Home » Spyware & Browser Hijacker Support Forum » e-surveiller lässt sich nicht entfernern » Themenansicht
e-surveiller lässt sich nicht entfernern |
||
|---|---|---|
| #0
| ||
|
11.05.2005, 11:54
Amaymon
zu Gast
|
||
 
|
|
|
|
11.05.2005, 20:51
Member
Beiträge: 239 |
||
|
|
|
|
|
12.05.2005, 11:03
Amaymon
zu Gast
Themenstarter |
#3
Zitat Rolfs posteteSo hier ist das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 11:00:10, on 12.05.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe C:\WINNT\soundman.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINNT\system32\ctfmon.exe C:\Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe SetReg O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Programme\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Hoffentlich findet sich eine Lösung.... |
|
|
|
|
|
|
12.05.2005, 14:11
Member
Beiträge: 1132 |
#4
Hallo Amaymon,
Hast Du mit eScan im abgesicherten Modus gescannt? E-Surveiller kam nicht, wie andere Schädlinge, unbeabsichtigt auf Dein System. Du oder jemand anderer (Dein Chef?) hat das wissent- und willentlich installiert. Vielleicht kannst Du es über Systemsteuerung => Software deinstallieren. Wäre schön! Ansonsten sollte eigentlich Dein Norton das Ding beseitigen können. http://securityresponse.symantec.com/avcenter/venc/data/remacc.surveil.html Zitat BehaviorBeschreibung der manuellen Entfernung hier http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453068070 Was Dein Log anbelangt, sokann ich nur sehen, dass Du zwei Firewalls nebeneinader laufen hast (Norton, Zone Alarm). Deaktiviere eine. O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll Die Stardock-Applikation hast Du wissentlich installiert? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
12.05.2005, 15:39
Amaymon
zu Gast
Themenstarter |
#5
Nein, war nicht im abgesicherten Modus (Hab' das noch nie gemacht - wie stelle ich das genau an?)
Hmm, seltsam. Eigentlich habe ich nur NortonSystemworks, ohne Norton Internetsecurity, ich sollte eigentlich nur ZoneAlarm als Firewall am laufen haben. Ja Stardock hab' ich schon länger, wissentlich installiert. Ist ein Download-Browser für Stardock (TG.Net) Produkte und deren Foren. Da gab's vor einem Jahr mal Spywareverdacht, liess sich aber nicht bestätigen, StarDock hat's (natürlich) abgestritten. Ist das die gleiche Malware? Laut Symantec: Remacc.Surveil Hier nochmal zum Vergleich von Spywareguide.com: Full Name: e-Surveiller Websearch Type: Commercial Keylogger Official Description: Remote Surveillance: Monitor computers on a LAN, across the Internet or on a single/offline PC. User-Activity Monitoring: Monitors and logs all keystrokes along with the window in which they were typed, logs window titles of applications opened, file and folder changes, system activities such as shutdown, startup, logon, etc. with time and date stamps. Hersteller: Information URL: http://www.e-surveiller.com/features.htm Download URL: http://www.e-surveiller.com/download.htm Properties: Takes screenshots Stealth Tactics Logs keystrokes Sends mail Stays Resident Connects to the internet Allows remote connect Wundere mich dass NortonAntivirus es nicht findet (ist bei mir über NortonSystemworks ja mitinstalliert und aktuell). Hab' vor einiger Zeit eine AntiSpyware Software bei Stop-Shield 'runterladen wollen, hatte nur 48 Kb - hätte mich stutzig machen sollen- als ich's installieren wollte ist erst mal gar nichts passiert. e-scan hat beim Überprüfen dann gemeldet, das die Stop-Shield Datei mit TrojanDownloader.irgendwas.x befallen wäre, DAS hat sich aber beheben lassen. Nehme mal an da hab' ich mir den Surveiller gleich mitinstalliert? Hier noch die Meldung von OmniQuad AntiSpy zu e-surveiller: Memory Scanning Started Started registry scan SpyName :e-Surveiller Identified Type : RegKey Object : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.zlg SpyName :e-Surveiller Identified Type : RegKey Object : HKEY_CLASSES_ROOT\.zlg Description e-Surveiller is a Keylogger.Monitor computers on a LAN, across the Internet or on a single/offline PC. It logs all keystrokes , logs window titles of applications opened, file and folder changes, system activities such as shutdown, startup, logon, etc. with time and date stamps. Ist im übrigen mein Privat-PC. Ausser mir ist da eigentlich niemand dran. Bin aber sehr viel auf Freeware-Seiten unterwegs, teste immer gerne neue Programme (so hab' ich Omniquad gefunden), da passiert es öfter mal das eine Installation fehlschlägt... Wenn dann ein Virus dahinter war, war Norton bisher eigentlich immer sehr zuverlässig. Will ich es manuell entfernen finde ich in der Registry die auf der Symantec Seite aufgeführten Registry keys, bis auf den *.zlg nicht. Auch die hier http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453068070 aufgeführten Prozesse sind im Taskamnager nicht vorhanden, die Registry keys auch nicht. Was passiert hier? Ist vielleicht die Meldung von Omniquad fehlerhaft? Gibt es womöglich eine neue e-surveiller Version? Dieser Beitrag wurde am 12.05.2005 um 16:03 Uhr von Amaymon editiert.
|
|
|
|
|
|
|
12.05.2005, 17:07
Member
Beiträge: 1132 |
#6
Das sind ja eine Menge Fragen! Kann ich nicht alle beantworten.
