SpySheriff?

Dieses Thema SpySheriff? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von purpleRaindrop, 31. Juli 2008.

Thema: SpySheriff? Hallo! Ich hab seit kurzem wirklich arge Probleme mit meinem PC. Ständig öffnen sich neue Werbefenster und seit...

  1. Hallo!
    Ich hab seit kurzem wirklich arge Probleme mit meinem PC.
    Ständig öffnen sich neue Werbefenster und seit heute
    funktioniert auch der Taskmanager nicht mehr. :|
    Außerdem bekomme ich beim Neustart immer die Meldung, ob ich den
    PC nicht neustarten möchte, weil Probleme aufgetreten sind...
    Klicke ich auf Ja, startet er auch ganz normal neu, allerdings erscheint das
    Fenster wieder und bei erneutem Klick auf Ja folgt die gleiche Prozedur...
    Immer und immer wieder. :-\
    Habe mich durch viele Foren geklickt und verschiedene Sachen ausprobiert.
    AdAware, Spybot&Search, AntiVir... Aber nichts wird wirklich fündig. :'(
    Leider bin ich nicht so bewandert in Sachen Spyware, Virus, Wurm und Co.
    Hab auch irgendwie meine CD verlegt, wo mein XP drauf ist...
    Sonst hätte ich schon längst mal neu aufgesetzt.
    Es wäre super, wenn sich jemand finden könnte, der mir ein paar Tipps geben kann.
    Ich danke euch schonmal im Voraus.

    Liebe Grüße. :)

    Hier mein LogFile von Hijack:

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:08:22, on 31.07.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Microsoft LifeCam\MSCamS32.exe
    C:\Programme\Softex\OmniPass\Omniserv.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Programme\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
    C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
    C:\Programme\Launch Manager\Wbutton.exe
    C:\Programme\Launch Manager\OSD.exe
    C:\Programme\Launch Manager\LaunchAp.exe
    C:\Programme\Launch Manager\HotkeyApp.exe
    C:\WINDOWS\vVX3000.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Windows Live\Messenger\usnsvc.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://moredhel.de/logd[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.aldi.com[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe runtime
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [lifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
    O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\Wbutton.exe
    O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
    O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] C:\Programme\Windows Live\Messenger\msnmsgr.exe /background
    O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra->Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - [url]http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab[/url]
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=39204[/url]
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - [url]http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab[/url]
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [url]http://spaces.msn.com//PhotoUpload/MsnPUpld.cab[/url]
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - [url]http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab[/url]
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - [url]http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab[/url]
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221[/url]
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - [url]http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab[/url]
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - [url]http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab[/url]
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - [url]http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab[/url]
    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - [url]http://messenger.zone.msn.com/binary/Chess.cab57176.cab[/url]
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - [url]http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab[/url]
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tina/LOKALE~1/ANWEND~1/IM/Runtime/EMOTIC~1/THUMB_~1.GIF
    
    --
    End of file - 10072 bytes
     
  2. Den Eintrag habe ich gelesen, auch soweit alles ausprobiert, was dort beschrieben wurde.

    Im abgesichteren Modus
    msconfig nach den fragwürdigen Einträgen gesucht, aber vergebens..
    Systemwiederherstellung hat nichts gebracht, weil ich das Problem eben schon länger habe und
    ich den Zeitounkt nicht mehr recht finde, wos eben das erste Mal war.
    Dann hab ich die versteckten Dateien einblenden lassen und nach ihnen gesucht - Fehlanzeige.
    Das einzige, was ich gefunden und gelöscht habe, waren die Einträge in der registry.

    tool2.exe
    tool3.exe
    paytime.exe
    sywsvcs.exe
    symcsvc.exe
    z11.exe

    Hab dann neu gestartet und leider hat sich nichts geändert.
    Die Werbefenster kommen trotzdem und auch die Meldung nach dem Start ist unverändert.
    Hier mal der Dialog:
    Der Computer muss jetzt neu gestartet werden, bevor der Aktualisierungsprozess fortgesetzt werden kann.
    Möchten Sie neustarten?

    [br][br]Erstellt am: 31.07.08 um 17:54:35[hr][br]Aber... Hab noch was vergessen.
    Immerhin funktioniert der Taskmanager wieder. :)
     
  3. das ist schon mal gut - gehört alles zum Schädling.
    Gib hier http://www.wintotal.de/Spyware/index.php mal SpySheriff im Suchfeld ein.

