLogon.manifest
03.04.2006 11:08 749 sapi.cpl.manifest
03.04.2006 11:08 749 cdplayer.exe.manifest
03.04.2006 11:08 749 ncpa.cpl.manifest
03.04.2006 11:08 749 wuaucpl.cpl.manifest
03.04.2006 11:08 749 nwc.cpl.manifest
03.04.2006 11:07 21.740 emptyregdb.dat
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
 
...

Logfile of HijackThis v1.99.1
Scan saved at 18:44:32, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\module\software\schutz\avg\avgamsvr.exe
C:\module\software\schutz\avg\avgupsvc.exe
C:\module\software\schutz\avg\avgemc.exe
C:\module\software\system\mstdefrag\mstDfrgS.exe
C:\module\software\schutz\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\module\software\schutz\avg\avgcc.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\module\geraete\drucker\hppsc1315\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\module\software\schutz\Spybot - Search & Destroy\TeaTimer.exe
C:\module\geraete\acer\n30\WCESCOMM.EXE
C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqtra08.exe
C:\module\software\information\Rainlendar\Rainlendar.exe
C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\module\software\internet\firefox\firefox.exe
C:\DOKUME~1\Basti\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\module\software\internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\module\software\grafik\adobe acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\module\software\internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\module\software\schutz\avg\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [OutpostFeedBack] C:\module\software\schutz\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [HP Software Update] C:\module\geraete\drucker\hppsc1315\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\module\software\schutz\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\module\software\schutz\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\module\geraete\acer\n30\WCESCOMM.EXE"
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: HP Image Zone Schnellstart.lnk = C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqthb08.exe
O4 - Startup: Rainlendar.lnk = C:\module\software\information\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\module\software\internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\module\software\schutz\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\module\software\internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\module\software\internet\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144056878525
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144057381558
O20 - Winlogon Notify: winrpf32 - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgemc.exe
O23 - Service: mst Defrag Service (mstDfrgS) - mst software GmbH, Germany - C:\module\software\system\mstdefrag\mstDfrgS.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\module\software\schutz\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 
Erscheinen diese Eintraege nach dem "fixen" immer wieder neu?
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
O20 - Winlogon Notify: winrpf32 - C:\WINDOWS\

Wichtig in deinem Fall ist, das du das im abgesicherten Modus machst.

Mache bitte im abgesicherten Modus einen Kontrollscan mit Drweb Cureit: http://virus-protect.org/cureit.html
 
jetzt sind sie weg

Logfile of HijackThis v1.99.1
Scan saved at 19:19:02, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\module\software\schutz\avg\avgamsvr.exe
C:\module\software\schutz\avg\avgupsvc.exe
C:\module\software\schutz\avg\avgemc.exe
C:\module\software\system\mstdefrag\mstDfrgS.exe
C:\module\software\schutz\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\module\software\schutz\avg\avgcc.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\module\geraete\drucker\hppsc1315\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\module\software\schutz\Spybot - Search & Destroy\TeaTimer.exe
C:\module\geraete\acer\n30\WCESCOMM.EXE
C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqtra08.exe
C:\module\software\information\Rainlendar\Rainlendar.exe
C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqgalry.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Basti\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\module\software\internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\module\software\grafik\adobe acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\module\software\internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\module\software\schutz\avg\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [OutpostFeedBack] C:\module\software\schutz\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [HP Software Update] C:\module\geraete\drucker\hppsc1315\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\module\software\schutz\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\module\software\schutz\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\module\geraete\acer\n30\WCESCOMM.EXE"
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqtra08.exe
O4 - Startup: HP Image Zone Schnellstart.lnk = C:\module\geraete\drucker\hppsc1315\Digital Imaging\bin\hpqthb08.exe
O4 - Startup: Rainlendar.lnk = C:\module\software\information\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\module\software\internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\module\geraete\acer\n30\INetRepl.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\module\software\schutz\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\module\software\internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\module\software\internet\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144056878525
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144057381558
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\module\software\schutz\avg\avgemc.exe
O23 - Service: mst Defrag Service (mstDfrgS) - mst software GmbH, Germany - C:\module\software\system\mstdefrag\mstDfrgS.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\module\software\schutz\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 
test erfolgt später

da dr web sehr lange braucht werde ich das auf die späteren abendstunden verschieben!
 
You must log in or register to reply here.
Back
Top