Spyware

20.10.2005, 16:04

Hi
Als ich letztens mal seit langen den IE geöffnet habe kam diese unerfreulich Meldung "Detected Spyware, Sytme error #384 ".
Ich benutze den IE nicht sondern Firefox, aber diese meldung hat mich doch stutzig gemacht. Ich hab auch ein antispyware programm suchen lassen es hat auch was gefunden:
CommenName
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\browser helper objects\{00000000-0000-0000-0000-000000000000}

Ich habe diese Datei zwar gelöscht aber wenn ich das antispayware programm wieder suchen lasse, nachdem ich die Datei gelöscht hab, sagt es mir wieder das ich mit dieser Datei infiziert bin.

Ich habe auch ein Hijackthis protokoll gemacht habe aber kein Ahnung was ich damit anfangen soll oder wie dort etwas erkennen soll.

Logfile of HijackThis v1.99.1
Scan saved at 16:46:46, on 20.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\CTsvcCDA.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\Mixer.exe
E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\WINDOWS\System32\RunDll32.exe
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
E:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
E:\Programme\iPod\bin\iPodService.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Creative\MediaSource\RemoteControl\RC Man.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
E:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Xfire\Xfire.exe
C:\Teamspeak2_RC2\server_windows.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Dokumente und Einstellungen\Simon\Desktop\hijackthis\HijackThis. exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local.,

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: E:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - E:\WINDOWS\system32\st3.dll
O2 - BHO: E:\WINDOWS\q9249078.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - E:\WINDOWS\q9249078.dll
O2 - BHO: E:\WINDOWS\adsldpbc.dll - {8EB7F2E8-9B40-4875-87B2-EDEF5DE0287B} - E:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - E:\WINDOWS\system32\prflbmsgp32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] E:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [winupdates] E:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [stnospy] E:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RC Man.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: st3 - E:\WINDOWS\system32\st3.dll
O20 - Winlogon Notify: style32 - E:\WINDOWS\q9249078.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

Was soll ich tun Windows noch mal neu installieren oder kann man das Problem auch irgentwie anders beheben??
Ich würde mich freuen wenn mir jemand weiter helfen kann.

mfg
Andrej

20.10.2005, 16:37

neuinstallation ist immer die letzte, weil radikalste, lösung. fixe mal folgende einträge:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html - Eventuell Böse
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html - Eventuell Böse
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html - Eventuell Böse
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html - Eventuell Böse
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html - Eventuell Böse
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html - Eventuell Böse
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local., - Eventuell Böse
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) - Böse
O2 - BHO: E:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - E:\WINDOWS\system32\st3.dll - Unbekannt
O2 - BHO: E:\WINDOWS\q9249078.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - E:\WINDOWS\q9249078.dll - Unbekannt
O2 - BHO: E:\WINDOWS\adsldpbc.dll - {8EB7F2E8-9B40-4875-87B2-EDEF5DE0287B} - E:\WINDOWS\adsldpbc.dll - Unbekannt
O2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - E:\WINDOWS\system32\prflbmsgp32.dll - Unbekannt
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor - Unbekannt
O4 - HKLM\..\Run: [winupdates] E:\Programme\winupdates\winupdates.exe /auto - Böse
O4 - HKLM\..\Run: [stnospy] E:\Programme\SinEspias\no-spy.exe /autorun - Unbekannt
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe - Unbekannt
O15 - Trusted Zone: *.coolwebsearch.com - Eventuell Böse
O15 - Trusted Zone: *.searchmeup.com - Böse
O20 - Winlogon Notify: st3 - E:\WINDOWS\system32\st3.dll - Unbekannt
O20 - Winlogon Notify: style32 - E:\WINDOWS\q9249078.dll - Unbekannt
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe - Unbekannt

falls dir die folgenden 3 namen etwas sagen, fixe die entsprechenden einträge nicht!
IDriverT
st3
no-spy.exe

20.10.2005, 22:06

Hallöchen...

nicht so schnell mit dem Fixen ( Löschen )... Du hast da auch einige Einträge erwischt die sicherlich gebraucht werden...

Code:

O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

Sieht mir doch nach einem Eintrag für Soundblaster Audio aus...

