hijackthis.log --> hab aber keine ahnung was damit anzufangen

#31 also bei ad-aware sind noch folgende drei cookies:

ArchiveData(auto-quarantine- 2004-09-06 23-29-20.bckp)
Referencefile : SE1R6 30.08.2004
======================================================

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:huber@servedby.advertising.com/
obj[1]=IECache Entry : Cookie:huber@advertising.com/
obj[2]=IECache Entry : Cookie:huber@mediaplex.com/

ist das säubern der registry mit so einem programm durch so einen leien wie mich nicht riskant? ich meine, dass ich dann nicht weiss was ich löschen kann und was nicht? oder findet es wirklich nur dateien die ich löschen kann?

muss ich dei quarantäne von spy sweeper auch löschen?

und ist denn jetzt alles soweit ok? was ist mit all den datein die ich nicht finde, sie es mir aber einzeigt bei den durchläufen? z.b. webrecomendada?

welches der programme hast du permanent drauf? und wie häufig schaust du dir das zeugs an um zu sehen, was sich eingeschlichen hat?

und wie krieg ich denn jetzt dieses symbol für das mobile laufwerk wieder rein?


danke,
chrischtbaum

#32 Um zu wissen, was denn nun wirklich aus dem Autostart verschwunden ist, muss du mir posten, was es genau war.
So ein Geraet ????
http://www.golem.de/0404/30946.html
Oder was anderes ?
Wenn man Programme anklickt, tragen sie sich normalerweise wieder automatisch im Autostart ein, sie sind nicht etwa geloescht.
Erklaere also bitte, was das fuer ein Profgramm oder Tool war, damit ich dir raten kann, es auf dem PC wieder zu finden.

Du kannst auch deine Autostarteintraege (04) vom HijackThis (vor der Reinigung und im jetzigen Zustand ) ueberpruefen.

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

Was das Loeschen der Spyware betrifft, so kannst du den Tools vertrauen.
Lass die Malware einige Zeit in der Quarantaene und wenn keine Probs auftreten, loesche sie.

obj[0]=IECache Entry : Cookie:huber@servedby.advertising.com/
obj[1]=IECache Entry : Cookie:huber@advertising.com/
obj[2]=IECache Entry : Cookie:huber@mediaplex.com/
gehoeren zu :Huber
Dialer.DialWeb.

Ich habe alle diese Tools auch auf dem PC und update sie regelmaessig.(wenn diese Moeglichkeit besteht)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#33 also das eine gerät das ich über dieses symbol entfernen konnte ist folgendes:

http://www.lacie.com/products/product.htm?id=10106

das andere ist folgendes:

http://www.avm.de/de/Produkte/FRITZ/FRITZ_Card_PCMCIA/index.js.html

beides konnte jedoch über das gleiche symbol aufgerufen werden. es diente einfach zur sicheren entfernung der objekte. wahrscheinlich eine funktion von windows und nicht der geräte selber?!

bei den cookies komme ich noch nicht wirklich draus... sind das dialer?

und das löschen von registry einträgen durch regclean kann ich auch vertrauen? einfach alles löschen was es mir angibt und gut? oder muss ich jedes mal wieder nachschauen ob ich es wirklich löschen kann?

#34 1.Poste mal das neue Log vom HijackThis, damit ich vergleichen kann

2. Nach dem Scann mit Regcleaner verbleibt eine <Sicherung<, die loesche nicht.
Im Bedarfsfall macht man das Loeschen damit rueckgaengig.

3. Cookies sind keine Dialer, sondern sind auf deinen PC gelangt, als du auf der betreffenden Site warst, wo du dir den Dialer eingefangen hast.
http://www.www-kurs.de/cookies.htm

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#35 hallo


dss problem mit dem symbol hat sich gelöst, hab ihn vorhin mal wieder neu starten müssen und jetzt ist es wieder da... komisch, aber immerhin da!


wäre es gut wenn man jedesmal nachdem man eine software deinstalliert hat mit regcleaner die registry zu säubern? da bleiben doch jeweils "reste" übrig, oder?




