Problem mit Spyware

08.07.2008, 15:07

Schönen guten Tag.
Ich habe wie viele andere scheinbar ein Problem mit Spyware! Hatte noch nie damit zu tun, aber heute öffnete sich plötzlich beim Aufruf von Firefox ein neues Firefox-Fenster, das mir mitteilte, dass mehrere gefährliche Dateien, spyware, auf meinem PC wären. Habe jetzt spybotsd installiert und alle gefundenen Probleme eliminiert. Zusätzlich habe ich aber noch mit HijackThis ein Logfile erstellt. Nun wüsste ich gern, ob da alles in Ordnung ist und was ich nun zu tun habe.

Logfile of HijackThis v1.99.1
Scan saved at 14:56:43, on 08.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\AOL\1161016417\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Eigene Dateien\Private Dokumente\Patrick\Unterhaltung\Tagoria-Lobby\Auto-TG-Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\jochen merz\lokale einstellungen\anwendungsdaten\ysexrcco.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
D:\Eigene Dateien\Private Dokumente\Patrick\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://windowsupdate.microsoft.com/
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Programme\Starware349\bin\Starware349.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll (file missing)
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll (file missing)
O3 - Toolbar: Starware Horoscopes Toolbar - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programme\Starware349\bin\Starware349.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1161016417\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AutoTG-LobbyPatcher] D:\Eigene Dateien\Private Dokumente\Patrick\Unterhaltung\Tagoria-Lobby\Auto-TG-Update.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DW4] "C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - HKCU\..\Run: [ysexrcco] c:\dokumente und einstellungen\jochen merz\lokale einstellungen\anwendungsdaten\ysexrcco.exe ysexrcco
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 2.0\resources\de-DE\local\search.html
O8 - Extra context menu item: &Search - ?p=ZNxmk762YYDE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file:///C:/Programme/AutoCAD%202002/AcDcToday.ocx
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - https://www.studivz.net/lib/photouploade ... loader.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Programme/AutoCAD%202002/InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file:///C:/Programme/AutoCAD%202002/InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file:///C:/Programme/AutoCAD%202002/AcPreview.ocx
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Habe ja bereits gelesen, dass man am besten einen Experten fragt, daher wollte ich hier um Rat fragen. Ich hoffe, ich werde nicht zu viele Umstände bereiten. Ich danke schon im Voraus für die Hilfe!

Grüße, Prime_hunter

08.07.2008, 15:13

Fahr im Abgesicherten Modus hoch (während des Hochfahrens vor dem Windows-Ladebildschirm F8 drücken) und fixe folgende Einträge:

C:\dokumente und einstellungen\jochen merz\lokale einstellungen\anwendungsdaten\ysexrcco.exe
O4 - HKCU\..\Run: [ysexrcco] c:\dokumente und einstellungen\jochen merz\lokale einstellungen\anwendungsdaten\ysexrcco.exe ysexrcco
O8 - Extra context menu item: &Search - ?p=ZNxmk762YYDE

Und schau mal nach, ob du die aktuellen Patches von Windows installiert hast.

08.07.2008, 15:52

Zuerst einmal danke. Wirklich eine sehr schnelle und zuverlässige Hilfe. Zu der Empfehlung, die Patches zu installieren: Das werde ich so bald wie möglich tun, darunter fällt z.B. Service Pack 3 für XP...
Jedenfalls habe ich den PC im abgesicherten Modus hochgefahren, um die Dateien zu fixen. Wenn ich recht verstanden habe, sollte ich nun mit HijackThis die angegeben Einträge fixen. Allerdings werden diese nur im normalen Modus angezeigt, wenn ich mit HijackThis überprüfe. Im abgesicherten Modus kommen sie nicht mehr vor. Bin danach mal selbst auf die Suche nach ysexrcco gegangen und habe den Pfad unter den versteckten Dateien entdeckt. Ich stieß dabei auf ysexrcco.exe, ysexrcco, ysexrcco_navps und ysexrcco_nav. Habe das aber trotzdem nicht manuell gelöscht, da ich mir dachte, dass das nicht reichen wird. Hoffe, es ist nun klar, was mein Problem ist, ich bin da nicht so bewandert

Und darüber hinaus habe ich den ersten der angegeben Einträge nicht wiederfinden können. Is das auch ein O4-Eintrag? Hat mich etwas verwirrt.

Gruß, Prime_hunter

08.07.2008, 16:57

Moin,

Zitat von Prime_hunter

Und darüber hinaus habe ich den ersten der angegeben Einträge nicht wiederfinden können. Is das auch ein O4-Eintrag?

Nein, der ist ganz oben in der Liste, bevor die 0-Nummern anfangen.
Versuche es noch einmal, es wundert mich, dass die im 'abgesicherten Modus' verschwinden. Sonst eben im Normal-Modus fixen. Ich habe noch ein paar dazu gepackt:

C:\dokumente und einstellungen\jochen merz\lokale einstellungen\anwendungsdaten\ysexrcco.exe

O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Programme\Starware349\bin\Starware349.dll (file missing)

O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll (file missing)

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll (file missing)

O3 - Toolbar: Starware Horoscopes Toolbar - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programme\Starware349\bin\Starware349.dll (file missing)

O4 - HKCU\..\Run: [ysexrcco] c:\dokumente und einstellungen\jochen merz\lokale einstellungen\anwendungsdaten\ysexrcco.exe ysexrcco

O8 - Extra context menu item: &Search - ?p=ZNxmk762YYDE

08.07.2008, 17:08

vielen vielen dank^^
Ich glaub, ich habs jetz =)
Hoffentlich fange ich mir jetz nich mehr so viel spyware ein. Dann wünsch ich noch einen schönen Tag. Ich kann dieses Forum definitiv weiterempfehlen, ich bin echt begeistert

Das war schnelle, zuverlässige und verständnisvolle Hilfe.

Großes Lob und viele Grüße, Prime_hunter^^

08.07.2008, 18:21

Moin,
freut uns, wenn's geklappt hat.
Bereinige jetzt auch die Registry:
https://www.dirks-computerecke.de/ccleaner-1.htm
Eine Sache fällt mir noch auf:

C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe

Das ist ja wohl ein ziemlich altes Teil, oder?
Wir sind inzwischen bei der 5.0-Version.
Auch der Acrobat Reader ist veraltet.
Es ist schon nicht ganz unwichtig, ab und zu nach neueren Versionen zu schauen, obwohl es manchmal nur aufgebrezelte Design's sind.
Die WIN-Updates sollten jedoch Pflicht sein.

08.07.2008, 18:27

@schmidtchen: es gibt schon FF 5.0 ? Wo ?

08.07.2008, 19:49

Moin,
@ Q-Max,
na ja, noch nicht ganz, sollte 'ne 3.0 werden.

08.07.2008, 19:58

kleiner Scherz, war ja klar

LG

08.07.2008, 21:41

hab auch 3.0^^

09.07.2008, 08:40

Moin @ Prime_hunter,
ich bin hier drüber gestolpert:

C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe

21.10.2008, 21:55

Der Ordner wurde damals beim Installieren von FF3 nur nich umbenannt, deshalb...^^

Problem mit Spyware

Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Re: Problem mit Spyware

Ähnliche Themen

Spyware

Spyware Meldung mit Spyware-Doktor

mit ezula spyware und precisionpop Spyware/Adware verseucht!

Spyware-Problem (mit Log-File)

Spyware