Scheiß Spyware Etc.
#1
geschrieben 01. Mai 2005 - 10:05
ich habe gestern meinen rechner neu formartiert und winxp neu druaf gespielt
nach dem auch mein internet und so alles ging, habe ich einen haufen spyware und wie das alles heißt drauf
mein ad-ware findet bei jedem durchlauf gut neue sachen
und mein spybot search&destroy findet auch sachen, sagt aber als, das er sie nicht löschen kann, weil die irgendwie im speicher noch sind, selbst nach nem neu start, sind die noch drin.
was gibs denn noch, das ich entlich mal die ganze scheiße vom rechner bekomme?
über hilfr würde ich mich freuen.
mfg
Anzeige
#2
geschrieben 01. Mai 2005 - 10:08
Lade dir von
www.hijackthis.de das Prog Hijackthis runter, und erstelle damit LOG
Das Postest du dann wieder hier, und dann sehen wir weiter
Dieser Beitrag wurde von Flo01 bearbeitet: 01. Mai 2005 - 10:09
#3
geschrieben 01. Mai 2005 - 10:14
#5
geschrieben 01. Mai 2005 - 10:16
Scan saved at 11:13:01, on 01.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\pah.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\seeve.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\Programme\Winamp\winampa.exe
C:\DOKUME~1\ANSCHW~1\LOKALE~1\Temp\MirarSetup.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\SinEspias\No-Spy.exe
C:\hackjis\HijackThis.exe
C:\DOKUME~1\ANSCHW~1\LOKALE~1\Temp\Upgrader3.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [System Services] pah.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitexxc32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToolbarInstall] C:\DOKUME~1\ANSCHW~1\LOKALE~1\Temp\MirarSetup.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\RunServices: [System Services] pah.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Services] pah.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {886D0EE4-DECB-49D5-AF5A-C6E35F416AC7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {886D0EE4-DECB-49D5-AF5A-C6E35F416AC7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://198.88.20.155/targ.chm::/win32.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E823EC-E371-4D8D-93EF-241DAB32A93D}: NameServer = 217.237.149.161 217.237.151.225
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
#6
geschrieben 01. Mai 2005 - 10:28
Zu der Spyware: Du hast nach jedem Neustart wieder die selbe Spyware drauf ? Hast du mal nach Browser Hijacker geguckt ? macht sich das bei dir irgendwie bemerkbar ? PC Auslastung ? Startseite beim Browser nicht mehr veränderbar ? Immer die gleichen Pop up Werbung ?
Ach hast du vielleicht auch mal deinen Autostartordner gecheckt ? Ob da was ungewöhnliches drin steht ?
Du sagtest du hast Spybot installiert. Da gibts wenn du reingehst unter Werkzeuge und Autostart eine genau Auflistung der Programme die beim Pc gestartet werden würde ich auch mal checken !!
#7
geschrieben 01. Mai 2005 - 10:32
das bekommst du hier
http://www.trojaner-...ker/escan.shtml
beachte die anleitung!
scanne den PC im abgesicherten modus
Wichtig Aktiviere Scan all Files und Scan all local Drives
das ergebnis poste wieder hier
Ich vermute dieses hier ist maleware
C:\WINDOWS\System32\pah.exe
#8
geschrieben 01. Mai 2005 - 10:38
altes Java ^^
Also bei mir is das so, dass ich ohne SP2 nicht mehr sicher ins Internet kann. Es kommt nur Kacke aufn Rechner das du gleich wieder formatieren kannst.
Mein Tip:
Erstell dir mit nLite oder dem ISO Maker ein WinXP mit integriertem SP2!
Solltest du mit SP1 anfangen wollen und gleich ins Internet gehen, lad dir von nem sicheren Rechner ZoneAlarm Firewall runter, brenn auf CD oder USB Stick und installier sie und stell sie richtig ein, bevor du ins Net gehst. Bei mir hilft das.
Noch ein gutes Anti Spyware Prog is Spyware Blaster! Gibts auf http://www.javacools...areblaster.html
GL & HF
8GB A-DATA DDR2-800 @ 4-4-4-12 2T | Gainward HD4870 "Golden Sample" 1024MB
320GB Samsung SpinPoint F1 HD322HJ | Creative X-Fi Xtreme Gamer | LG GH-22LS DVD-Brenner
Enermax MODU82+ 525W | Samsung SyncMaster 2253BW 22" 2ms | Windows Vista Home Premium 64Bit SP1
http://www.sysProfile.de/id86709
#9
geschrieben 01. Mai 2005 - 12:12
mal gucken
also ich ahbe jetzt sicherheitsupdates gmeacht, lade mir gerade das sevicepack 2 runter.
