Bitte um Hijack-Auswertung - Spyware Doctor entfernt Malware nicht

#16 der Spyware-Doktor ist weiterhin im Autostart

fixe mit hijacktHis
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"

+
Rechner neustarten

»
wende smitfraudfix im Normalmodus an + poste den report, der erscheint
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#17 Hallo Pinguin,

erst mal Danke für Deine regelmäßigen Antworten.

Sobald der Rechner nach dem Fixen des von Dir benannten Hijackthis-Items gebootet wird, erscheint dieses auch wieder im Hijackthis-Log. Ist das korrekt?

Ich habe SmitFraudFix jetzt einmal nach dem Booten angewendet, einmal ohne Booten.

Hier der SmitFraudFix-Report nach der zweiten Anwendung ohne Booten:

===
SmitFraudFix v2.274

Scan done at 13:48:35,41, 05.01.2008
Run from C:\Dokumente und Einstellungen\heike\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A26CA920-9DA6-4997-8641-32A1B06AB362}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer=195.182.110.132,62.134.11.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A26CA920-9DA6-4997-8641-32A1B06AB362}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer=195.182.110.132,62.134.11.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer=195.182.110.132,62.134.11.4
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#18 nun, es scheint alles wieder i.o. zu sein ... den Spyware-Doktor solltest du nur rausnehmen und deaktivieren, weil er nicht im Autostart notwendig ist, zudem war noch Counterspy geladen und und - all das verlangsamt das System.

Wie rollert dein Compi zur Zeit ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#19 Hallo Pinguin,

mein Rechner läuft inzwischen i.O., aber das Booten bereitet nach wie vor Probleme. Der Vorgang klappt immer erst nach einer Datenträgerüberprüfung durch Windows und dauert auch dann ungewöhnlich lange.

Spyware Doctor listet keinen Befall auf. Jedoch schaffe ich es nicht, das von Dir genannte Spyware Doctor-Item dauerhaft zu fixen. Immer wenn ich den Rechner herunterfahren will, erscheint das Fenster "Programm beenden" mit der Meldung, dass das Programm SDTrayApp.exe (also die Datei, dich ich über Hijackthis gefixed habe) nicht reagiere, verbunden mit der üblichen Auswahl "Abbrechen" und "Sofort beenden". Nach dem nächsten Booten erscheint das Item dann wieder im log.

Was machen?

#20 «
die Datenträgerüberprüfung brauchst du nicht durchzuführen - klicke immer auf "abbrechen"

# mit Rechtsklick auf Deinem Lokalen Datenträger (C:\) auf "Eigenschaften" drücken; nun gehst Du auf
# "Extras" und wählst hernach
# "Fehlerüberprüfung"

"Jetzt prüfen" - Häkchen setzen in Dateisystemfehler automatisch korrigieren und Fehlerhafte Sektoren suchen/wiederherstellen.
Die Prüfung startet dann nach einem Neustart!!

in deinem Fall - nimm die Häkchen raus, falls sie gesetzt sind............

----------------------
«
Schnelleres booten
Bei jedem Windowsstart wird nach Freigaben für Dateien und Ordner im Netzwerk gesucht. Bis dies geschehen ist vergeht viel Zeit - wobei diese Suche eigentlich unnötig ist.

So stellt man sie ab:
Doppelt klicken auf Arbeitsplatz - Extras - Ordneroptionen - Ansicht.
Entfernen Haken vor "Automatisch nach Netzwerkordnern und Druckern suchen" und bestätigen mit OK.

««
in der Registry:

Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction]
"Enable"="Y"
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#21 Hallo Pinguin,

ich habe meinen Rechner jetzt eine Weile beobachtet, hier die Resultate: Keine Malware mehr vorhanden. Dafür vielen Dank an Dich!

Das Booten bereitet jedoch, wie gewohnt seit dem Malwarebefall, Probleme. Symptomaik: Der Rechner hängt irgendwann und macht gar nichts (Sichtbares) mehr. Häufig wird dabei die Startleiste skizzenhaft in Form von zwei kleinen schemenhaften Fensterchen angezeigt und wenn ich mit der Maus über die (imaginäre) Startleiste fahre, erscheint die Sanduhr. Ich kann den Compi dann nur noch manuell ausschalten.

Zu Deinen Vorschlägen:
Ich weiß, dass ich die Datenträgerüberprüfung, die er dann vorschlägt, nicht laufen lassen muss, aber komischerweise klappt das Booten danach immer.

Die zwei Häkchen bei "Fehlerüberprüfung" waren ohnehin nicht gesetzt.
Haken vor "Automatisch nach Netzwerkordnern und Druckern suchen" habe ich entfernt.
Registry-Y war ohnehin eingestellt.

Hast Du vielleicht noch eine Idee?

#22

Zitat

Ich weiß, dass ich die Datenträgerüberprüfung, die er dann vorschlägt, nicht laufen lassen muss, aber komischerweise klappt das Booten danach immer.

verfolge bitte, was bei der Überprüfung angezeigt wird, es sind ja mehrere Etappen, wird etwas berichtigt ? Oder läuft die Überprüfung ohne Beanstandung durch ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#23 Die Datenträgerüberprüfung liefert zu keiner Zeit Beanstandungen.

#24 Poste nochmal ein log von Hijack This
__________
MfG Argus

#25 Hier das Log:

====
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:42, on 16.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;
192.168.178.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NoteBurner] C:\Programme\NoteBurner\VTBurnerGUI.exe /silence
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Programme\Microsoft Interactive Training\O10C\mitm0026.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer = 195.182.110.132,62.134.11.4
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: DM1Service - OLYMPUS OPTICAL CO.,LTD - C:\Programme\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe

--
End of file - 9157 bytes

#26 Normaler weisse entfernt man Programme wie Spyware Doctor via
Start -> Einstellungen -> Systemsteuerung -> Software

Es wird kein Virenscanner benutzt!

Java
Dein Java software ist veraltet,
Download jre-6u4-windows-i586-p-iftw.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u4-windows-i586-p-iftw.exe
__________
MfG Argus

#27 Hallo Arnold,

Deine Rückmeldung ist für mich etwas zu knapp ausgefallen: Heißt das, ich soll den Spyware Doctor entfernen und warum?

Soll ich einen Virenscanner installieren? Übernimmt das nicht schon Spyware Doctor, den ich in der erweiterten Version, also mit Viren-Scan, habe?

#28 Auf die Seite von PCTools spricht man von

Zitat

Detects, removes and blocks all types of Spyware.

Und nicht von Viren


__________
MfG Argus

#29 Gegen Aufpreis habe ich ein Antivirenpaket erstanden. Diese Entscheidung kann man beim Kauf von Spyware Doctor treffen.

Die Java Software werde ich erneuern und dann noch einmal Rückmeldung geben.

#30 Hallo Arnold,

wie bereits erwähnt, ist mein Spyware Doctor-Paket eine Kombi aus Anti-Spyware- und Anti-Virentool.

Java habe ich so erneuert, wie von Dir beschrieben. Auf den Bootvorgang hat das leider keine Auswirkungen. Der klappt erst nach einer Datenträgerüberpüfung von Windows und dauert nach der Useranmeldung ungewöhnlich lange. Beim Booten ohne Datenträgerüberprüfung hängt der Compi nach der Useranmeldung und muss manuell ausgeschaltet werden.

Hast Du noch eine Idee?