Du solltest vor dem Fixen mal dein System mit dem Tool CWShredder untersuchen und bereinigen lassen... Anschließend mit einer aktuellen Version von Ad-aware scannen und die gefundenen Einträge löschen...

Die Links zu den Tools findest du unter: https://www.dirks-computerecke.de/dow...sicherheit.htm

Anschließend ein neues Logfile mit HijackThis erstellen und dann schauen wir mal was übrig geblieben ist...

21.10.2005, 00:22

hallo
danke erst mal für die schnelle Hilfe.
Also ich habe erst mal nichts gefixt und die beiden Programme den Rechner scanen lassen und eine neue hijackthis log gemacht:

Code:

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\System32\CTsvcCDA.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\Mixer.exe
E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\WINDOWS\System32\RunDll32.exe
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
E:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
E:\Programme\iPod\bin\iPodService.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Winamp\winamp.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Microsoft Office\Office\WINWORD.EXE
E:\Dokumente und Einstellungen\Simon\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: E:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - E:\WINDOWS\system32\st3.dll
O2 - BHO: E:\WINDOWS\q9249078.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - E:\WINDOWS\q9249078.dll
O2 - BHO: E:\WINDOWS\adsldpbc.dll - {8EB7F2E8-9B40-4875-87B2-EDEF5DE0287B} - E:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - E:\WINDOWS\system32\prflbmsgp32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] E:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [winupdates] E:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [stnospy] E:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: st3 - E:\WINDOWS\system32\st3.dll
O20 - Winlogon Notify: style32 - E:\WINDOWS\q9249078.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

mfg
Andrej

21.10.2005, 07:03

Hallöchen,

folgende Einträge sollten auf jeden fall gefixt werden meiner Meinung nach:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: E:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - E:\WINDOWS\system32\st3.dll
O2 - BHO: E:\WINDOWS\q9249078.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - E:\WINDOWS\q9249078.dll
O2 - BHO: E:\WINDOWS\adsldpbc.dll - {8EB7F2E8-9B40-4875-87B2-EDEF5DE0287B} - E:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - E:\WINDOWS\system32\prflbmsgp32.dll 
O4 - HKLM\..\Run: [winupdates] E:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [stnospy] E:\Programme\SinEspias\no-spy.exe /autorun 
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe 
O15 - Trusted Zone: *.coolwebsearch.com 
O15 - Trusted Zone: *.searchmeup.com 
O20 - Winlogon Notify: st3 - E:\WINDOWS\system32\st3.dll 
O20 - Winlogon Notify: style32 - E:\WINDOWS\q9249078.dll

Anshcließend den Rechner im abgesicherten Modus starten und die gefixten .dll und .exe Dateien endgültig löschen... Bei der Gelegenheit auch gleich eine Datenträgerbereinigung durchführen.

21.10.2005, 11:55

hallo
so ich hab jetzt die datein gefixt und wenn ich den IE starte kommt nicht mehr die Warnung.
Aber als ich im abgesicherten modus war, hat er mich nicht die dll datein löschen lassen.

Ich hab noch mal ein hijackthis pro gemacht:

Code:

E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\Mixer.exe
E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Programme\QuickTime\qttask.exe
E:\WINDOWS\System32\RunDll32.exe
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
E:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\WINDOWS\System32\CTsvcCDA.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\MsPMSPSv.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\WINDOWS\System32\msiexec.exe
C:\Teamspeak2_RC2\server_windows.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\Simon\Desktop\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] E:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll
O20 - Winlogon Notify: st3 - E:\WINDOWS\system32\st3.dll
O20 - Winlogon Notify: style32 - E:\WINDOWS\q9249078.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

Ich hoffe da ich kein warnung mehr bekomme hat sich das problem gelöst.
Vielen vielen dank für die hilfe.

mfg
Andrej

21.10.2005, 21:55

Hallöchen,

sieht ja nicht schlecht aus. Die beiden O20 Einträge stören mich noch ein wenig, aber wenn keine Probleme mehr auftreten...

Spyware

Spyware

Ähnliche Themen

Spyware

Spyware

Spyware Meldung mit Spyware-Doktor

Spyware?

mit ezula spyware und precisionpop Spyware/Adware verseucht!

Benutzer, die dieses Thema gelesen haben: 0