Spybot - S&D startet nicht mehr

C

Comebackkid

New member
moin

wie der Titel schon vermuten lässt, hat Spybot mal ohne Probleme funktioniert und das für einen sehr langen Zeitraum.

Was ich bisher gemacht habe:
Ich habe Spybot komplett neuinstalliert, habe vorher die letzten übergebliebenen Ordner gelöscht und die Regestrierungsdateien entfernt. Egal wie oft ich dazwischen rebootet habe, es ist immer das Gleiche. Ich installiere Spybot ohne Probleme, kann es updaten, aber nicht starten. Spybot trägt sich normal als Prozess im Task Manager ein, aber erscheint visuell nicht. Es kommt kein Fenster, kein Sound, nichts was irgendwie auf eine Art Existenz schließen lässt.

Ich benutze Windows XP und installiere die Version 1.62 von Spybot. Was kann ich oder sollte ich jetzt tun?
 
Die alternativen Dateien haben zwar in so fern Effekt gezeigt, dass sie z.B. in der Taskleiste auftauchen, aber das Starten von Spybot funktioniert nach wie vor nicht. Mein PC läuft momentan recht sauber, allerdings hab ich stellenweise das Gefühl eine Sicherheitslücke zu haben. Alleine weil heute Windows (nichtmal AntiVir) einen Trojaner gefunden und entfernt hat. Auch kann ich nicht mehr meine Hauptpartition auf der auch Windows liegt, nicht mehr defragmentieren. Die 2. die nur mit Daten angefüllt ist schon. Vielleicht ist das nur ein anderes Problem aber ganz korrekt ist das nicht. Ich werde den PC mal im abgesicherten Modus starten und versuchen Spybot zu nutzen, melde mich dann nochmals
 
So nun habe ich, nachdem ich die Zeit gefunden habe, im abgesichertem Modus Spybot S&D installiert und gestartet, mit dem gleichen Ergebnis. Spybot trägt sich im Task Manager als Prozess ein aber startet nicht, so dass ich darauf zugreifen kann.

Eine Theorie meinerseits: ich habe vor einiger Zeit Tune Up Utilities benutzt, um meine Regestrierungsdatenbank aufzuräumen. Nachdem ich das tat, hab ich auch mal gelesen was das nun wirklich bringt (unabghängiger Blog). So wie es aussieht ist diese Option von Tune Up nichts als ein Placebo, welches ggf. sogar etwas beschädigen kann. Ist es möglich, dass durch einen Defekt der Regestrierungsdateien das Starten nicht mehr möglich ist?
 
Hallo Comebackkid,

grundsätzlich sollte man sehr vorsichtig mit Programmen sein, die an der Registrierungsdatenbank "rumhantieren". Man kann dabei sehr schnell was kaputt machen... :( ob das allerdings auch bei dir der Fall ist, kann ich dir nicht sagen.

Wie updatest du Spybot, wenn du es nicht starten kannst?
Welche Sicherheitsprogramme verwendest du?
Welchen Trojaner hat eines deiner Sicherheitsprogramme gefunden?
Sind Windows und alle andere Programme aktuell?
 
Last edited:
Ich update Spybot über die im Startmenü aufgeführte Auswahloption "Update Spybot S&D"
Ich benutze zur Zeit nur Anti Vir und Windows eigene Tools, wie etwa "Tool zum entfernen bösartiger Software". Unser Heimnetzwerk (mein PC eingeschlossen) wird doch einen Proxyserver mit integrierter Firewall geschützt, die durch meinen Vater selbst programmiert und aktualisiert wird. Diese Firewall ist Linux basierend und immer aktuell.
Windows selbst hat den Trojaner gefunden, über das oben genannte Tool zum entfernen bösartiger Software. Die Trojanerbezeichnung habe ich mir nicht notiert, allerdings müsse es doch eine Möglichkeit geben eine Art Log einzusehen. Wenn das der Fall ist, vielleicht kann mir jemand sagen wie/wo :)
Windows ist aktuell, die automatischen Updates sind momentan aktiviert.

Ich habe gerade mit einem Update via AntiVir einen Wurm in einem letztlich gedownloadetem Archiv ausfindig gemacht. Ich werde jetzt meinen gesamten Computer erst einmal scannen. Bis dahin warte ich auf weitere Instruktionen :)
 
Vielen Dank für deine Informationen. Das mit dem Wurm hört sich ja nicht gut an... hoffen wir mal, dass das alles war... :sad:

Es ist gut, dass du AntiVir mal durchlaufen lässt. :bigthumb:

Mit HijackThis 2.0.2 kannst du einen Bericht erstellen, vielleicht zeigt der was auffälliges.

Downloade HijackThis Installer und installiere das Programm. Anschließend öffnest du es und wählst Do a system scan and safe a logfile. Nach dem Scan wird der Editor geöffnet. Dessen Inhalt kannst du kopieren (Strg + c) und direkt hier einfügen (Strg + v).

