ICUSurf eingefangen, wie kann ich den Logfile-Empfänger rauskriegen? |
||
---|---|---|
#0
| ||
12.08.2004, 11:37
...neu hier
Beiträge: 2 |
||
|
||
12.08.2004, 13:34
Member
Beiträge: 1095 |
#2
@luzipfer
Führe bitte das durch http://www.rokop-security.de/main/article.php?sid=703 Poste danach einfach mal das HiJackthis Logfile, dann sehen wir weiter. http://hjt.klaffke.de/ Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 12.08.2004 um 13:35 Uhr von paff editiert.
|
|
|
||
13.08.2004, 14:12
...neu hier
Themenstarter Beiträge: 2 |
#3
So, hab alle notwendigen Schritte durchgeführt, und die Logfiles erstellt. Dabei ist mir etwas seltsames aufgefallen. Hab mit SpySweeper von Webroot einen Scan durchgeführt und dabei das gefundene ICUSurf in Quarantäne gestellt. Dann hab ich mal ein Logfile erstellt, ICUSurf wieder aus der Quarantäne geholt und einen dubiosen Unterschied festgestellt. Scheinbar steckt der Teufel in einer von mir original gekauften Software names CrazyTalk.
Hier mal das Logfile ohne ICUSurf : Logfile of HijackThis v1.98.2 Scan saved at 13:05:42, on 13.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Microsoft SQL Server\MSSQL$RECOVERYMANAGER\Binn\sqlservr.exe C:\Lotus\Notes\ntmulti.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp3\winampa.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Optus\FACSys Desktop Client\facsys.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\ProgDVB\ProgDVB.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wisptis.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.nds.at:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe C:\WINDOWS\System32\CrazyTalk.dll,DllServeMediaFile O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: FACSys Desktop Client.lnk = C:\Programme\Optus\FACSys Desktop Client\facsys.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.04.03&http://www.thermaltake.com/3d/xaserIII/xaserIII.html O16 - DPF: {1CC506A7-1B8D-11D4-BDD5-0060977007E0} (CrazyTalk Player) - http://plug-in.reallusion.com/CrazyTalk.cab O16 - DPF: {40608166-199B-11D6-8F02-00E029304C07} (CCActiveView Control) - http://www.comcam.net/cabs/ccactiveview/ccactiveview.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25e7b9ea71e03892c205/netzip/RdxIE601_de.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://192.168.168.12/tsweb/msrdp.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ndsmain O17 - HKLM\Software\..\Telephony: DomainName = ndsmain O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ndsmain ####################################### Hier das Logfile mit ICUSurf (aus der Quarantäne geholt): Logfile of HijackThis v1.98.2 Scan saved at 13:07:33, on 13.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Microsoft SQL Server\MSSQL$RECOVERYMANAGER\Binn\sqlservr.exe C:\Lotus\Notes\ntmulti.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp3\winampa.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Optus\FACSys Desktop Client\facsys.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\ProgDVB\ProgDVB.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wisptis.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.nds.at:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe C:\WINDOWS\System32\CrazyTalk.dll,DllServeMediaFile O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: FACSys Desktop Client.lnk = C:\Programme\Optus\FACSys Desktop Client\facsys.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.04.03&http://www.thermaltake.com/3d/xaserIII/xaserIII.html O16 - DPF: {1CC506A7-1B8D-11D4-BDD5-0060977007E0} (CrazyTalk Player) - http://plug-in.reallusion.com/CrazyTalk.cab O16 - DPF: {40608166-199B-11D6-8F02-00E029304C07} (CCActiveView Control) - http://www.comcam.net/cabs/ccactiveview/ccactiveview.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25e7b9ea71e03892c205/netzip/RdxIE601_de.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://192.168.168.12/tsweb/msrdp.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {b91aedbe-93df-4017-8bb3-f1c300c0ec51} - http://activation.reallusion.com/crazytalk_he/full/setup.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ndsmain O17 - HKLM\Software\..\Telephony: DomainName = ndsmain O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ndsmain ################################## Wenn ich jetzt einen Dateivergleich mache komm ich zu folgenden Ergebniss: Vergleichen der Dateien 1.txt und 2.TXT ***** 1.txt 1: Logfile of HijackThis v1.98.2 2: Scan saved at 13:05:42, on 13.08.2004 3: Platform: Windows XP SP1 (WinNT 5.01.2600) ***** 2.TXT 1: Logfile of HijackThis v1.98.2 2: Scan saved at 13:07:33, on 13.08.2004 3: Platform: Windows XP SP1 (WinNT 5.01.2600) ***** ***** 1.txt 114: nst.cab 115: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ndsmain ***** 2.TXT 114: nst.cab 115: O16 - DPF: {b91aedbe-93df-4017-8bb3-f1c300c0ec51} - http://activation.reallusion.com/crazytalk_he/full/setup.exe 116: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ndsmain Jetzt versteh ich die Welt nicht mehr Dieser Beitrag wurde am 13.08.2004 um 14:14 Uhr von Luzipfer editiert.
