Startseite/Wurm/Virus bitte logfile anschauen!

#1 Hallo.
Ersmal: sahne Forum!

Seit ein paar Tagen hab ich das Problem, dass mein Internetzugang spinnt! Solange der Computer offline ist (Modem) gibt es keine Probleme. Selbst high tech Spiele laufen flüssig. Wenn ich online gehe kommen bekannte Probleme:

1. Startseite ist immer so eine blöde Suchmaschine.
2. CPU isz zeitweise überdurchschnittlich ausgelastet.
3. Links lassen sich nicht in neuen Fenstern öffnen oder funktionieren nicht richtig.
4. die Fenster reagieren zum Teil überhaupt nicht.

Mir ist auch aufgefallen, dass die Suchfunktion meines Rechners nicht mehr funktioniert. Den Fehler mit dem automatischen Herunterfahren hab ich zum Glück nicht.

Nach Tipps in diesem Forum hab ich also die Windowsupdates installiert, einen Virenscanner (Sophos) installiert (nix gefunden) und auch noch spybot und ad-aware drüber laufen lassen. Letztere haben beide ein bisschen was entdeckt und entfernt. Da das aber noch nichts gebracht hab, hab ich Hijackthis installiert und die offensichtlich zu der ungewollten Startseite führenden Einträge gelöscht. Danach sind die Probleme noch da und mein logfile sieht so aus:

Logfile of HijackThis v1.97.7
Scan saved at 23:42:46, on 17.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\windows\winlogon.exe
C:\windows\qttasks.exe
D:\wurm\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINDOWS\madise.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SaitekInstall] "G:\WinNT\InstallWizard.exe" 1
O4 - HKLM\..\Run: [Tapicfg.exe] \tapicfg.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [QuickTime Task] c:\windows\qttasks.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37931.3347106481
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O19 - User stylesheet: C:\WINDOWS\default.css (HKLM)


Was kann ich tun?

#2 Das ist CWS infos und removal gibt es hier: http://www.merijn.org/cwschronicles.html
Danach bitte ein neues Log posten
__________
MfG Ralf
SEO-Spam Hunter

#3 Jip!
scheint jetzt alles zu funktionieren.
Raman, du bist mein Held!
Hier noch das logfile:

Logfile of HijackThis v1.97.7
Scan saved at 18:47:10, on 18.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\wurm\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINDOWS\madise.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SaitekInstall] "G:\WinNT\InstallWizard.exe" 1
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37931.3347106481
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -

#4 Sehr schoen uebersichtlich!
Folgendes solltest du noch machen:
Hierzu: O2 - BHO: (no name) - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINDOWS\madise.dll
bitte das lesen: http://www.kephyr.com/spywarescanner/library/madise/index.phtml

und deaktiviere das mal mit MSCONFIG:
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SaitekInstall] "G:\WinNT\InstallWizard.exe" 1

das hat den Vorteil, das wenn man es wirklich noch benoetigt, schnell wieder aktivieren kann.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo, ich hab ein aehnliches Problem. Seit 3 Tagen habe ich ebenfalls so ne komische Suchmaschine als Startseite. Links lassen sich nicht oeffnen und der Pc stuerzt dann ab. Und ich krieg imemr so ne bloede Meldung.

Application error
The instruction at 0x76c915de referenced memory at 0x00000014. The memory could not be read.

Da ich mich mit Pcs gar nicht auskenne, brauche ich unbedingt Hilfe. Was ist denn ein Logfile und Hijack? Und wie kann ich mein Problem loesen?
Vielen Dank fuer ere Hilfe!

#6 Hallo@sakurameo

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,
ich bin neu hier und habe mich für dieses Forum entschieden, weil hier die Leute echt nett sind und es kein überflüssiges Geschwafel gibt.

Ich habe nämlich ein Problem, habe mit meinem Norton Antivirus gestern einen Trojaner gefunden:

Die komprimierte Datei stoolbar.dll innerhalb von C:\WINNT\Downloaded Program Files\tbu2\tbupdate.cab ist mit dem Virus Trojan Horse infiziert.

Die komprimierte Datei stoolbar.dll innerhalb von C:\WINNT\Downloaded Program Files\tbuC\tbupdate.cab ist mit dem Virus Trojan Horse infiziert.

