Spy-Sheriff - Problem

#1 Hallo allerseits
Wir hatten bis vor kurzem ein Problem mit dem o.g. Trojaner.
Wir haben eine Anleitung zum Entfernen im INET gefunden und sind
dementsprechend vorgegangen. Folgendes Verfahren:

1.Abgesicherter Modus und Systemwiederherstellung aus.
2. Tool smitrem gestartet.
3. Adaware und Spybot System gescannt.
4. Mit Spybot immunisiert.
5. System mit escan überprüft.

Pc. Neu gestartet im normalen Modus.

Nun haben wir hier drei Logfiles.
Die stellen wir hier rein, und bitten um Durchsicht.
Wir sind der Meinung, daß sich immer noch etwas auf unserem Comp.
"tummelt".

Spybot überprüft im Hintergrund das System, und meldet immer den
Fehler, daß sich die Startseite irgendwo verstellt hat.

Das logfile von escan ersparen wir uns mal. Das ist sehr !! groß.
Wenn Ihr´s braucht, können wir es nachreichen.
Schaut Euch doch bitte mal die Logs an - Vielen Dank im Voraus.

seb-soft + cyberAngel


-------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:01:48, on 23.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\syspe32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Themes\Wow\ThemeManager\wbload.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Media\Nero\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
D:\Programme\Media\Winamp\winampa.exe
D:\Programme\Media\daemon\daemon.exe
C:\WINDOWS\system32\iefv32.exe
E:\shooter\valve\steam.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Internet\emule\emule.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Sicherheit\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rkpek.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rkpek.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\media\Adobe\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {7B4A8261-0A80-402A-F1BE-9B2ACBFECDD5} - C:\WINDOWS\system32\msxd32.dll
O2 - BHO: Class - {87993483-A3AD-794F-F265-DD005BD9116B} - C:\WINDOWS\system32\addxi.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\Media\Nero\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Media\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Media\daemon\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [iefv32.exe] C:\WINDOWS\system32\iefv32.exe
O4 - HKCU\..\Run: [Steam] "e:\shooter\valve\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\Internet\emule\emule.exe -AutoStart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
O20 - Winlogon Notify: WB - D:\Themes\Wow\ThemeManager\fastload.dll
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\syspe32.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

--------------------------------------------------
smitRem log file
version 2.4

by noahdfear
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pre-run Files Present
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
winstall.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Post-run Files Present
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~


-----------------------------------------------------------------
__________
XPPro - Firefox 2.0 - ZA - Spybot SD -

#2 Hallo@seb-soft

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rkpek.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rkpek.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7B4A8261-0A80-402A-F1BE-9B2ACBFECDD5} - C:\WINDOWS\system32\msxd32.dll
O2 - BHO: Class - {87993483-A3AD-794F-F265-DD005BD9116B} - C:\WINDOWS\system32\addxi.dll
O4 - HKLM\..\Run: [iefv32.exe] C:\WINDOWS\system32\iefv32.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\Internet\emule\emule.exe -AutoStart
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\syspe32.exe

PC neustarten

ADS Spy: (poste mir den scanreport)
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe

poste die 4 logs + Pfadangabe
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke Sabina, werden wir machen

Gruß seb-soft - cyberAngel

Übrigens, http://virus-protect.org/
können wir wirklich nur empfehlen. Super Seite.

#4 im Grunde empfehle ich zu formatieren, denn der Startseitentrojaner ist sehr sehr schwer dauerhaft wegzubekommen.....
__________
MfG Sabina

rund um die PC-Sicherheit