1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Spybot - Search & Destroy 1.2 läßt sich nicht mehr starten

Discussion in 'Sicherheit' started by tbe, Dec 28, 2003.

Thread Status:
Not open for further replies.
  1. tbe

    tbe Byte

    Hallo ins Forum, seit kurzem läßt sich mein Spybot - Search & Destroy 1.2 nicht mehr starten.
    Virenscanner erkennt nichts, Pestpatrol findet auch nichts, Ad- aware 6 hat wenige Malware gefunden, welche ich in Quaratäne geschickt habe.
    Nach der De & Neuinstallation des Spybot - Search & Destroy erscheint es etwa eine 1/2 sek in der Taskleiste und verschwindet wieder unausgeführt.

    Als System habe ich WinXP und als evtl.weitere scädliche Programme IE 6.0, FlashGet, UltimateZip.

    Viellecht kann mir jemand von Euch helfen. Danke schon mal im Vorraus.

    Thomas
     
    tbe, Dec 28, 2003
    #1
  2. mschuetzda

    mschuetzda Megabyte

    mschuetzda, Dec 28, 2003
    #2
  3. Gast

    Gast Guest

    Noch etwas, das entfernt werden sollte:

    O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
     
    Gast, Dec 28, 2003
    #3
  4. tbe

    tbe Byte

    hallo steele, danke für Deine Hilfe und den Tip mit HiJackThis, der explorer scheint jetzt wieder frei zu sein ( makroskopisch ), spybot läuft zwar noch nicht, versuche es mit einem neuen download und werde mich an einen alternativen browser herantasten.

    danke nochmals
     
    tbe, Dec 28, 2003
    #4
  5. Gast

    Gast Guest

    Nette Sammlung, die du dir da dank deines IE eingefangen hast.

    Alle R0/R1-Einträge fixen lassen.

    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [sys] regedit /s C:\WINDOWS\sys.reg

    Unbedingt weg damit!

    O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab

    Fragwürdig.

    O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.movieplugin.com/plugin/ ...0455D534E02.exe
    O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

    Weg damit!

    Es ist durchaus denkbar, dass durch diesen Hijacker Spybot abgeschossen wird oder die REgistry dahingehend manipuliert wurde, dass der Programmstart behindert wird.
     
    Gast, Dec 28, 2003
    #5
  6. tbe

    tbe Byte

    ad -aware hat folgendes ergeben :

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Page%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_LOCAL_MACHINE
    Objekt : Software\Microsoft\Internet Explorer\Main
    Wert : Search Page
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Page%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d/?%62%7a%62%6a%72 about:blank "
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_LOCAL_MACHINE
    Objekt : Software\Microsoft\Internet Explorer\Main
    Wert : Start Page
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d/?%62%7a%62%6a%72 about:blank "

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainDefault_Search_URL%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_LOCAL_MACHINE
    Objekt : Software\Microsoft\Internet Explorer\Main
    Wert : Default_Search_URL
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\SearchSearchAssistant%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d%2d/?%62%7a%62%6a%72"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_LOCAL_MACHINE
    Objekt : Software\Microsoft\Internet Explorer\Search
    Wert : SearchAssistant
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d%2d/?%62%7a%62%6a%72"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\SearchCustomizeSearch%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_LOCAL_MACHINE
    Objekt : Software\Microsoft\Internet Explorer\Search
    Wert : CustomizeSearch
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet ExplorerSearch%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_LOCAL_MACHINE
    Objekt : Software\Microsoft\Internet Explorer
    Wert : Search
    Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Page.searchv.com

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://www.searchv.com/search.html"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_CURRENT_USER
    Objekt : Software\Microsoft\Internet Explorer\Main
    Wert : Search Page
    Daten : "http://www.searchv.com/search.html"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Page.searchv.com

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://www.searchv.com/"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_CURRENT_USER
    Objekt : Software\Microsoft\Internet Explorer\Main
    Wert : Start Page
    Daten : "http://www.searchv.com/"

    Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Bar.searchv.com

    Possible Browser Hijack attempt Objekt identifiziert!
    Typ : Reg.Daten
    Daten : "http://www.searchv.com/search.html"
    Kategorie : Data Miner
    Kommentar : Möglicher Browser-Hijack Versuch
    Rootkey : HKEY_CURRENT_USER
    Objekt : Software\Microsoft\Internet Explorer\Main
    Wert : Search Bar
    Daten : "http://www.searchv.com/search.html"
     
    tbe, Dec 28, 2003
    #6
  7. tbe

    tbe Byte

    hallo, hatte zwischenzeitlich neugebootet,

    hijackthis hat folgendes gefunden :

    Logfile of HijackThis v1.97.7
    Scan saved at 12:47:38, on 28.12.2003
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\AOL 7.0a\waol.exe
    C:\Dokumente und Einstellungen\Thomas.DURON700\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchv.com/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?bzbjr about:blank (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?bzbjr (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?bzbjr (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = 0
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
    O1 - Hosts: 205.177.124.66 auto.search.msn.com
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [sys] regedit /s C:\WINDOWS\sys.reg
    O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
    O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
    O9 - Extra button: Yahoo! Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
    O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.movieplugin.com/plugin/0...C0843455E0C4A5A584D181B43574000455D534E02.exe
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
    O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
    O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37843.5496527778
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{806DE081-384E-4DF9-97D1-735F8446735C}: NameServer = 195.93.67.134
    O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
     
    tbe, Dec 28, 2003
    #7
  8. NEONeo

    NEONeo Guest

    ähm...

    Angewohnheit, auch wenn es eine schlechte ist..
     
    NEONeo, Dec 28, 2003
    #8
  9. Gast

    Gast Guest

    Will nichts heißen, die übersehen manches...
    Welche genau?
    Zwischendurch Neustart? War die Registry von Resten der Installation gesäubert? Existierte das alte Programmverzeichnis noch bei der Neuinstallation?

    Man müsste wissen, was alles im Hintergrund läuft. Poste mal einen Scanreport von HijackThis

    @NEONeo: Warum um Himmels Willen zitierst du das gesamte Vorposting?
     
    Gast, Dec 28, 2003
    #9
  10. NEONeo

    NEONeo Guest

    Ich würde die Registry nach der Deinstallation mal säubern.

    Und Spybot neu aufsetzen..
    Eventuell mit ner PFW das ausführen des Programmes verboten?
     
    NEONeo, Dec 28, 2003
    #10
Thread Status:
Not open for further replies.

Share This Page