Panik! Activity Logger 2.0

#1 Moin.
Habe mir soeben just for fun den Aluria Spyware Eliminator heruntergeladen. Der teilte mir (nach mehrfachen sauberen Logs von AdAware und Spybot) mit, dass sich Der "Activity Logger 2.0 auf meinem PC befindet. Dies macht er an dem Registrierungseintrag "ASProtect" in HKEY_CURRENT_USER\SOFTWARE fest. Nun habe ich aber nur die Testversion von Aluria Spyware Eliminator. Das bedeutet Scan Only. Jetzt weiß ich nicht, wie ich das Dingen vom PC bekomme, bzw. was es anrichtet. Hier mal mein Hijackthis Log:

Logfile of HijackThis v1.99.0
Scan saved at 22:20:39, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Aluria Software\ASE\ASE.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\USER\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102856375015
O17 - HKLM\System\CCS\Services\Tcpip\..\{E997132A-D4C4-4591-8CFE-27CDAA5C101C}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Aluria Spyware Eliminator Service - Unknown - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Wäre euch sehr verbunden, wenn ihr mir helfen könntet. Hoffe, das is nix schlimmes auf dem PC.

Falls die Logfile nichts ergibt, könntet ihr mir evtl. Tools nennen, mit denen ich den Mist vom PC holen kann?

Vielen Dank schon mal im Voraus!

MfG, Johannes!

#2 Seh hier mal nach http://www.spywarewarrior.com/rogue_anti-spyware.htm
und suche nach Aluria
Mach auch doch mal ein Online check bei http://www3.ca.com/securityadvisor/pest/pestscan.aspx?scan=true
__________
MfG Argus

#3 Hallo Jojo2803 !

Wie schon oben von Arnold erwähnt, gilt mittlerweile Aluria Spyware als sog. "rogue spyware tool", dass gerade bei onlinechecks durch false positives versucht Kunden zum Kauf zu ködern.

Ob du tatsächlich den Activity Logger 2.0 drauf hast, kannst Du mit den Angaben auf http://www.2-spyware.com/remove-activity-logger.html überprüfen. Dort gibt es auch eine manuelle Entfernungsanleitung.

Ausserdem erkennt Spybot durchaus den Activity Logger (wenn er denn wirklich vorhanden ist) !
Geh mal bei Spybot auf Einstellungen --> Produkt-Ausnahmen-->
Keyloggers.sbi :
hier findest du eine komplette Auflistung aller z.Z. von Spybot erkannten
Keyloggers, ua. den Activity Logger als Nr. 4 wie auch gleich den Activity Monitor als Nr. 5--> beide sind von softactivity.com.

Nur wenn man ganz bestimmte gute Gründe hat, kann man diese Keyloggers (wie auch andere) von der Spybot-Suche ausschliessen. Normalerweise will man die aber gerade finden und deswegen sind sie auch automatisch im Scan eingeschlossen.

Also keine Panik :-)


PS: ich habe auch selbst schon mehrfach mit diversen Spyware- Onlinetests (ua. Spysweeper, Xoftspy) die Erfahrung gemacht, daß diese einem diverse Gefährdungen melden, um zum Kauf zu reizen.
Beliebte "Gefährdungen" waren bei mir immer Keyloggers. Diese sind in der Tat hochgefährlich (wenn da jemand alle Tastatureingaben mitloggt), sofern sie den vorhanden sind.
Habe allerdings selbst zig Tools für die Gegenprüfung (niemals nur einem vertrauen!) und konnte niemals gegenbestätigt werden.
Wenn ich dann diese Firmen mit meinen Fact-findings konfrontierte, war entweder völliges Schweigen oder man kam "zur Erkenntnis, daß es sich wohl um ein False Positive handeln müsse und man dies bereinigen würde". Naja...

Aber sehr gut wird dies auch im o.g. Spywarewarrior.com beschrieben; sehr lesenswert.

#4 Vielen Dank Wolfgang30 und Arnold.
Habe mir das ganze mal durchgelesen und habe das Programm daraufhin umgehend gelöscht. SpyBot hat in der Tat nix gefunden. Also muss ich mir ja keine Sorgen mehr machen. :-)
Vertraue jetzt nur noch AdAware und SpyBot. Die Masse an Tools bringt es echt nicht!

Danke.

Jojo2803. P.S.: Werde mich aber in der Tat mal bei Aluria beschweren. Auch wenn es nix bringen wird. (Is ne gewisse Genugtuung ;-)).