Spyware ... geht nicht weg!
 

Ich hab mir durch irgendwas Spyware reingehauen.

Ich kann mich nocht an/abmelden, aber Desktop und alles andere reagieren nicht, ich hab nur den TaskManager zur Verfügung.

Sobald ich mich anmelde hab ich ca. 5 Sekunden Zeit bis gar nix mehr reagiert und in diesen 5 Sekunden hab ich versucht versucht allmöglichen Programme zu starten ... Internet kann ich ya soweit auch nutzen, ich muss es halt nur zum starten bringen.

SpyTrooper,SpyBot, XoftSpy ... alles hab ich schon versucht und ich hab schon weniger Spyware, aber trotzdem geht da nichts mehr.

Ich hab Ad-Aware und kann auch updaten/scannen, aber am Ende des Scans oder wenn ich auf Stop Scan klicke, reagiert das System gar nicht mehr. Wie kann ich das umgehen damit Ad-Aware die Spyware löschen kann!?

Abgesicherter Modus ... hab ich auch alles hinter mir, ich komm einfach nicht weiter.

BITTE HELFEN!!!

Hallo erstmal...!

Erstelle im abgesicherten Modus ein HiJackThis Log-File und die Virus Log Information von eScan AntiVirus. Poste uns die beiden Log-Files zur Durchsicht.
Beachte die Hinweise!

Muss der Log im Abgesicherten Modus sein!?

Reicht der HiJack Log oder brauch ich den eScan auch noch, weil eScan erscheint mir sehr komplitziert ... ich danke für die Antwort!

Logfile of HijackThis v1.99.1
Scan saved at 23:46:55, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\WinRAR\WinRAR.exe
C:\PROGRA~1\FIREFOX\FIREFOX.EXE
C:\DOKUME~1\PLAYAH~1\LOKALE~1\Temp\Rar$EX00.045\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http|medion.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Playah Style
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpB47C.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - medionshop (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=medion.de
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenge/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{623A2255-0490-4795-8132-44EF5C1142AC}: NameServer = 192.168.2.1
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
O20 - Winlogon Notify: st3i - C:\WINDOWS\q38739945.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

@Playit
du hast einiges im system,
scanne dein system mit escan nach diese anleitung
http://www.trojaner-board.de/showthread.php?t=17492


chaosman

Okay, werd ich machen, aber wieder eine Frage dazu:

1. Deaktiviere die Systemwiederherstellung [3] und wechsle anschliessend in den abgesicherten Modus.

Muss das sein!? Wenn ya, den Abgesicherte Modus kann ich einstellen, aber das mit der Systemwiederherstellung wird schwierig ... bitte Antwort!

PS. Bin dabei eScan ...

Da wir uns zunächst nur auf die Analyse beschränken, kannst du die Systemwiederherstellung aussen vor lassen.

btw:
Wenn du ein Zitat einfügst, dann kennzeichne das Quote auch als solches. ;)