Ähnlich gut wie Spybot ist Malwarebytes' Anti-Malware. Dieses Programm könntest du dir auch runterladen, installieren, updaten (version 2142 der Erkennungsregeln ist derzeit aktuell) und einen kompletten Suchlauf starten.

Aber eins nach dem andren... mal sehen, was der AntiVir findet. ;)
 
interessanter Weise weisen die beiden Setups die gleichen Verhaltensmuster auf wie Spybot S&D. Ich starte das System im abgesichertem Modus und versuche es da erneut. Falls das nicht klappt, wird kein Weg daran vorbei gehen, das System neu aufzusetzen :(
 
Comebackkid said:
interessanter Weise weisen die beiden Setups die gleichen Verhaltensmuster auf wie Spybot S&D. Ich starte das System im abgesichertem Modus und versuche es da erneut. Falls das nicht klappt, wird kein Weg daran vorbei gehen, das System neu aufzusetzen :(
Click to expand...

Du kannst noch versuchen, die genannten Programm umzubennen. Konntest du sie installieren? Benenne z.B. HijackThis.exe in Comebackkid.exe um. Beim Setup von Malwarebytes Anti-Malware kannst du es auch mit umbenennen versuchen.

Zudem kannst du noch ein eigenes Thema im Malware Removal Forum erstellen, was ich dir auch empfehlen würde, bevor du das System neu aufsetzt.

Sieht ganz nach Malware aus, die die genannten Programme blockiert.
 
Last edited:
Es hat mit umbenennen funktioniert. Ich werde alle .exe bzw Ausführungsdateien namentlich ändern und ausführen. Danach wird das System erst einmal kräftig durchgeschüttelt was sich hier eingeschlichen hat. Wenn ich Reports vorliegen habe, melde ich mich erneut

bis hierhin erst einmal ein riesen großes Danke an dich :D
 
Hijack This Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:47, on 16.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\DOKUME~1\nils\LOKALE~1\Temp\daemon4304-lite.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5084 bytes
 
Comebackkid said:
Es hat mit umbenennen funktioniert. Ich werde alle .exe bzw Ausführungsdateien namentlich ändern und ausführen. Danach wird das System erst einmal kräftig durchgeschüttelt was sich hier eingeschlichen hat. Wenn ich Reports vorliegen habe, melde ich mich erneut

bis hierhin erst einmal ein riesen großes Danke an dich :D
Click to expand...

Ich warte auf Reports. Sollte die Malwareinfektion schlimm sein, kann es durchaus sein, dass ich dich ins Malware Removal Forum weiterleiten muss, damit dein Rechner wieder vollständig sauber wird.


Lass mal alle Sicherheitsprogramme durchlaufen, die funktionieren und schau, ob du was findest.
 
Last edited:
hm sieht böse aus. Das umbenennen hat erst einmal gereicht um die Setups auszuführen, aber anscheinend reicht das umbenennen der Haupt-.exe nicht aus um die Blockierung zu umgehen.

Spybot läuft jetzt, indem ich die vorher versteckten .scr dateien genutzt habe. Ich hoffe, dass hier etwas gefunden wird :|
 
Comebackkid said:
hm sieht böse aus. Das umbenennen hat erst einmal gereicht um die Setups auszuführen, aber anscheinend reicht das umbenennen der Haupt-.exe nicht aus um die Blockierung zu umgehen.

Spybot läuft jetzt, indem ich die vorher versteckten .scr dateien genutzt habe. Ich hoffe, dass hier etwas gefunden wird :|
Click to expand...

Ok, gib mir Bescheid, ob Spybot was gefunden hat.
Hat AntiVir was entdeckt ?
 
AntiVir hat nichts gefunden. Der vorher entdeckte Wurm ist weg und der Rest scheint in Ordnung zu sein. Es scheint eine Ecke komplizierter zu werden, wenn es nicht als direkte Datei zu finden ist
 
10 Einträge wurden gefunden und entfernt. Ich habe vorher einen Screenshot angefertigt. Der Trojaner hatte sich als Treiber getarnt und wurde so von AntiVir und Windows nicht als bösartig eingestuft.

neubitmap.png
 
Comebackkid said:
10 Einträge wurden gefunden und entfernt. Ich habe vorher einen Screenshot angefertigt. Der Trojaner hatte sich als Treiber getarnt und wurde so von AntiVir und Windows nicht als bösartig eingestuft.

neubitmap.png
Click to expand...

Sehr gut. TDSS ist ein Rootkit, das tief ins System eingreift. :fear:

Versuch nun, Malwarebytes erneut zu installieren und einen kompletten Scan durchzuführen.

Update Ad-Aware und lass dieses Programm auch durchlaufen.

Ich bin jetzt mal offline, komme aber später nochmal online. :)
 
Last edited:
You must log in or register to reply here.
Back
Top