_____________________________________________________________
hier das neue!

Logfile of HijackThis v1.98.2
Scan saved at 07:59:07, on 07.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\Programme\EPFL\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Logitech(Maus)\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Huber\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sg.hubermonsch.ch:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MSN Messenger 6.2.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094387217801
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5916E459-9CE3-4021-8C8C-5FF4704944C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = epfl.ch

#36 Webrecomendada LLC:

Preis pro Minute: 63,6 euros/Stunde

Thawte Server CA
"Thawte certifated NRSGROP-Software"
Bloiscom S.L.
Copyright de la página: Web Recomendada LLC - 2711 Centerville Road , Suite 400 - Wilmington - DE - USA
___________________________________________________________________________________
http://www.spychecker.com/program/lspfix.html
Lade mal dieses Tool und poste, was dort aufgefuehrt wird (nichts loeschen !!!)

Suche diese Eintraege auf dem PC:
c:\WINDOWS\Downloaded Program Files\WebRecomendada.dll
c:\WINDOWS\Coder\_222-tat-1-0-.exe-&gt
c:\WINDOWS\Coder\_2-tto-1-0-.exe-&gt
c:\WINDOWS\Coder\_151-a2p-8-0-.exe-&gt
c:\WINDOWS\Coder\_3-kun-0-0-.exe-&gt
c:\WINDOWS\Coder\_1-tat-0-0-.exe-&gt

Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#37 kann ich hier keine bilder einfügen?

es kommen unter keep folgende 3 dateien:

-mswsock.dll (TSP/IP)
-winrnr.dll (NTDS)
-rsvpsp.dll (Protocol handler)

bei remove nichts


datenträgerbereinigung kann ich irgendwie nicht druchführen.... bleibt immer bei alte dateien komprimieren stehen!


die dateien suche ich mal noch!

_____________________________________________-

die dateien finde ich leider immernoch nicht. webrecomendada nicht manuel und auch nicht mit der suche funktion. bei den anderen das gleiche!

den ordner coder in windows wo die anderen dateien drin sein sollten habe nicht!

habe 2 beiden optionen in extras-> ordneroptionen eingestellt und auch in der suche funktion die von dir bereits schon einmal erwähnte option getätigt!

______________________________________________

aber eigentlich kann mir dieser webrecomendada dialer ja eigentlich egal sein, da ich an jedem mir zur verfügung stehendem ort sowieso adsl habe, oder nicht?

#38 Nun, der Dialer scheint nicht aktiviert zu sein.

Was findesr du denn unter <c:\WINDOWS\Downloaded Program Files\ ??????
....................................................................................................................
Versuche es mal mit
http://www.chip.de/artikel/c_artikelunterseite_10641790.html?tid1=26116&tid2=0
Registry Toolkit
Vielleicht findest du die dll noch in der Registry.

(oder gib die dll in die Suchfunktion oben links in der Registry ein.
Start<Ausfuehren<regedit
________________________________________________________________________
Downloaden und installieren: Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm

<APM starten, im oberen Fenster explorer.exe und/oder iexplore.exe c:\WINDOWS\Downloaded Program Files\WebRecomendada.dll suchen und markieren.
<Dann werden im unteren Fenster alle geladenen Module von explorer.exe angezeigt.

<Rechtsklick auf die gefundene DLL/Eintrag im unteren Fenster -> Unload Dll.

Danach noch die Upgedateten Spyware-Tools drüberlaufen lassen um die Registry-Einträge zu bereinigen, und Temp-Ordner + Temporäre-Internetfiles Ordner leeren.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#39 kann ich hier irgendwie bilder ins forum einfügen, damit ich dir zeigen kann was gefunden wurde?

____________________________________-

achso, die einträge die in der registry gefunden wurden sind einfach die suchanfragen, welche ich in der suchen funktion gemacht hab... sonst nichts

____________________________________----

auch mit dem APM finde ich die datei nicht!

aber eben, ist es nicht egal, wenn ich den dialer drauf hätt, weil ich sowieso immer an dsl bin?

#40 @chrischtbaum
Der Dialer an sich ist ja schon runter, nur die dll wird noch angezeigt.
Scanne noch mal im abgesicherten Modus mit deinem Symantec-Antivirentool und dann lasse es gut sein.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#41 ok,werde ich morgen mal durchlaufen lassen...
melde mich dann nochmals


aber danke vielmals für deine hilfe! echt super!

danke und gruss
chrischtbaum

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::.

symantec hat auch nichts gefunden im abgesicherten