    Wichtig ist, dass du die Systemwiederherstellung komplett abschaltest, erst nach gründlicher Bereinigung wieder einschalten:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=170

    Lass' mal Smitrem.exe durch laufen: http://noahdfear.geekstogo.com/ (Anleitung hier, ziemlich weit unten)
    und Smitfraud Remover: http://www.hijackthis-forum.de/showpost.php?p=52874&postcount=10
    sowie SmitFraudFix: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

    pan_fee
     
  4. Hi,

    Wenn Du mit den oben genannten Tools durch bist, poste bitte die Logs. Smithfraudfix sollte den Spysherrif eigentlich können, zur Sicherheit mach danach noch das:

    lade bitte den Deckard's System Scanner (DSS)(dss.exe) herunter und speichere ihn auf deinem Desktop.
    NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

    1. Schließe ALLE Anwendungen und Fenster.
    2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
    3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

    main.txt und extra.txt bitte bei fileupload.net hochladen und hier den Link zu den Dateien posten.


    gruß

    schrauber

    bitte die Logs in Code- Tags setzen
     
  5. Also die Tools, wie sie pan_fee gepostet hat, hab ich soweit alle durchlaufen lassen.
    Werde die anderen auch ganz schnell noch machen. Hab zur Zeit ein bisschen Stress und deswegen
    kann ich nicht so zügig antworten und alles machen.
    Aber ich bemüh mich ganz doll, will das ja auch endlich los werden.
    Also leider kommt die Werbung weiterhin und auch die Neustarten-Meldung nach dem Neustart ist unverändert
    und kommt immer noch.
    Ich werd also so bald wies geht noch alles andere machen!

    Hier die beiden Logs:

    SmitFraudFix v2.333

    Scan done at 22:31:28,81, 02.08.2008
    Run from C:\Dokumente und Einstellungen\Tina\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Microsoft LifeCam\MSCamS32.exe
    C:\Programme\Softex\OmniPass\Omniserv.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Programme\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
    C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Programme\Launch Manager\Wbutton.exe
    C:\Programme\Launch Manager\OSD.exe
    C:\Programme\Launch Manager\LaunchAp.exe
    C:\Programme\Launch Manager\HotkeyApp.exe
    C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
    C:\WINDOWS\vVX3000.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\dokumente und einstellungen\tina\lokale einstellungen\anwendungsdaten\uygye.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    hosts file corrupted !

    127.0.0.1 www.legal-at-spybot.info
    127.0.0.1 legal-at-spybot.info

    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tina


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tina\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Tina\FAVORI~1


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    Source=file:///C:/DOKUME~1/Tina/LOKALE~1/ANWEND~1/IM/Runtime/EMOTIC~1/THUMB_~1.GIF
    SubscribedURL=file:///C:/DOKUME~1/Tina/LOKALE~1/ANWEND~1/IM/Runtime/EMOTIC~1/THUMB_~1.GIF
    FriendlyName=

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    Source=About:Home
    SubscribedURL=About:Home
    FriendlyName=Die derzeitige Homepage

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, following keys are not inevitably infected!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, following keys are not inevitably infected!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, following keys are not inevitably infected!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLs=


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Userinit=C:\\WINDOWS\\system32\\userinit.exe,
    System=


    »»»»»»»»»»»»»»»»»»»»»»»» Rustock



    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport
    DNS Server Search Order: 192.168.178.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{3B9BB185-5D99-4049-901A-E16A3D047BF5}: DhcpNameServer=83.169.184.33 192.168.0.1
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C24144B3-9CCC-4B61-9417-331373B9B9F3}: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{3B9BB185-5D99-4049-901A-E16A3D047BF5}: DhcpNameServer=83.169.184.33 192.168.0.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{C24144B3-9CCC-4B61-9417-331373B9B9F3}: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{3B9BB185-5D99-4049-901A-E16A3D047BF5}: DhcpNameServer=83.169.184.33 192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C24144B3-9CCC-4B61-9417-331373B9B9F3}: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End

    PS: Der zweite LOG aus dem abgesichterten Modus ist unglaublich lang.... Nicht mal zweigeteilt passt der hier rein... Soll ich in trotzdem hochladen? Könnte ihn doch auch als Dateipfad hier angeben oder ist das nicht gut?
     
  6. hp
    hp
    C:\dokumente und einstellungen\tina\lokale einstellungen\anwendungsdaten\uygye.exe

    was ist das? in deinem hijackthis.log tauch der prozess nicht auf ... prozess beenden und datei löschen

    mit regedit die einträge unten löschen, und auch die physische datei C:/DOKUME~1/Tina/LOKALE~1/ANWEND~1/IM/Runtime/EMOTIC~1/THUMB_~1.GIF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    Source=file:///C:/DOKUME~1/Tina/LOKALE~1/ANWEND~1/IM/Runtime/EMOTIC~1/THUMB_~1.GIF
    SubscribedURL=file:///C:/DOKUME~1/Tina/LOKALE~1/ANWEND~1/IM/Runtime/EMOTIC~1/THUMB_~1.GIF
    FriendlyName=

    und aus c:\windos\system32\drivers\etc\hosts die einträge

    127.0.0.1 www.legal-at-spybot.info (http://www.legal-at-spybot.info)
    127.0.0.1 legal-at-spybot.info

    löschen. kannst du mit einem normalen editor machen ...

    greetz

    hugo
     
Die Seite wird geladen...

SpySheriff? - Ähnliche Themen

Forum Datum
spysheriff Windows XP Forum 19. Dez. 2006
WinFixer/SpySheriff Viren, Trojaner, Spyware etc. 3. Juni 2006
SpySheriff Problem! Viren, Trojaner, Spyware etc. 24. Apr. 2006
Nach SpySheriff keine Einstellungen der Windows-Firewall mehr Viren, Trojaner, Spyware etc. 12. März 2006
Spysheriff.. Viren, Trojaner, Spyware etc. 29. Jan. 2006