Norton kann das Zeug weder isolieren, noch löschen!!


Hier mal vorab ein Scan mit Hijackthis:

Vielleicht hat ja irgentjemand etwas Zeit für mich und schaut sich den Scan mal an. Wer weiß, was ich noch für Spyware auf dem PC habe?
Vor jedem Internetgang ist ein Aktualisieren meiner Sicherheitssoftware ein Muß, doch man ist nie vollkommen sicher, denk ich!

Danke schon mal im Voraus!!!!!!!!


Logfile of HijackThis v1.99.0
Scan saved at 19:08:50, on 20.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\GhostSurf 2005 Platinum\DeleteSatellite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\GhostSurf 2005 Platinum\Proxy.exe
C:\Programme\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\Programme\OnlineCounter 2004\OnlineCounter.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\unzipped\ClonyXXL\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:7212
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINNT\system32\IETie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostSurfDelSatellite] "C:\Programme\GhostSurf 2005 Platinum\DeleteSatellite.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunOnce: [GhostSurfDelSatellite] "C:\Programme\GhostSurf 2005 Platinum\DeleteSatellite.exe" nowait
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Global Startup: GhostSurf proxy.lnk = C:\Programme\GhostSurf 2005 Platinum\Proxy.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

#8 Mimi 68

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINNT\system32\IETie.dll
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\Downloaded Program Files\tbu2\tbupdate.cab
C:\WINNT\Downloaded Program Files\tbu2
C:\WINNT\Downloaded Program Files\tbuC
C:\WINNT\system32\IETie.dll

PC neustarten

•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"

ClearSearch
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075270

SinEspias

loeschen:
C:\WINNT\Downloaded Program Files\tbu2
C:\WINNT\Downloaded Program Files\tbuC

arbeite das bitte ab:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

danke für Deine Hilfe!! Ich konnte mit "Killbox" und Deiner Anweisung die infizierten Dateien loswerden, Norton findet jetzt nichts mehr in dieser Richtung!
Ich mußte zwar etwas probieren und öfter wiederholen, auf einmal hat es nicht gleich geklappt. Ich habe nicht geschafft die Dateien, die Du angegeben hast nacheinander reinzukopieren. wahrscheinlich war es ein Anwendungsfehler von mir!!
Da wäre noch eine Frage: SinEspias ist mir ein Begriff, die Software habe ich mal vor einiger Zeit installiert! Ich habe dann herausgefunden, daß dieses Programm seine eigene Spyware bei mir installiert hat! Danach habe ich es gelöscht, aber anscheinend nicht vollständig!
Hingegen ist mir ClearSearch kein bekannter Begriff, habe oder hatte ich das auf meinem System?
Ich kann in dieser Richtung nix finden, auch die Dateinen die auf der entsprechenden Internetseite zum Löschen angegeben werden, habe ich nicht gefunden!
Ich werde natürlich noch weiter schauen, ob ich noch was finde!
Ich danke Dir noch mal recht herzlich, habe wieder was gelernt!
Ich bewundere die Leute, die anhand eines Scans mit, z.B. Hijackthis, Aufskunft geben können, um was für eine Bedrohung es sich handelt!!

Danke noch mal

Es grüßt Dich Mimi

#10 HALLO AN ALLE!!!
Habe mir bei einer Seite was eingefangen - Sofort danach Systemabsturz.
Bei einem Neustart wurden alle meine Programme gestartet, wie ICQ und andere (Diese haben sich selbständig geöffnet, da bei Autostart rausgenommen). Auch mein Internetzugang (DSL) wurde kurzzeitig geblockt, wegen unerlaubten Kontakt zum Internet!!!!!

Bei HighJackthis ist mir ein Programm aufgefallen, das Ihr in Euren Logs auch habt.

Ausschnitt HighJackthis-Log:
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun

Dieses Programm habe ich selbst nicht installiert und kenne kein derartiges Programm gegen Spyware.

Wer es kennt kann mir schreiben Miche@Jagool.de - Danke

Lösche es jedenfalls jetzt!!! Hatte es in meinen anderen Logs noch nicht!!!

#11 Ich befürchte nur, dass das wiederkommen wird. Bitte poste mal ein komplettes HJT-Log.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser