Spy Trooper

Dieses Thema Spy Trooper im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von kieba81, 18. Jan. 2006.

Thema: Spy Trooper Hallo, ich habe mir mit großer Sicherheit ein oder mehre Viren eingefangen,  wahrscheinlich Spy Trooper!? Werden...

  1. Hallo,
    ich habe mir mit großer Sicherheit ein oder mehre Viren eingefangen,  wahrscheinlich Spy Trooper!? Werden ständig Icons auf Desktop erzeugt usw:
    Kann jemand mal mein log file analysieren?
    Wie werde ich den Mist den wieder los?
    Wahrscheinlich ist XP auch nicht auf dem neusten Stand, kann aber nicht genau sagen welche Version installiert ist!
    Vielen Dank!

    Logfile of HijackThis v1.99.1
    Scan saved at 19:10:23, on 18.01.2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\brsvc01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\brss01a.exe
    D:\Programme\AVPersonal\AVGUARD.EXE
    D:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvctrl.exe
    C:\WINDOWS\System32\mssearchnet.exe
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\System32\khooker.exe
    C:\WINDOWS\Hcontrol.exe
    C:\WINDOWS\System32\pctspk.exe
    D:\Programme\ASUS\ASUS Probe\AsusProb.exe
    D:\Programme\ASUS\Power4 Gear\BatteryLife.exe
    D:\Programme\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\PRISMSVR.EXE
    D:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\ctfmon.exe
    D:\Programme\3com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe
    C:\WINDOWS\ATKOSD.exe
    D:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
    d:\Programme\3com\Connection Assistant\bin\mpbtn.exe
    C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp7D42.tmp
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
    O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
    O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
    O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
    O4 - HKLM\..\Run: [ASUS Probe] D:\Programme\ASUS\ASUS Probe\AsusProb.exe
    O4 - HKLM\..\Run: [Power_Gear] D:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [PRISMSVR.EXE] D:\Programme\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\PRISMSVR.EXE /APPLY
    O4 - HKLM\..\Run: [Norton Personal Firewall] lah.exe
    O4 - HKLM\..\Run: [VMArGPNF] C:\WINDOWS\mqyjll.exe
    O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
    O4 - HKLM\..\Run: [Microsoft Update 32] windowsp.exe
    O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\RunServices: [Norton Personal Firewall] lah.exe
    O4 - HKLM\..\RunServices: [Microsoft Update 32] windowsp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Norton Personal Firewall] lah.exe
    O4 - Startup: SmartSurfer.lnk = D:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
    O4 - Global Startup: 3Com Connection Assistant.lnk = D:\Programme\3com\Connection Assistant\bin\matcli.exe
    O4 - Global Startup: 3Com Wireless 11g PC Card.lnk = D:\Programme\3com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4A8CE634-E12A-4ADF-A9A5-FBE895308F20}: NameServer = 195.71.159.16 193.189.244.205
    O18 - Filter: text/html - {391243AD-0E3B-4A8E-89EA-61AFD868FCAE} - C:\WINDOWS\System32\dpog.dll
    O18 - Filter: text/plain - {391243AD-0E3B-4A8E-89EA-61AFD868FCAE} - C:\WINDOWS\System32\dpog.dll
    O20 - Winlogon Notify: efcdb - efcdb.dll (file missing)
    O20 - Winlogon Notify: tuvst - C:\WINDOWS\System32\tuvst.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
     
  2. Noch nicht, aber gleich!
     
  3. hier deine Auswertung:
    http://www.hijackthis.de/logfiles/de2a777066551767041742e689785e32.html

    alle bösen, unbekannten, eventuelle bösen und unnötige Einträge löschen, außer:
    SmartSurfer.exe
    Monitor.exe
    NameServer = 195.71.159.16 193.189.244.205

    und dann das SP2 draufhauen ;)

    pan_fee