alexa, ezula, clientman als Spyware detected

#0
06.03.2006, 08:56
...neu hier

Beiträge: 5
#1 Habe mir anscheinend Spyware eingefangen. Habe das System mit escan geprüft und einen hijack erstellt.

Wie bekomme ich den Mist vom Rechner?

Vielen Dank für Eure Mühen

Stephan

Logfile of HijackThis v1.99.1
Scan saved at 08:40:08, on 06.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\TEVION\SCANWIZARD 5\SCANNERFINDER.EXE
C:\PROGRAMME\FRITZ!DSL\STCENTER.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\BRQIKMON.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Ati2cwad.exe
O4 - HKLM\..\Run: [AtiKey] atiptkad.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [IGDCTRL] "C:\Programme\FRITZ!DSL\IGDCTRL.EXE"
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O4 - Startup: Refresh.lnk = C:\Programme\Iomega\Tools\REFRESH.EXE
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INETREPL.DLL
O12 - Plugin for .PDF: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://+++++-+++++.dyndns.org/Remote/msrdp.cab

und die Meldung aus escan:


Mon Mar 06 08:24:14 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Mar 06 08:24:14 2006 => Loading Spyware Signatures from new External Database (Size: 153545).
Mon Mar 06 08:24:14 2006 => Indexed Spyware Databases Successfully Created...

Mon Mar 06 08:24:29 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Mar 06 08:24:29 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Mar 06 08:24:32 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Mar 06 08:24:42 2006 => Offending file found: C:\WINDOWS\Favoriten\importierte lesezeichen\personal toolbar folder\internet.url
Mon Mar 06 08:24:42 2006 => System found infected with ezula Spyware/Adware (internet.url)! Action taken: No Action Taken.

Mon Mar 06 08:24:44 2006 => Offending file found: C:\WINDOWS\All Users\Anwendungsdaten\t-online_zusatzsoftware\virenschutz\nav\external\commonfi\symshare\help\disable.dll
Mon Mar 06 08:24:44 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.

Mon Mar 06 08:24:45 2006 => Offending file found: C:\WINDOWS\All Users\Anwendungsdaten\t-online_zusatzsoftware\personalfirewall\setup\help\common\symshare\help\disable.dll
Mon Mar 06 08:24:45 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.
Seitenanfang Seitenende
06.03.2006, 13:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 pechgehabt

1.
ich wuerde nicht sagen, dass \t-online_zusatzsoftware Malware ist........

2. loesche das manuell:
C:\WINDOWS\Favoriten\importierte lesezeichen\personal toolbar folder\internet.url

3.
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> abkopieren und hier posten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM\wucrtupd.exe


**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2006, 06:57
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina,

1.) habe \t-online_zusatzsoftware einfach gelöscht, da ich t-online nicht mehr einsetze
2.) habe manuell gelöscht
3.) alexa habe ich in der registrierung an 3 Stellen finden können und habe sie auch dort gelöscht

danach escan aller Platten im abgesicherten Modus. Keine weitere Meldung. Scheine als Erfolg gehabt zu haben. Vielen Dank für Deine Arbeit, oder sollte ich noch mehr machen?
Aber noch eine Frag: Habe eine Fritz-Box als Router im System. Muß ich zusätzlich noch ein Firewall-Programm (welches) installieren?

Gruß

Stephan
Seitenanfang Seitenende
07.03.2006, 11:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 du solltest ueberpruefen: C:\WINDOWS\SYSTEM\wucrtupd.exe
http://www.virustotal.com/flash/index_en.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2006, 18:18
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo Sabina,

hier das Ergebnis:

This is a report processed by VirusTotal on 03/07/2006 at 18:14:28 (CET) after scanning the file "wucrtupd.exe" file.
Antivirus Version Update Result
AntiVir 6.33.1.53 03.07.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.06.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.07.2006 no virus found
CAT-QuickHeal 8.00 03.07.2006 no virus found
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.07.2006 no virus found
eTrust-InoculateIT 23.71.95 03.07.2006 no virus found
eTrust-Vet 12.4.2108 03.07.2006 no virus found
Ewido 3.5 03.07.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 no virus found
F-Prot 3.16c 03.07.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.07.2006 no virus found
McAfee 4711 03.06.2006 no virus found
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.07.2006 Suspicious file
Sophos 4.03.0 03.07.2006 no virus found
Symantec 8.0 03.07.2006 no virus found
TheHacker 5.9.5.107 03.06.2006 no virus found
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.07.2006 no virus found


Was mache ich mit Panda? Wie komme ich da ran wenn ich ihn evtl. löschen soll.
Mein Rechner braucht zur Zeit ca. 3Minuten um Win 98 runterzufahren. Vorher ging das in ca. 10sec. Deutet das auf etwas hin?


