Spybot findet ständig neue Probleme

[NoNameNeeded]

Ich weiß zwar daß das ja der Sinn der Sache ist, aber irgendwie isses doch seltsam daß der täglich mind. 3 Probleme findet, soweit ich mich erinnere sind es irgendwie auch immer wieder dieselben.
Dieses Alexa Problem kommt immer wieder, desweiteren auch "Double Click" und "Media Plex".

Ich kann diese Probleme auch beheben und wenn ich gleich anschließend noch mal neu scanne gibt es (vorübergehend) auch keine Probleme mehr.

Aber wie gesagt, wenn ich dann am nächsten Tag wieder einen Scan durchführe kann ich mir sicher sein daß da wieder einige Probleme da sind.

Ist es nicht irgendwie Sinn der Sache daß Spybot verhindert daß diese Probleme auftauchen, oder dient das wirklich nur zur Bereinigung?

Da so oft Hijack Logs gepostet werden, mach ich das auch mal, aber ich glaube da gibt's eigentlich nix zu beanstanden:


Logfile of HijackThis v1.99.1
Scan saved at 16:49:45, on 23.03.06
Platform: Windows 95 C (Win9x 4.00.1111)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
D:\WINDOWS\SYSTEM\KERNEL32.DLL
D:\WINDOWS\SYSTEM\MSGSRV32.EXE
D:\WINDOWS\SYSTEM\MPREXE.EXE
D:\WINDOWS\SYSTEM\mmtask.tsk
D:\WINDOWS\EXPLORER.EXE
D:\WINDOWS\SYSTEM\SYSTRAY.EXE
D:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
D:\PROGRAMME\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE
D:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMME\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE
D:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\WINDOWS\SYSTEM\PSTORES.EXE
E:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
D:\WINDOWS\SYSTEM\SPOOL32.EXE
D:\PROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = home.microsoft.com/intl/de/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [POINTER] D:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O12 - Plugin for .pdf: D:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O13 - WWW. Prefix: http://

 

[piti22]

Das ist doch nicht das komplette Logfile ?

gruss piti22

 

[spybotsandra]

Hallo,

Doubleclick (und andere wie Advertising.com, Avenue A, Inc, Fastclick, Hitbox etc.) sind sogenannte Tracking Cookies. Es ist schon fast normal für bekannte Webseiten solche Tracking Cookies zu benutzen. Sie werden dazu genutzt, die Gewohnheiten und die besuchten Internetseiten des Users beim Surfen zu dokumentieren. Sie können den BrowserHelper in Spybot - Search & Destroy benutzen, um sich vor solchen Seiten zu schützen. Um dieses Tool zu aktivieren, öffnen Sie Spybot-S&D und gehen Sie auf die "Immunisieren" Seite. Hier können Sie die Checkbox vor dem BrowserHelper aktivieren, ein Drop Down Menü gibt Ihnen eine Auswahl, wie die Blockierungen angezeigt werden sollen. Am besten ist es, die Einstellungen im Drop Down Menu auf "Alle Downloads still blockieren" zu ändern. Das verantwortliche Werkzeug wird nun weiterhin im Hintergrund laufen und still blockieren.

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[NoNameNeeded]

Das Häkchen ist dort gesetzt und es ist auch auf "Alle Seiten still blockieren" eingestellt.
Aber ist es dafür nicht nötig daß S&D ständig läuft also bspw. gleich beim Windows Start automatisch geladen wird?

Außerdem habe ich auch noch immer ein Problem mit der Immunisierung; die Immunisierung klappt zwar, aber wenn ich dann wieder auf überprüfen gehe (so wie das auch beim Programmstart der Fall ist) ist nur der Großteil immunisiert, aber zusätzlich ca. 140 Immunisierungen möglich.

P.S. Außerdem habe ich gerade festgestellt daß die Updatefunktion bei mir nicht richtig funktioniert. Es wird zwar kein Fehler angezeigt, allerdings steht immer "keine neuen Updates gefunden", obwohl bspw. die Detection Rules erst vor wenigen Tagen upgedated wurden (manuelles Update hat geklappt).

 

[spybotsandra]

Hallo,

1. Das ist nicht nötig. Die Immunisierung funktioniert auch, wenn Spybot nicht geöffnet ist.

2. Dies ist ein kleiner Fehler in der Version 1.4. Die Software versucht, andere Accounts zu immunisieren.
Vermutlich haben Sie nicht die Rechte, alles zu immunisieren, weil Sie Spybot-S&D als normaler User benutzen und nicht als Admin.
Als Übergangslösung können Sie erst einmal die Immunisierung über die entsprechende Schaltfläche in der Menüleiste "Rückgängig" machen.
Nun sind die bösen Produkte erlaubt. Als nächstes "Immunisieren" Sie erneut. Damit ist das Problem kurzfristig gelöst.
Wir haben diesen Fehler schon erkannt. Er wird mit der nächsten Version behoben sein.
Wir hoffen, dass diese bald erhältlich sein wird.

Weitere Informationen können Sie auch unserem englischsprachigen Forum entnehmen:
http://forums.spybot.info/showthread.php?t=78

3. Das passiert ab und zu. Vor allen Dingen, wenn Sie die Version 1.3 benutzen.

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[NoNameNeeded]

2. Dies ist ein kleiner Fehler in der Version 1.4.

Komisch, denn ich verwende ja 1.3

Vermutlich haben Sie nicht die Rechte, alles zu immunisieren, weil Sie Spybot-S&D als normaler User benutzen und nicht als Admin.

Gibt's denn in Win95 überhaupt eingeschränkte Benutzerkonten?
Ich bin jedenfalls der einzige Benutzer und auch derjenige der das installiert hat.

 

[spybotsandra]

Hallo,

Sorry - diesen Fehler gibt es wohl auch in der Version 1.3.

Versuchen Sie bitte die Übergangslösung. Zuerst machen Sie die Immunisierung "Rückgängig" über die entsprechende Schaltfläche in der Menüleiste.
Nun sind die bösen Produkte erlaubt. Als nächstes "Immunisieren" Sie erneut. Damit ist das Problem kurzfristig gelöst.

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[Erdem]

Hallo,
ich habe folgendes Problem bekommen. Ich denke, dass ich mir auch etwas eingefangen habe. Wenn ich den Internet Explorer starte, dann geht er sofort zur der Seite :http://www.bestsecurityguide.com/ ohne, dass ich das möchte.
Ich kann auch nicht mehr meine Startseite ändern.
Das steht in der Seite drin:

Attention! Your system is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folders on your PC:
- \WINDOWS\System32
- \Program Files\Internet Explorer
- \My Documents
- Drive C:\ files
Click here to download official anti-spyware software


Your private info is collected by W32.Sinnaka.A@mm


wenn ich HiJack ausführe steht folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:10, on 04.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\remotewatch\remotewatch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\FAM~1.OEZ\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp9199.tmp
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: remotewatch.lnk = C:\Programme\remotewatch\remotewatch.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126908950416
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FDCDD-C84C-4284-BA8D-31B6CF18C295}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

Kann mir jemand weiterhelfen
Gruss
Erdem

 

[NoNameNeeded]

Ich kann dir zwar nicht helfen aber ich denke mit diesem Problem solltest du einen neuen Thread öffnen, damit den auch alle sehen.

 

[spybotsandra]

Hallo,

Sie sind infiziert mit SpywareQuake.
Wir werden diese neue Bedrohung in unseren Updates am Freitag haben (07.04.2006).

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[spybotsandra]

Hallo,

Ich habe noch ein BHO in Ihrem Log gefunden.
{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}
Dies ist ein Zlob-FX Trojaner - eine SpyAxe/SpywareStrike/SpyFalcon Malware Komponente.

Bitte löschen Sie folgenden BHO:
{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}
Öffnen Sie Spybot, gehen Sie zu 'Werkzeuge' ->'BHO's'.
Markieren Sie dort den Eintrag und löschen ihn.

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[Erdem]

Hallo Spybotsandra,
ich danke Dir. Ich hoffe, falls ich Probleme haben sollte, mich an Euch wenden kann.
Gruss
Erdem

 

[spybotsandra]

Hallo,

Jederzeit gerne.

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[Erdem]

Hi Sandra,

ich habe es gelöscht. Ich denke, das Problem ist weg.:bigthumb: Zumindest kann ich wieder eine Startseite definieren. Vorher ging das nicht. Als Startseite im Internet-Explorer bei Optionen, stand immer "About: Blanc". Das war einfach nicht wegzukriegen. Aber es scheint jetzt zu tun. Ich werde trotzdem am Freitag updaten, mal sehen, was passiert.

Gruss und Danke
Erdem

 

[volker]

Trotz downloads der Spybotversion von gestern Infektion mit SpywareQuake

Hallo,

Sie sind infiziert mit SpywareQuake.
Wir werden diese neue Bedrohung in unseren Updates am Freitag haben (07.04.2006).

Mit freundlichen Grüssen
Sandra
Team Spybot

:scratch:

Hallo Sandra,

ich habe gestern den Spybot installiert - dennoch besteht das beschriebene Problem mit der Startpage beim IE nach wie vor. Ist der Spybot nicht upgedated worden?!

Merci und Gruss,

Volker

 

[raman]

Du hast mehrere Moeglichkeiten. Falls Spybot nichts findet kannst du ueber erweiterten Modus/einstellungen/einstellungen/webaktualisierung einen Haken bei "Verfuegbare Betaversionen" setzen, dann nach updates suchen und aller herunterladen.Pruefe danach den Rechner erneut und poste dann den Spybotreport, wenn es was findet(noch nicht reinigen lassen!). Falls das auch nichts hilft, poste ein Hijackthis log http://www.cidres-security.de/hijackthis.html und beschreibe, welche Probleme du noch hast.

 

[Erdem]

Hallo,
ich habe folegendes Problem, so etwas ähnliches hatte ich schon mal, und Spybotsandra konnte mir damals helfen .
Also ich kann meine Startseite im Internetexplorer leider nicht mehr ändern. Sie ist deaktiviert.

Wenn ich nun wie damals "HiJackThis" ausführe, steht folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 20:00:23, on 28.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\remotewatch\remotewatch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\devldr32.exe
C:\DOKUME~1\FAM~1.OEZ\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://radyo.mircturkey.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://radyo.mircturkey.com
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: remotewatch.lnk = C:\Programme\remotewatch\remotewatch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126908950416
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03FCBEB7-7A9E-4646-89ED-DEA0ECAC9D41}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FDCDD-C84C-4284-BA8D-31B6CF18C295}: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BE4D484-7527-4282-A8D5-73EEDC9CAEA6}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{03FCBEB7-7A9E-4646-89ED-DEA0ECAC9D41}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe


In dem Fenster HiJackThis-v1.99.1 kann man ja verschiedenes auswählen. Was könnte ich wie löschen? Wer kann mir helfen?

Ich danke im voraus.

Gruss
Erdem

 

[spybotsandra]

Hallo,

Sie sollten folgendes mit Hijackthis fixen:

Running processes:
C:\Programme\remotewatch\remotewatch.exe

O4 - HKLM\..\Run: [SpywareQuake] C:\Programme\SpywareQuake\SpywareQuake.exe /h
O4 - Global Startup: remotewatch.lnk = C:\Programme\remotewatch\remotewatch.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{03FCBEB7-7A9E-4646-89ED-DEA0ECAC9D41}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FDCDD-C84C-4284-BA8D-31B6CF18C295}: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BE4D484-7527-4282-A8D5-73EEDC9CAEA6}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{03FCBEB7-7A9E-4646-89ED-DEA0ECAC9D41}: NameServer = 85.255.113.91,85.255.112.180
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.180

Mit freundlichen Grüssen
Sandra
Team Spybot

 

[Erdem]

Hallo Spybotsandra,

vielen Dank, es hat geklappt. Allerdings nur noch ein Problem. Ich kann immer noch nicht eine Startseite definieren. Der Befehl im Internet Explorer unter Extras => Internet Optionen => Allgemein => Startseite funktioniert nicht, weil diese "Grau" hinterlegt ist. Gibt es hier eine Möglichkeit das zu ändern?

Gruss
Erdem

 

[raman]

Da Sandra wohl schn in den verdienten Feierabend ist, antworte ich mal

Du musst noch diese beiden Eintraege "fixen"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

dann neu starten und bitte ein neues, aktuelles Hijackthis log posten.