Soweit ich weiß, hat Stardock nichts mit e-surveiller zu tun. Behalte es trotzdem einmal im Auge. OmniQuad AntiSpy hat Registry-Einträge erkannt, der von e-surveiller stammt. Möglicherweise ist das nur noch ein Rest des Programmes, das vielleicht von Norton vorher schon entschärft worden ist!? Schaue doch mal in den Quarantäne-Bereich von Norton, ob Du da einen Hinweis findest. Den Registry-Eintrag .zlg mit Rechtsklick löschen: Start => Ausführen => in das Fenster "regedit" (ohne Anführungszeichen) hineinschreiben => OK => der Registry-Editor öffnet sich. Navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.zlg <-- löschen HKEY_CLASSES_ROOT\.zlg <-- löschen Lade Dir herunter den CCleaner http://www.ccleaner.com/ccdownload.asp Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc. und bereinige die Registry damit. AdAware-VX2 Cleaner VX2 Cleaner downloaden http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml Installieren => AdAware starten => Add-ons => VX2 Cleaner => Tool ausführen => System reinigen. PC neu starten und erneut mit Ad-Aware scannen, um zu überprüfen, dass alle Dateien entfernt wurden. Spybot S&D 1.4 RC2 http://forums.net-integration.net/index.php?showtopic=25574 Scanne Dein System einmal mit dieser nneuen Vorabversion von Spybot (auf eigenes Risiko) Update eScan und gehe in den abgesicherten Modus (F8 drücken beim Booten des Rechners). Mache noch einmal einen Scan. Das Programm mit "mwav.exe" starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan" klicken. Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
12.05.2005, 22:44
Amaymon
zu Gast
Themenstarter |
#7
Danke schon im Vorab für die ausführlichen Antworten.
 Hab' mich zu später Stunde doch noch hingesetzt und alles wie empfohlen durchgeführt. Weder AdAware mit dem PlugIn noch das neue SpyBot haben etwas gefunden. e-scan (Abgesicherter Modus/Stand 12.05.05) hat keine "infected" - Dateien im Log. Es erschien allerdings die folgende Meldung (3x): File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Zu dieser Meldung gibt es hier irgendwo einen post, der besagt das dies harmlos ist. Hier ist noch die Zusammenfassung des Scans: Fri May 13 00:14:31 2005 => Total Objects Scanned: 48428 Fri May 13 00:14:31 2005 => Total Virus(es) Found: 3 Fri May 13 00:14:31 2005 => Total Disinfected Files: 0 Fri May 13 00:14:31 2005 => Total Files Renamed: 0 Fri May 13 00:14:31 2005 => Total Deleted Objects: 0 Fri May 13 00:14:31 2005 => Total Errors: 91 Fri May 13 00:14:31 2005 => Time Elapsed: 01:09:19 Fri May 13 00:14:31 2005 => Virus Database Date: 2005/05/12 Fri May 13 00:14:31 2005 => Virus Database Count: 129400 Fri May 13 00:14:31 2005 => Scan Completed. Die Errors traten haupsächlich bei SpyBot & Norton Dateien auf. Nach dem Booten nach der Säuberung waren die beiden Registry Keys (*.zlg) wieder da.... Dieser Beitrag wurde am 13.05.2005 um 00:33 Uhr von Amaymon editiert.
|
|
|
|
|
|
|
13.05.2005, 10:16
Member
Beiträge: 1132 |
#8
Dann scheint ja dann kein weiterer Anlass zur Sorge zu bestehen!
Habe noch einmal ein wenig gegoogelt und unter .zlg gefunden (http://filext.com/detaillist.php?extdetail=ZLG), dass auch Zone Alarm solche File-Extensions benutzt! Deshalb ist die Meldung von Omniquad Antispy möglicherweise oder sogar wahrscheinlich ein Fehlalarm. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
13.05.2005, 13:13
Amaymon
zu Gast
Themenstarter |
#9
Da bin ich erleichtert.
