Spyware Doctor gefährlich?

#1 Hallo allerseits,

ich habe seit einiger Zeit extreme Probleme mit meinem Rechner. Um genau zu sein, es dauert auf einmal sehr lange, bis gestartete Programme reagieren, wichtige Systemeinstellungen kann ich garnicht mehre erreichen und teilweise passiert auch garnichts mehr. In den abgesicherten Modus kann ich auch nicht mehr wechseln, weil das Drücken der F8-Taste einfach ignoriert wird. Angefangen hat alles damit, das ich aus Versehen eine Weile mit dem IE im Internet war ( ich verwende sonst nur Netscape, und da ist noch nie etwas passiert), und mein Rechner mich plötzlci über ein kleines gelbes Schild in der Taskleiste darauf hinwies, das mein Rechner infiziert sein könnte. Als ich dann Antivir laufen ließ, fand dieser auch etwas. Ich habs einfach löschen lassen, ohne weiter darauf zu achten. Dann hab ich noch Spybot laufen lassen, der fand auch was, auch gelöscht, und dann noch Ad-Aware, der blieb aber irgendwann einfach hängen. Als ich dann nochmal Spybot gestartet habe, wurde das sehr langsam. Ich hab dann nach einem weiteren Anti-Spyware-Programm gesucht und mit Spyware Doctor runtergeladen. Und seit dem das installiert ist, geht fast garnichts mehr. Bin ich da jetzt in so ne Dummyfalle getreten? Kennt jemand das Problem und kann mir mit Rat zur Seite stehen?

Danke schonmal im Voraus, auch fürs einfach nur Durchlesen.

#2 Spyware Doctor ist ok.

Mache bitte mal ein HJT-Log:
http://virus-protect.org/hjtkurz.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Dauert ein Weilchen, wenn es überhaupt funktioniert. Ich bin mir nicht ganz sicher, ob ich da noch was installieren kann. Ich versuchs aber ganz fleißig.

#4 Installieren musst du nichts. Und HijackThis funktioniert eigentlich immer. Wenn nicht, hilft wohl nur noch ein Formatieren der Festplatte (und das willst Du sicherlich vermeiden).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Ohoh, ich fürchte jetzt ist´s ganz hinüber, wenn ich momentan neu starte, kommt immer dieser Active Desktop Bildschirm anstelle des eigentlichen Hintergrundbildes und ich kann nichts machen außer mit dem Mauszeiger durch die Gegend zu eiern, ohne das irgendetwas reagiert. Gibts da jetzt noch ne Rettung?

#6 Welches Windows verwendest Du?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 2000.
ich hab hjt jetzt auf meinem Rechner, nur ob das entzippen fungiert weiß ich nicht, das klappt hier manchmal alles so etappenweise. Ich bleib aber dran.

#8 Ok, wenn es geklappt hat, dann stellst Du das Log hier rein (do a system scan and save log file)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9 doch noch geschafft. Ich seh da nicht Auffälliges, aber was weiß ich schon... :-)

Logfile of HijackThis v1.99.1
Scan saved at 01:05:26, on 15.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Java\j2re1.5.0\bin\jusched.exe
C:\PROGRA~1\TWINTO~1\MouseElf.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\Matze\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB5F592-72C7-4D26-97A7-0C07A23E6A92}: NameServer = 69.50.168.138,85.255.112.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FLEXlm Service 1 - GLOBEtrotter Software Inc. - c:\flexlm\LMGRD.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame D

#10 Du hast Recht. Der einzig bösartige Eintrag ist der folgende:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB5F592-72C7-4D26-97A7-0C07A23E6A92}: NameServer = 69.50.168.138,85.255.112.19

Das lenkt den DNS auf einen US-Server und einen ukrainischen Server weiter. Also fixen!

Weiterhin deinstalliere den Spyware Doctor wieder und probiere mal, einen Scan mit eScanCheck zu machen:
http://virus-protect.org/escan.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#11 SpyDoctor zu entfernen hab ich schon einige Male versucht. Aber das überfordert meinen Rechner völlig. Kann dieser Eintrag in dem Log was mit der enormen Langsamkeit zu tun haben? Könnte nach dem Fixen ein Neustart schon was bewirken? Ich trau mich gerade nicht so richtig, weil dann ja auch meine Internetverbindung weg ist.

#12 Nein, das wird die Systemleistung nicht beeinflussen. Aber durch den veränderten DNS könntest Du, sobald Du die Internetseite Deiner Bank, eBay oder ähnliches eingibst, auf eine gefälschte Seite geführt werden.

Versuche bitte, einen Scan mit eScan zu machen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#13 Oh Gott, eScan hört ja garnicht auf zu meckern. Der zaubert ja noch Sachen aus dem Hut, die ich schon längst gelöscht hatte. Einträge von irgenwelchen Spielen und so. Kann ich alles löschen was der mir meldet? Oder lieber nicht

#14 Bitte das Log posten, so wie auf der Webseite, die ich Dir diesbezüglich genannt hatte, beschrieben.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#15 eScan behauptet 4 Viren und 313 Fehler gefunden zu haben, wenn ich aber die mwav.log öffne, kommt die Meldung 'Keine Dateien zum Löschen gefunden!'. Ja was denn nun? Ich verwirrt. Und mein Rechner meldet auch immer noch in regelmäßigen Abständen er sei Spyware-verseucht.