geänderte Startseite, Software will sich ungefragt installieren

HI ich habe nun schon seit zwei tagen versucht meinen mit anti-viren progammen zu reinigen,
aber es hilft nichts. Norton erkennts nicht, spybot kann nichts dagegen tun und ich steh dumm da!

Mein Hintergrund flimmert zwischen weiß und grau.

Ständig kommt eine Fehlermeldung Windows security warning 317.......

Ausserdem installiert sich ständig securityiguard, und will das ich was zahle.

Ach und meine Startseite von IE ändersich ständig zu http://www.hotoffers.info/250/



...mein Hijackthis zeigt das hier:

Logfile of HijackThis v1.99.1
Scan saved at 17:30:12, on 16.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Anvshell.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ICQ\NDetect.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Nicolas Balß\Desktop\HijackThis.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\ShareDLL\Mediadet.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton AntiVirus\OPScan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [IntelliType] C:\Programme\Microsoft Hardware\Keyboard\type32.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Nicolas \Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: winupdate72112267[1].exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} -
O16 - DPF: {60261C06-81B0-4DE0-9313-E5BA203A64E9} -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15A8EAD4-DC4E-4F9D-8F2A-E0917D0C6092}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{36F48043-92B7-47A8-B721-CE85A48E8265}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{15A8EAD4-DC4E-4F9D-8F2A-E0917D0C6092}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{15A8EAD4-DC4E-4F9D-8F2A-E0917D0C6092}: NameServer = 192.168.1.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe


Ich würde mich freuen wenn mir jemand hilft, denn sonst müsste ich meinen daten goodbye sagen und formatieren.


Danke.
Nico

[blue]Betreff angepasst[/blue]

Für weitere Analysen kann ich Dir http://www.hijackthis.de empfehlen. Dort bekommst Du Deine Logs automatisch ausgewertet.

Zu Deinem Log:

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

Zum Vergrößern anklicken....

Löschen, da Spyware.
Lade Dir mal Startup Control Panel und deaktiviere diesen Eintrag.

Eddie

das habe ich schon probiert das hilft leider auch nicht, denn die viren, spoolsrv32.exe und systre.dll kommen wieder wenn ich sie mit hijackthis lösche. ich habe auch schon probiert sie über delete a file on reboot zu löschen, das geht aber beim nächsten mal sind sie wieder da.

....ich habe keine ahnung was ich da tun soll!

Das Programm nutzen, das ich verlinkt habe und den Autostart der Programme verhindern.

Eddie

aaa - ja mit hijackthis beendest du nur laufende prozesse & kannst was löschen - nicht aber die ursache an sich entfernen.

Ich sag ma - wenn du eine diät machst & das ohne zugleich mit sport zu beginnen wirst du ma kurz pfunde purzeln lassen - die kommen aber wieder

also brauchst du das korrekte entsorgungsprogramm:
1. Erstma - frisch upgedateten virenscanner drüberlaufen lassen (root directory sollte genügen wennst das eilig hast - wenn du keinen hast nimm einen kostenlosen zB: AVG von Grisoft)

2. ACHTUNG - listen(!) schreib dir auf was der scanner ausscpuckt - alles was er nicht löschen kann - die genauen bezeichnungen - wie zB spoolsrv32

3. Suche entsprechende removal tools - via zB Norton site oder einfach danach googeln (aber aufpassen das du dir beim googlen nicht einen anderen virus einfängst der sich den berühmten namen des ersten zunutze macht - also ich meine sieh dir an wie die webseiten tatsächlich heissen auf die man dich verlinkt)

für spoolsrv32 gibts meines wissens ein removal tool - wenns das nicht gibt denn zumindest anleitungen was du schritt für schritt machen mußt

TiP: sollte einer der *.32er würmer versuchen deinen PC runterzufahren mach:
windows_taste + R
eingeben: shutdown -a

denn kannste weiterarbeiten

grüsse

AAAACH ja nochwas - bitte schreib einen eindeutigeren Titel - hätt fast nicht reingekuckt - etwas wie
virus: spoolsrv32 was nun?
oder
PC spielt verrückt - hab ich einen virus?
ich denk je besser man aus dem titel erkennen kann worums geht desto besser die antworten

Installier Dir bitte keinen weiteren AV-Scanner.

Nimm bitte eScan
http://www.trojaner-info.de/hijacker/escan.shtml
Mache die updates wie auf der Seite beschrieben und lasse ihn im abgesicherten Modus laufen.
Die schädlichen Einträge musst Du dann von Hand entfernen.

Und/Oder das Tool von Trend Micro
http://www.trendmicro.com/download/dcs.asp
mit den Patternfiles
http://www.trendmicro.com/download/pattern.asp

Alle von Hijackthis.de rot und gelb dargestellten Sachen sind zu entfernen.

Ausserdem solltest Du dein System updaten und nicht mit Administratorrechten im Internet unterwegs sein.

Viel Glück

Hola,

Also die gelben sachen von hijackthis würd ich vorsichtig löschen

da können dinge darunter sein die dein system (oder besser gesagt einzelne programme) benötigen.

Bsp: Hijackthis will bei mir aphex löschen (also ich glaub der prozess heisst aphex) - was zu gamespy (spielprogramm) gehört... und ja ein paar andere kleinigkeiten... die als vielleicht gefährlich eingestuft werden.

2beers schrieb:

Also die gelben sachen von hijackthis würd ich vorsichtig löschen

Zum Vergrößern anklicken....

Hast Du das Logfile geprüft?
Ich schon, deswegen schrieb ich

Alle von Hijackthis.de rot und gelb dargestellten Sachen sind zu entfernen.

Zum Vergrößern anklicken....

Dies bezog sich auf das von Nicooler gepostete Logfile

Als erstes würde ich mal Windows XP updaten, den Internet Explorer vergessen und Firefox oder Opera verwenden. Dann verwende mal folgende Programme, aber vorher updaten: a2, Ad-Aware SE Personal und Spybot Search & Destroy und zum Schluss lässt du dein Anti-Viren-Programm noch mal laufen.