Hallo Sabina,

antivir meldet mit gerade, daß
c.\windows\local settings\temporara internet files\content.IE5\VRL9FG5Q\T22305(2).HTM
die Signatur des HTML-Sciptvirus HT enthält.
Was tun?
Wo kann das herkommen, da ich die letzte Zeit nur auf Eurer Seite bin?

Stephan
Dieser Beitrag wurde am 07.03.2006 um 18:38 Uhr von pechgehabt editiert.
Seitenanfang Seitenende
07.03.2006, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 um diesen Scriptvirus brauchst du dir keine Sorgen zu machen...das ist ein Problem vom Antivirus und auch von allen Sicherheitsforen, die staendig verseuhte Logs beinhalten....

mit dem panda sollst du scannen und dann den scanreport abkopieren, dann wissen wir, was zu loeschen ist ;)
http://virus-protect.org/onlinescan.html

warum dein PC bockt... ??????? Ich weiss nicht, was du gemacht/geloescht usw... hast und Windows 98 ist mir leider nicht sehr vertraut.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2006, 23:21
...neu hier

Themenstarter

Beiträge: 5
#7 Hallo Sabine,

war einige Tage nicht da. Daher erst heute der scanreport von panda:


Incident Status Location

Spyware:Cookie/Doubleclick Not disinfected C:\WINDOWS\Cookies\stephan@doubleclick[1].txt
Spyware:Cookie/Falkag Not disinfected C:\WINDOWS\Cookies\stephan@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\WINDOWS\Cookies\stephan@sel.as-eu.falkag[2].txt
Spyware:Cookie/Bfast Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.bfast.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Adtech Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.adtech.de/]
Spyware:Cookie/Mediaplex Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Hitslink Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[counter.hitslink.com/]
Spyware:Cookie/Valueclick Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.valueclick.com/]
Spyware:Cookie/Hitslink Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[counter.hitslink.com/]
Spyware:Cookie/PayCounter Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.paycounter.com/]
Spyware:Cookie/RealMedia Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[.realmedia.com/]
Spyware:Cookie/Bfast Not disinfected C:\WINDOWS\Anwendungsdaten\Mozilla\Profiles\default\ktf9zrof.slt\cookies.txt[]
Spyware:Cookie/Doubleclick Not disinfected C:\WINDOWS\Cookies\stephan@doubleclick[1].txt
Spyware:Cookie/Falkag Not disinfected C:\WINDOWS\Cookies\stephan@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\WINDOWS\Cookies\stephan@sel.as-eu.falkag[2].txt
Adware:Adware/Twain-Tech Not disinfected D:\WINDOWS\INF\TWAINTEC.INF
Spyware:Cookie/QuestionMarket Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[]
Spyware:Cookie/Server.iad.Liveperson Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[27391302]
Spyware:Cookie/Server.iad.Liveperson Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[]
Spyware:Cookie/Server.iad.Liveperson Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[27391302]
Spyware:Cookie/WebtrendsLive Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[dcst9izv9wievvyrjr3f97xtp_6o2h]
Spyware:Cookie/Server.iad.Liveperson Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[43733127]
Spyware:Cookie/Tradedoubler Not disinfected D:\WINDOWS\Anwendungsdaten\Mozilla\Firefox\Profiles\default.k2d\cookies.txt[]
Was tun? Alle Dateien löschen?

Stephan
Seitenanfang Seitenende
16.03.2006, 12:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 pechgehabt

loeschen:
D:\WINDOWS\INF\TWAINTEC.INF
D:\WINDOWS\INF

der Rest sind Cookies, kein grosser Grund zur Sorge, aber du kannst sie im Browser Firefox loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.03.2006, 09:27
...neu hier

Themenstarter

Beiträge: 5
#9 Hallo Sabina,

habe alles gelöscht. War´s das jetzt, oder muß/sollte ich noch etwas unternehmen?
Ansonsten vieeelen Dank für Deine Hilfe.

Stephan
Dieser Beitrag wurde am 19.03.2006 um 17:14 Uhr von pechgehabt editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: