Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Spyware-Problem (?) / Hijack Log-File

Kämpfe seit Wochen mit meinem Internet Explorer. Mein Nachbar meinte, ich hätte ein SpyWare-Problem.
Hab Spybot, Spywareblaster,CW-Shredder und HijackThis laufen lassen. Das LogFile von letzterem poste ich hier in der Hoffnung, dass mir jemand helfen kann.

Danke!



Logfile of HijackThis v1.99.1
Scan saved at 23:10:59, on 19.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Xpoint\xpadmin\xpadmin.exe
C:\PROGRA~1\Xpoint\agent\Xpagent.exe
C:\PROGRA~1\Xpoint\EEClient\xpclient.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\Xpoint\SAS\jre\bin\javaw.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\Programme\Xpoint\PE\Skin\rrpcsb.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Xpoint\PE\pcrecsa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kai.PC01\Desktop\Julia\cwshredder.exe
C:\Dokumente und Einstellungen\Kai.PC01\Desktop\Julia\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R3 - URLSearchHook: (no name) - {422128D7-0FFD-B378-D5B7-C6A29A4DA2B0} - dePloy.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [Rapid Restore] C:\Programme\Xpoint\PE\Skin\rrpcsb.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Kopie 1)" /O6 "USB002" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SYSTRAV] RtlFindVal.exe
O4 - HKLM\..\Run: [NukeSpan] xwiz.exe
O4 - HKLM\..\Run: [dmewb.exe] C:\WINDOWS\system32\dmewb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Kargo] ssweeper.exe
O4 - HKCU\..\Run: [gabber] MSTCPDLL.exe
O4 - HKCU\..\Run: [killall] uio.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11210.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136564956593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136564943109
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/fotoalbum/activex/upload_1125.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.power-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED3E4960-7E8A-402F-A922-1E20EBC0B88A}: NameServer = 85.255.114.20,85.255.112.175
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Xpoint PCRadmin Server (PCRadminServer) - Unknown owner - C:\PROGRA~1\Xpoint\PE\pcradmin.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: Xpoint Admin Server (XPadminServer) - Unknown owner - C:\PROGRA~1\Xpoint\xpadmin\xpadmin.exe
O23 - Service: Xpoint Agent Server (xpAgentServer) - Unknown owner - C:\PROGRA~1\Xpoint\agent\Xpagent.exe



Antworten zu Spyware-Problem (?) / Hijack Log-File:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sag bitte - warum prüfst Du das nicht selbst? Einfach in das dort:
http://www.hijackthis.de/
erscheinende Fenster einkopieren und aud > Auswerten gehen.
Es sind einige unbekannte und auch vermutlich böse Prozesse, die gefixt werden sollten.
Jürgen

Hi Jürgen!

Danke für den Tipp.

Hab ich gemacht, hört sich einiges ziemlich blöd an, aber was muss ich dann weiter machen???  ???

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Du erzeugst Dir noch einmal mittels hijackthis dieses Logfile und läßt es auswerten.
Du kannst da einige Fragezeichen und auch Ausrufezeichen erkennen. Zum Beispiel dieses:

R3 - URLSearchHook: (no name) - {422128D7-0FFD-B378-D5B7-C6A29A4DA2B0} - dePloy.dll (file missing)

Nun prüfst Du, ob der Name auf der linken Seite einem Dir bekannten, von Dir gestarteten Prozess angehört. Wenn nicht, suchst Du den gleichen Eintrag in der erzeugten Datei - da ist ganz links ein leeres Kästchen. Da machst Du einen Haken rein.
Die mit einem Ausrufezeichen versehenen Einträge sind sowieso "bös" und zu löschen (= zu "fixen") - dieser zum Beispiel:

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

Hast Du nun alles geprüft und markiert, gehst Du auf den Button "Fix checked" und klickst - weg sind diese Prozesse.
Bitteschön - Du solltest Dir allerdings im Klaren sein, das dieser Check nur ein oberflächlicher Test ist und das Fixen keinesfalls eine Gewähr, das der PC frei von Schadprogrammen ist. Niemand -nicht einmal Billysoft- kann sich rühmen, einen mit Schadprogrammen befallenen PC restlos sauber bekommen zu haben. Die verbliebenen Einträge im System und in der Registry als "gefahrlos" einzustufen, das schafft nur ein Spitzenkönner - mir und auch Microsoft selbst ist ein Solcher noch nicht begegnet.
Ein sauberes System mit einer funktionierenden Schadensabwehr - sprich laufend aktualisierten AntiVir und als allerwichtigstes eine Selbstkontrolle des Surf- Download- und Mailverhaltens. Letzteres, also die Überprüfung Deines Internet- Verhaltens, das ist das Allerwichtigste - kein Tool nimmt Dir das Denken ab. Auch wenn die Händler dies vollmundig verkünden.
Meine (sehr unpopuläre) Empfehlung ist in diesem Falle immer wieder:
- Daten retten und prüfen
- Festplatte formatieren und neu installieren
- intelligent installieren, mit einer mit SP2 und allen aktuellen Sicherheitspatches slipgestreamten XP- CD und mit strikter Trennung Betriebssystem - Programme - Dateien.
- unmittelbar nach der Installation des Betriebssystems, dessen Aktivierung durch Billysoft  und  der Treiber für die Hardware ein Image erstellen.
Dazu kann man Dir hier weiterhin Hilfe geben.
Jürgen

Hallo Jule,

neben dem HijackThis-Log solltest du dein Problem
auch mit dieser Hilfe versuchen zu lösen:

Lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Panda vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.

Hier noch ein Link zu einer Beschreibung für das HijackThis Tool:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873


« W32/Sdbot.worm.gen.h und Trojan.Downloaderäußerst lahmer pc »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Internet ist ein zusammengesetztes Wort aus International Network. Dieses globale digitale Netzwerk verknüpft hauptsächlich Rechner in Forschungszentren, aber a...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...