|
|
|
||
13.08.2004, 14:33
Ehrenmitglied
Beiträge: 29434 |
#4
he first element is the PC client. The PC client is a small software package and installed onto your home PC. The second element is the web-enabled control panel. It resides in cyber-space and can be accessed via any standard Internet browser, WAP-enabled mobile phone or PALM VII wireless handheld.
The PC clients purpose is to silently run in the background and monitor all of the Internet activity transpiring on your PC !!!!!!!!!An E-MAIL report, summarizing the weeks activity, is automatically sent to you. This acts as a reminder that ICUSurf is always working hard for you.!!!!!!!!!!! Company Name: ICUSurf, LLC Information URL: http://www.icusurf.com/ E-Mail: info@ICUSurf.com Phone: +1-919 361 0519 Contact Details: CISTULLI, STEVEN stevec@icusurf.com 30 Creeks Edge Court DURHAM, NC 27713 US Full Name: ICU Surf Websearch Type: Commercial Keylogger Also Known as: ICUSurf Created by: ICUSurf, LLC http://www.spywareguide.com/product_show.php?id=359 ................................................................................................................................ Records web surfing, e-mail login attempts, chat room conversations and newsgroups sessions. Category: Key Logger: (Keystroke Logger). A program that runs in the background, recording all the keystrokes. Once keystrokes are logged, they are hidden in the machine for later retrieval, or shipped raw to the attacker. The attacker then peruses them carefully in the hopes of either finding passwords, or possibly other useful information that could be used to compromise the system or be used in a social engineering attack. For example, a key logger will reveal the contents of all e-mail composed by the user. Keylog programs are commonly included in rootkits and RATs (remote administration trojans). Surveillance: Any software designed to use a webcam microphone screen capture or other approaches to monitor and capture information. Some such software will transmit this captured information to a remote source. See also Key Logger. http://www.pestpatrol.com/pestinfo/i/icu_surf.asp mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.08.2004 um 14:57 Uhr von Sabina editiert.
|
|
|
||
13.08.2004, 14:43
Member
Beiträge: 1095 |
#5
@luzipher
Also die O16 sind ActiveX Objekte die im IE geladen werden. Das bedeutet per se nicht das diese schlecht sind. Deutung der HiJackThis Einträge http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html#o16 Auch wenn manche "Spysweeper" das ICUsurf als böse meldet muß das nicht unbedingt so sein. Manche Softwarehersteller binden sowas wie ICUSurf in ihre Software ein. Ob man das "moralisch" vertreten kann muß man selber entscheiden. Ich würde mich jetzt erstmal über ICUSurf und CazyTalk informieren Vielleicht steht ja in den Allg geschäftsbedingungen von CrazySurf das irgendwas mitinstalliert wird. Mit irgendwas müssen die ja ihr Geld verdienen Link zu ICUSurf http://www.icusurf.com/ __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
13.08.2004, 14:58
Ehrenmitglied
Beiträge: 29434 |
#6
#Es koennte auch in der Webcam oder im Programm <HiDownload<stecken.
Verfolge mal den Pfad des Keyloggers mit Spysweeper, da findest du es raus. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.08.2004 um 15:04 Uhr von Sabina editiert.
|
|
|
||
Google sei Dank bin ich hier gelandet. Schön das es noch sowas wie eine Insel der Wissenden gibt
Hab mir lt SpySweeper einen Spy namens ICUSurf eingefangen. Dieses Teil schickt scheinbar regelmässig Logfiles an eine im Client konfigurierte Email Adresse. Hat jemand eine Idee wie ich diese rausfinden kann damit ich weiß wer mich da nicht leiden kann?
lg
Luzi