Spybot - Search & Destroy 1.2 läßt sich nicht mehr starten

**tbe** · 28.12.2003, 11:26

Hallo ins Forum, seit kurzem läßt sich mein Spybot - Search & Destroy 1.2 nicht mehr starten.
Virenscanner erkennt nichts, Pestpatrol findet auch nichts, Ad- aware 6 hat wenige Malware gefunden, welche ich in Quaratäne geschickt habe.
Nach der De & Neuinstallation des Spybot - Search & Destroy erscheint es etwa eine 1/2 sek in der Taskleiste und verschwindet wieder unausgeführt.

Als System habe ich WinXP und als evtl.weitere scädliche Programme IE 6.0, FlashGet, UltimateZip.

Viellecht kann mir jemand von Euch helfen. Danke schon mal im Vorraus.

Thomas

NEONeo · 28.12.2003, 12:01

Ich würde die Registry nach der Deinstallation mal säubern.

Und Spybot neu aufsetzen..
Eventuell mit ner PFW das ausführen des Programmes verboten?

Gast · 28.12.2003, 12:17

Original geschrieben von tbe
Virenscanner erkennt nichts

Will nichts heißen, die übersehen manches...

Ad- aware 6 hat wenige Malware gefunden, welche ich in Quaratäne geschickt habe.

Welche genau?

Nach der De & Neuinstallation des Spybot - Search & Destroy

Zwischendurch Neustart? War die Registry von Resten der Installation gesäubert? Existierte das alte Programmverzeichnis noch bei der Neuinstallation?

Man müsste wissen, was alles im Hintergrund läuft. Poste mal einen Scanreport von HijackThis

@NEONeo: Warum um Himmels Willen zitierst du das gesamte Vorposting?

NEONeo · 28.12.2003, 12:23

Original geschrieben von Steele

@NEONeo: Warum um Himmels Willen zitierst du das gesamte Vorposting?

ähm...

Angewohnheit, auch wenn es eine schlechte ist..

**tbe** · 28.12.2003, 12:53

hallo, hatte zwischenzeitlich neugebootet,

hijackthis hat folgendes gefunden :

Logfile of HijackThis v1.97.7
Scan saved at 12:47:38, on 28.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AOL 7.0a\waol.exe
C:\Dokumente und Einstellungen\Thomas.DURON700\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?bzbjr about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys] regedit /s C:\WINDOWS\sys.reg
O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.movieplugin.com/plugin/05...455D534E02.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...843.5496527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{806DE081-384E-4DF9-97D1-735F8446735C}: NameServer = 195.93.67.134
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

**tbe** · 28.12.2003, 13:13

ad -aware hat folgendes ergeben :

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Page%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Search Page
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Page%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d/?%62%7a%62%6a%72 about:blank "
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d/?%62%7a%62%6a%72 about:blank "

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainDefault_Search_URL%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Default_Search_URL
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\SearchSearchAssistant%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d%2d/?%62%7a%62%6a%72"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Search
Wert : SearchAssistant
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d%2d/?%62%7a%62%6a%72"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\SearchCustomizeSearch%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Search
Wert : CustomizeSearch
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet ExplorerSearch%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer
Wert : Search
Daten : "http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%62%7a%62%6a%72"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Page.searchv.com

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://www.searchv.com/search.html"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Search Page
Daten : "http://www.searchv.com/search.html"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Page.searchv.com

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://www.searchv.com/"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "http://www.searchv.com/"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Bar.searchv.com

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "http://www.searchv.com/search.html"
Kategorie : Data Miner
Kommentar : Möglicher Browser-Hijack Versuch
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Search Bar
Daten : "http://www.searchv.com/search.html"

Gast · 28.12.2003, 13:26

Nette Sammlung, die du dir da dank deines IE eingefangen hast.

Alle R0/R1-Einträge fixen lassen.

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [sys] regedit /s C:\WINDOWS\sys.reg

Unbedingt weg damit!

O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab

Fragwürdig.

O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.movieplugin.com/plugin/ ...0455D534E02.exe
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Weg damit!

Es ist durchaus denkbar, dass durch diesen Hijacker Spybot abgeschossen wird oder die REgistry dahingehend manipuliert wurde, dass der Programmstart behindert wird.

**tbe** · 28.12.2003, 14:18

hallo steele, danke für Deine Hilfe und den Tip mit HiJackThis, der explorer scheint jetzt wieder frei zu sein ( makroskopisch ), spybot läuft zwar noch nicht, versuche es mit einem neuen download und werde mich an einen alternativen browser herantasten.

danke nochmals

Gast · 28.12.2003, 15:10

Noch etwas, das entfernt werden sollte:

O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe

Mainboard	Pc Chips W 32
Prozessor	AMD Sempron 3000+
Grafikkarte	nVIDEA GeForce 6200 AGP ohne Lüfter
RAM	2048 DDR
Festplatte(n)	Samsung SATA HD321KJ 320GB -Seagate IDE Barracuda 250 GB ST3252620
Andere Laufwerke	Flobby intern LG DVD-RW intern Lite-On CD-RW
Netzteil (inkl. Spannungswerte)	550 W super silent
Soundkarte	Stlab 6 Kanal 5:1 Avance Logic 4000
Betriebssystem	WinXP Home, SP 2 aktuell
AV-Software	AntiVir
Firewall	ZoneAlarm
System-/Optimierungstools	Hdd 3 x Maxtor 320 GB extern
Art des Internetzugangs	DSL-6000
Router/Modem	FritzBox 7170
Monitor	Phillips 21 " Röhre

Mainboard	Pc Chips W 32
Prozessor	AMD Sempron 3000+
Grafikkarte	nVIDEA GeForce 6200 AGP ohne Lüfter
RAM	2048 DDR
Festplatte(n)	Samsung SATA HD321KJ 320GB -Seagate IDE Barracuda 250 GB ST3252620
Andere Laufwerke	Flobby intern LG DVD-RW intern Lite-On CD-RW
Netzteil (inkl. Spannungswerte)	550 W super silent
Soundkarte	Stlab 6 Kanal 5:1 Avance Logic 4000
Betriebssystem	WinXP Home, SP 2 aktuell
AV-Software	AntiVir
Firewall	ZoneAlarm
System-/Optimierungstools	Hdd 3 x Maxtor 320 GB extern
Art des Internetzugangs	DSL-6000
Router/Modem	FritzBox 7170
Monitor	Phillips 21 " Röhre

Mainboard	Pc Chips W 32
Prozessor	AMD Sempron 3000+
Grafikkarte	nVIDEA GeForce 6200 AGP ohne Lüfter
RAM	2048 DDR
Festplatte(n)	Samsung SATA HD321KJ 320GB -Seagate IDE Barracuda 250 GB ST3252620
Andere Laufwerke	Flobby intern LG DVD-RW intern Lite-On CD-RW
Netzteil (inkl. Spannungswerte)	550 W super silent
Soundkarte	Stlab 6 Kanal 5:1 Avance Logic 4000
Betriebssystem	WinXP Home, SP 2 aktuell
AV-Software	AntiVir
Firewall	ZoneAlarm
System-/Optimierungstools	Hdd 3 x Maxtor 320 GB extern
Art des Internetzugangs	DSL-6000
Router/Modem	FritzBox 7170
Monitor	Phillips 21 " Röhre

Mainboard	Pc Chips W 32
Prozessor	AMD Sempron 3000+
Grafikkarte	nVIDEA GeForce 6200 AGP ohne Lüfter
RAM	2048 DDR
Festplatte(n)	Samsung SATA HD321KJ 320GB -Seagate IDE Barracuda 250 GB ST3252620
Andere Laufwerke	Flobby intern LG DVD-RW intern Lite-On CD-RW
Netzteil (inkl. Spannungswerte)	550 W super silent
Soundkarte	Stlab 6 Kanal 5:1 Avance Logic 4000
Betriebssystem	WinXP Home, SP 2 aktuell
AV-Software	AntiVir
Firewall	ZoneAlarm
System-/Optimierungstools	Hdd 3 x Maxtor 320 GB extern
Art des Internetzugangs	DSL-6000
Router/Modem	FritzBox 7170
Monitor	Phillips 21 " Röhre

Thema: Spybot - Search & Destroy 1.2 läßt sich nicht mehr starten

Themen-Optionen

Thema bewerten

Anzeige

Spybot - Search & Destroy 1.2 läßt sich nicht mehr starten

Lesezeichen

Lesezeichen

Berechtigungen