aber zonealarm ist dumm, ich aheb das security center von macaffee, also virus und firewall, und bin hinter dem t-sinus 154 dsl router,
ich hatte die probleme vorher nie, bis auf gestern heute, bei der neu formatierung.
ich habe jetzt ad-aware, spybot search&destroy und spysweeper durchlaufen lassen, aber irgendwie bleiben immer noch die selben drauf, und spybot sagt, die er sie nicht löschen kann, weil die irgendwie noch im speicher sind, nach nem neustart sollten sie weg sein, aber fehlanzeige
das ist doch alles kacke
#10
geschrieben 01. Mai 2005 - 13:01
8GB A-DATA DDR2-800 @ 4-4-4-12 2T | Gainward HD4870 "Golden Sample" 1024MB
320GB Samsung SpinPoint F1 HD322HJ | Creative X-Fi Xtreme Gamer | LG GH-22LS DVD-Brenner
Enermax MODU82+ 525W | Samsung SyncMaster 2253BW 22" 2ms | Windows Vista Home Premium 64Bit SP1
http://www.sysProfile.de/id86709
#11
geschrieben 01. Mai 2005 - 17:29
Zitat
Die PFW von McAfee ist genauso dumm, das lesen, außerdem das und das.
Dieser Beitrag wurde von Graumagier bearbeitet: 01. Mai 2005 - 17:30
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#12
geschrieben 01. Mai 2005 - 18:25
Nachdem dann wohl keiner richtig was damit anzufangen wusste, soll er doch bitte nochmal (!) ins Netz und sich noch ein anderes Tool runterladen und es damit "mal probieren".
Wie oft kommt dieses Spiel noch? Was soll das denn? Hinhalten, bis er's von alleine aufgibt und neu partitioniert?
Wenn schon, dann bitte so:
Da es jetzt eventuell eh schon zu spät ist und noch nicht viele Installationen gelaufen sind: Wenn schon ins Netz, und wenn kein anderer Rechner zur Verfügung steht, dann nur noch
WinXP SP2: http://windowsupdate.microsoft.com/
optional http://www.free-av.d.../allinoned.html
optional http://vil.nai.com/vil/stinger/
optional http://www.spybot.info/de/index.html
...und alles auf ne andere Partition, USB-Stick o.ä. Auf keinen Fall dauernd wieder ins Netz und noch mehr Würmer nachladen oder Dateien und Passwörter durch die Gegend schicken!
Dann mittels XP-CD Bootpartition löschen, dieselbige neu formatieren und XP neu installieren. Dann erst SP2 drauf und ne Antivirus-Software. Dann, falls entsprechendes Knowhow besteht, die Dienste konfigurieren / XP sicher machen.
Alles andere ist Zeitverschwendung und stümperhaftes Herumprobieren.
Dieser Beitrag wurde von Rudi99 bearbeitet: 01. Mai 2005 - 18:32
#13
geschrieben 01. Mai 2005 - 19:05
Hallo?
solange nicht bekannt ist um welche art von Maleware es sich handelt kann man auch nicht sagen was man machen soll! Und man weiß immer gerna um was es sich handelt, kann ja auch was neues sein!
und zum Thema Hijackthis selbst auswerten: Was galubst du hätte ihm das gebracht?
Dieser Beitrag wurde von Flo01 bearbeitet: 01. Mai 2005 - 19:09
#14
geschrieben 01. Mai 2005 - 19:13
Zitat
Im Netz ist im Netz. Dabei macht es keinen Unterschied, auf welcher Seite er sich befindet.
Zitat
optional http://www.free-av.d.../allinoned.html
optional http://vil.nai.com/vil/stinger/
optional http://www.spybot.info/de/index.html
Wieso? Wie du schon richtig sagt, sollte er sich bei einer Kompromittierung aus dem Netz fernhalten. Dann solltest du aber auch wissen, dass herumdoktern mit den von dir genannten Tools in diesem Fall nicht mehr viel bringt.
Zitat
Dumm.
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#15
geschrieben 01. Mai 2005 - 19:19
Zitat
WinXP SP2: http://windowsupdate.microsoft.com/
optional http://www.free-av.d.../allinoned.html
optional http://vil.nai.com/vil/stinger/
optional http://www.spybot.info/de/index.html
...und alles auf ne andere Partition, USB-Stick o.ä. Auf keinen Fall dauernd wieder ins Netz und noch mehr Würmer nachladen oder Dateien und Passwörter durch die Gegend schi
Kann mich meinem Vorredner nur anschließen, ist der Rechner infiziert, hilft nur formatieren. Dann sind die von dir genannten Tools aber sinnlos, und können bestenfalls später zur Vorbeugung genutzt werden. Dateien verschieben ist auch sinnlos, da man wahrscheinlich infizierte dateien auf den USB Stick etc schiebt und spätestens beim Wiedereinspielen dieser Backups ist der Rechner wieder infiziert.