Spyware

[FachiSi]

Hi,

ich habe mir vor ein paar tagen auf meinem windows2000 pc spyware eingefangen. mit ad-aware und spybot und noch 2 anderen programmen gehts leider nicht weg. es wird immer meine startseite geändert in

http://www.jimbutt.com/stuffs/

das nervt schon gewaltig. hat einer ne lösung wie ich das wegbekomme? ausser 50 € für ne antispyware software auszugeben

[Thanks-and-Goodbye]

Poste mal bitte das Log von HijackThis

http://forum.fachinformatiker.de/showthread.php?t=47862

[FachiSi]

Logfile of HijackThis v1.99.1

Scan saved at 14:20:09, on 26.02.2005

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\WINNT\system32\gearsec.exe

C:\Programme\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINNT\System32\nvsvc32.exe

C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\WINNT\System32\snmp.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\PRISMSTA.EXE

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINNT\SOUNDMAN.EXE

C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe

C:\Programme\FlashFXP\FlashFXP.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 201.6.103.40:6588

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [loader32] C:\Programme\Internet Explorer\IEXPLORE.EXE

O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/265cb9b44f1d4e3fc114/netzip/RdxIE601_de.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINNT\system32\gearsec.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Unknown owner - C:\WINNT\system32\S24EvMon.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

[hades]

Dir fehlen Updates:

- Windows 2000 SP3 ist zu alt: letztes SP ist das SP4

- IE5 ist zu alt: letzte IE-Version ist die 6.00.2800.1106

Besuche http://windowsupdate.microsoft.com und aktualisiere Dein System.

Abgesehen davon, scheint ausser der verbogenen Startseite kein verdaechtiger Prozess/Eintrag zu existieren.

http://www.hijackthis.de/logfiles/2d37a5714828611306420e6ecf7b74e9.html (Link bis 1.3.05 verfuegbar)

[FachiSi]

ok dank euch, hab nun sp4 etc. drauf. aber die startseite mit der spyware ist immer noch da

[marihuana]

hast du mit cwshredder versucht???

:eat:

http://www.chip.de/downloads/c_downloads_11353799.html

[FachiSi]

ja, hab an freeware alles durch.

[FachiSi]

kann keiner helfen???

[Batman_007]

Hallo, versuche doch mal den online virenscanner panda, ist einfach zu bedienen, wenn du nicht weiter kommst helfe ich dir gerne

[Horse]

Hast du irgendwelche Internet Explorer Toolbars installiert?

Gruß

Horse

[cujo]

Dein Logfile zeigt es Dir doch:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/

Hier noch ein paar Tips:

http://www.wintotal.de/Tipps/Eintrag.php?TID=873

Gruß, cujo

[FachiSi]

@horse

als toolbar hab ich nur die googletoolbar installiert.

@cujo

ja das ist klar, das problem ist nur, dass ich das mit den genannten programmen nicht wegbekomme. die startseite ändert sich halt trotzdem immer wieder.

@batman_007

ok dank dir, werd ich zu haus mal testen.

dann werd ich wohl doch wieder opera nutzen müssen wenn das auch nicht klappt.

[cujo]

Hast Du mal versucht, die Einträge für die Startseite des IE manuell zu ändern? Zu finden unter den Schlüsseln:

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

Mach doch mal den Versuch mit regedit(regedt32), um zu überprüfen, ob diese Einstellungen nach einem Reboot wieder geändert werden.

Gruß, cujo

[Schledo]

Da es soweit ich sehe in diesem Thema noch nicht aufgetaucht ist, hast du mal "Spybot - Search & Destroy" versucht? Ist auch ein sehr gutes Freeware-Werkzeug dafür.

[dukester]

vielleicht mal mit FireFox versuchen..

ist zwar keine lösung im eigentlichem sinne, sollte dennoch funktionieren

g,

Duke

[FachiSi]

ja spybot hab ich schon drüberlaufen lassen. findet nix. die restlichen vorschläge werd ich zu haus mal testen und dann hier reinschreiben obs geklappt hat. danke schonmal an alle

[Nasher]

Hoi,

falls du per ISDN oder Modem ins Internet gehst, ausgenommen DSL Modems , könnte es auch sein dass du dir einen Dialer eingefangen hast.

Das mit hartnäckigen Startseitenwechseln auftretende Phänomen kenne ich nämlich von zuhause, dort war auch ein Dialer drauf. Jedenfalls würde ich auch nochmal danach suchen lassen, wenn Adaware & Co schon nix finden konnten !

Nasher

[FachiSi]

ok hab das mit panda und manuell in der registry ändern probiert. blebit leider alles beim alten. muss noch nichtmal rebooten. ist sofort beim nächsten öffnen des ie wieder da.

[FachiSi]

opened port and crazy iexplorer

Every 5-10 min a Microsoft Security window advise myself that the 8080 and 3128 ports are opened and can be used to attack my pc. In adding, the i.explorer is open every 10-20 min, probably by the explorer.exe process, or redirect if already opened to an anty-spy page (http://www.hotoffers.info/warning/danger.html ).

I'd tried every anty-spy program I known and the Sygate Personal Firewall 5.6, without effects.

Someone can help me??

Thank.

hab ich gefunden. genau das is auch mein prob. aber in dem anderen board wissen sie auch keine lösung.

hab mal mozilla firefox installiert und wollte darüber rein, aber nach paar sec. kam auch dort diese meldung

http://www.jimbutt.com/warning/danger.html

[hades]

Das ist das Ergebnis der Startseitenumlenkung. Nicht auf die Popup-Meldung reagieren.

Bitte ueberpruefe auch Deine Proxy-Eintraege.

Denn Dein im Hijackthis-Log verwendeter Proxy ist ein brasilianischer Proxy.

Hast Du nur das SP4 installiert oder auch alle anderen Updates?

Wie aktuell sind die Virenpattern?

Wie aktuell sind Deine eingesetzten Antispyware-Programme?

Probiere es auch mal mit einem Online-Virenscanner.

Auch mal auf Dialer pruefen lassen. (a²)

[FachiSi]

der proxy wird seit ca. 4 monaten nicht mehr verwendet.

ich habe sämtliche updates installiert.

meine virenprogs sind auf dem neuesten stand.

ich habe ca. 5 antispyware programme laufen lassen, alle upgedated.

online virenscanner habe ich probiert (panda).

wie kann ich nach dialern suchen? gehe übrigens über einen router ins netz.

[FachiSi]

dann werd ich wohl mal ne neuinstallation machen müssen, oder weiß noch einer ne lösung???

[dukester]

gehe übrigens über einen router ins netz.

was für ein router?? hardware router wie smc oder t-online??

oder hast du eine zweite karre laufen die das routing macht?? was für ein proxi??

g,

Norbert

[FachiSi]

also ich nutze einen smc barricade router und keinen proxy.

[dukester]

hmm... den smc benutze ich auch, kann also ein fehler von dort ausschließen...

dailer können wir dann eigentlich auch ausschließen.. für mich klingt es immernoch nach fremder agressivem code.. kann mir das eigentlich bei deinen bemühungen mit panda antivir oder adaware nicht wirklich erklären...

das einzige was mir jetzt noch einfällt, währe eine firewall..

die du sowieso trotz barricade router installiert haben solltest..

empfehlen kann ich sygate personal firewall (SPF) musst mal googlenn

die software ist umfangreicher als zonealarm und lässt sich deutlich feiner konfigurieren.. für private user ist die firewall freeware

gute anleitungen giebt es auch..

g,

Norbert