Danke nochmals für Deine Hilfe! Habe allerdings noch ein anderes Problem: Schon einige Zeit vor dem e-surveiller Problem habe ich einen kurzen Film (3Mb) von einer von einer Fun-Seite (weiss nicht mehr welche, das File hab' ich dann auch gelöscht) starten, da ist aber nichts passiert. Seitdem versucht jedoch der normale Windows Explorer wenn ich ihn öffne auf das Internet zuzugreifen. Alle Programme (SpyBot, NortonAV, AdAware+Plugin, OmniquadAntiSpy, e-scan, Spysubstract) melden aber einen sauberen Rechner (bis auf e-surveiller bei Omniquad). Für Filme verwende ich nur den KoolPlaya, Windows MediaPlayer ist deinstalliert, KoolPlaya hätte das Filmformat eigentlich abspielen können und lässt sich nur manuell aktualisieren - da läuft nix automatisch. Ein Bekannter hat mir gesagt, das müsse aber nichts bedrohliches sein, es könnte sein dass mein Explorer automatisch nach Netzlaufwerken oder FTP-Servern sucht, das könne ich in Ordneroptionen oder Netzerke entfernen. Dazu gibt es aber zu sagen, das das ja früher nicht passiert ist, und das ich selbst keine Einstellungen geändert habe. Auch finde ich die nötigen Menüs um das Einzustellen gar nicht. Wie kann ich also diese Zugriffsversuche wieder abstellen, bzw. was kann dafür verantwortlich sein? Dieser Beitrag wurde am 14.05.2005 um 05:48 Uhr von Amaymon editiert.
|
|
|
|
|
|
|
14.05.2005, 10:51
Member
Beiträge: 239 |
#10
Poste noch einmal die jetzige Logfile von HijackThis
Rolfs |
|
|
|
|
|
|
14.05.2005, 11:51
Amaymon
zu Gast
Themenstarter |
#11
So da ist das Logfile:
Logfile of HijackThis v1.99.1 Scan saved at 11:49:46, on 14.05.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe C:\WINNT\soundman.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINNT\system32\ctfmon.exe C:\Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe SetReg O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Programme\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
|
|
|
|
|
|
14.05.2005, 12:24
Member
Beiträge: 1132 |
#12
Dein Log ist auch sauber! Die Einträge von Stardock und Omniquad kennst Du ja wohl!?
Dein IE ist nicht upgedated. Gehe auf www.windowsupdate.com und hole das nach! Was sagt denn Deine Firewall zu dem Vorgang? Wo will denn der Win Explorer hin? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
14.05.2005, 13:17
Amaymon
zu Gast
Themenstarter |
#13
Ja, StarDock und Omniquad sollen da sein.
Gibt 's bei Win2K nicht nur das SP1 für Internet Explorer? Finde zwar ein SP2, aber das ist für XP. Bis ich mein Windows2K auf SP4 bringe, muss ich erst noch die Norton-Geschichte http://board.protecus.de/t17322.htm irgendwie geklärt haben... Hab' das ganze durch die Firewall bemerkt und unterbunden. Leider weiss ich nicht mehr wo er hinwollte - hab's einfach verboten. Hab' zum Nachschauen was gemeldet wird den Explorer in der ZoneAlarm Programm-Kontrolle wieder auf "nachfragen" gestellt. Seltsamerweise passiert nix.... Vielleicht hat sich das Problem mittlerweile erledigt, ohne das ich es in der Zwischenzeit bemerkt habe (WinExplorer war jetzt schon ein ganzes Weilchen gesperrt...). |
|
|
|
|
|
|
14.05.2005, 13:57
Member
Beiträge: 1132 |
#14
Schau' mal im Firewall Log nach, ob Du etwas finden kannst.
Es geht nicht um Windows, das ist bei Dir aktuell, sondern um den IE. Auch wenn Du SP1 für den IE drauf hast, so gibt es inzwischen neue Patches. Wähle auf der MS Updateseite => Skip Details .. => und Schnellinstallation auf der nächsten Seite, dann wird Dir automatisch angezeigt, welche Patches Du installieren sollst. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
15.05.2005, 10:49
Amaymon
zu Gast
Themenstarter |
#15
So hab' alles was zum Updaten angezeigt wurde upgedated - bis auf SP4.
Das Hijack-Log sieht jetzt so aus: Logfile of HijackThis v1.99.1 Scan saved at 10:47:56, on 15.05.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe C:\WINNT\soundman.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINNT\system32\ctfmon.exe C:\Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe SetReg O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Programme\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Wie bekomme ich das wieder weg?
Ad-Aware, SpyBot, AntiVir finden e-surveiller erst garnicht, e-scan auch nicht...
Infos zu e-surveiller (von Spywareguide.com):
Full Name: e-Surveiller Websearch
Type: Commercial Keylogger
Official Description: Remote Surveillance: Monitor computers on a LAN, across the Internet or on a single/offline PC. User-Activity Monitoring: Monitors and logs all keystrokes along with the window in which they were typed, logs window titles of applications opened, file and folder changes, system activities such as shutdown, startup, logon, etc. with time and date stamps.
Hersteller:
Information URL: http://www.e-surveiller.com/features.htm
Download URL: http://www.e-surveiller.com/download.htm
Properties: Takes screenshots
Stealth Tactics
Logs keystrokes
Sends mail
Stays Resident
Connects to the internet
Allows remote connect
Das will ich nicht auf meinem Rechner haben! Kann mir jemand weiterhelfen?