Home » Spyware & Browser Hijacker Support Forum » Versteckte Spyware auf WinXP Home Rechner inkl. Systemprobleme! » Themenansicht
Versteckte Spyware auf WinXP Home Rechner inkl. Systemprobleme! |
||
|---|---|---|
| #0
| ||
|
18.03.2006, 11:09
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
18.03.2006, 17:02
Ehrenmitglied
 Beiträge: 29434 |
#2
Zitat Logfile of HijackThis v1.99.1 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.03.2006, 17:04
Ehrenmitglied
Beiträge: 29434 |
#3
stefan83
wozu einen PC reinigen, der noch nie ein WindowsUpdates gesehen hat und demzufolge mit Backdoors und Viren verseucht ist??? Der PC wird schon nicht mehr von dir allein gesteuert...da haengen noch andere mit drin... Ich .. bin nicht bereit, so einen PC zu saeubern. Formatiere und komme wieder...aber mit einem System, welches SP2 geladen hat. Wenn er gestartet wird, kopiert sich W32/Nanpy-F als mmsvc32.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, damit er jedes Mal gestartet wird, wenn sich ein Benutzer anmeldet: Zitat W32/Nanpy-F __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe bei dem Vater meiner Freundin mit restlicher Spyware und Viren zu kämpfen! Folgende Informationen :
Windows XP Home SP1
Direkter Internetzugang über ISDN Modem!!
Installiert : MS Office 2000 SB
Nutzung von IE 6.0 und Outlook Express 6.0
4 Benutzer sind angelegt, alle haben Administratorrechte!
So nun zu den Problemen!
Als ich angefangen habe, den Rechner von diesem Mistzeugs zu befreien,
hatte er mehrere Probleme, Progamme konnten nicht richtig gestartet werden,
der IE Explorer schmierte immer ab beim starten, etc..
So, zuerst habe ich es mit dem Spybot S&D probiert, dieser hat auch 30 Einträge gefunden und behoben. Anschließend habe ich dann erstmal ZoneAlarm installiert, um eine aktive Firewall zwischen Internet - PC zu setzen und alles dicht zu machen! Danach habe ich den Antivir mal aktualisiert und durch Version 7 ersetzt! Nach einer kompletten Systemprüfung hat er auch einige Schädlinge entdeckt und unschädlich gemacht. Anschließend habe ich den CW Shredder durchsuchen lassen und 1 Problem beheben können! Danach habe ich das Hijackthis Tool durchlaufen und Online analysieren lassen! Dieser hat auch einige Einträge gefunden die ich rauslöschen könnte. Hierbei bekam ich aber dann auch schon das erste Problem, denn folgender Eintrag lies sich nicht dauerhaft rauslöschen, sondern war nach jedem Neustart wieder drin!!! : (siehe Log File im Anhang!)
"R3 - Default URLSearchHook is missing"
außerdem hat er noch folgende Eintrage als "unbekannt gefunden, wozu auch keine Rezension durch andere User zu finden waren :
"O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe"
"O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\uepdupj.exe"
Anschließend habe ich dann den Ad-Aware in neuester Version einmal laufen lassen, dieser hat dann auch noch über 150 Einträge gefunden, jedoch blieb er jedesmal beim Suchen hängen und wurde nie fertig! D.h. das Programm hat sich nicht weg gehangen, es war weiterhin aktiv und die Speicherauslagerung des Programm hat sich immer verändert und man konnte immer noch auf Cancel etc. klicken! Es schien so als ob er einfach nicht weitergemacht hätte!? Habe ihn über eine halbe Std. in dieser Position laufen lassen und blieb dabei aber immer bei dem selben Ordner und bei der selben Anzahl der durchsuchten Dateien, es hat sich nichts mehr getan!! Sehr komisch!?
Zur Sicherheit habe ich dann erstmal den Firefox in der aktuellsten Version als Standardbrowser installiert! Das System ist jetzt erstmal etwas stabiler, Surfen geht auch wieder ohne Probleme ebenso wie E-Mailversenden!
Nach wie vor habe ich aber weiterhin noch Probleme, die da wären :
1) Beim Starten von Windows, kommt immer ein Fenster, wo eine Internetseite aufgerufen werden soll, vorzugsweise aus Russland
Dazu muss ich sagen, das "Hetnet" der Internetanbieter des Rechners ist,
welche in NL steht! (Also die dortige Telekom
Passend dazu habe ich zufällig in der Registrierung folgenden Eintrag gefunden :
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dialer2004.com]
"*"=dword:00000004
Unter dem direkten Pfad :
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
befinden sich etwa 200 Einträge diverser Internetseiten!
Etwa : dietpussy.com ; digital-pornography.com ; geteens.com etc...!!!
Diese Seiten wurden jedoch NIE besucht! Erst recht nicht diese Anzahl!
Unter anderem ist dort auch eine Seite dabei, welche da heißt : "coolwebsearch.com" !!
Und das obwohl mir der CWS Shredder nur eine Datei hat finden und eliminieren können!
2) Zweites Problem ist folgendes :
Auf dem Rechner ist ja wie geschrieben, Office 2000 in der SB1 Variante drauf,
hat auch bis letzten Mittwoch funktioniert! Es sind folgende Erweiterungen von Office installiert : FrontPage, Word, Access, PowerPoint, Excel etc.
Und jetzt kommt das Komische : beim Starten einer Word Datei oder Excel Datei, kommt folgende Fehlermeldung (seit Mittwoch wohlgemerkt!) :
Und das Kuriose an der Sache ist folgendes :
Es sind ja 4 Benutzer vorhanden bzw. eingerichtet,
davon ist Benutzer 1, nennen wir ihn mal Admin1, der einzig betroffene dieses Phenomäns! Unter diesem Benutzer, kann man weder WORD, EXCEL noch Powerpoint zum Laufen bringen! Immer kommt die o.g Fehlermeldung!
Melde ich mich zum Beispiel unter dem 2.Benutzer (zb: Admin2) an,
funktioniert alles Fehlerfrei! Da gitbs keine Probleme! Und es sind bei Admin 1,
unter dem der Rechner auch installiert wurde, nur WORD, EXCEL und POWERPOINT davon betroffen, alle anderen Office Programme funktionieren einwandfrei! Hatte zuerst vermutet das sich die Zugriffsrechte für Admin 1 irgendwie verändert haben könnten, aber in der Benutzerverwaltung der Systemsteuerung steht Admin1 nach wie vor als Computeradministrator, genauso wie Admin2,3 und Admin4 !!! Leider hat man da nicht eine bessere Übersicht, das es sich nur um WinXP Home handelt und dort ja keine bessere aufgesplittete Benutzerverwaltung wie etwa in XP Pro drin ist!
3) Und das dritte seltsame Problem, was evtl. etwas mit Problem 2 zu tun haben könnte, ist das ich Probleme mit div. Programmen habe! Zb. habe ich unter Benutzer Admin1 versucht einen bestimmten Reg eintrag zu Exportieren, damit ich mir zu Hause diesen nochmal in Ruhe anschauen kann. Bei jedem Versuch diesen Eintrag zu Exportieren hat sich der Registrierungseditor (regedit) einfach geschlossen!!! Dies passiert u.a auch bei einem einfachen Bild-Speicherversuch mit Irfanview (Bildbetrachter)!! Beides funktioniert unter Benutzer Admin2 hingegegen auch Einwandfrei, was die Vermutung des Zusammenhangs zwischen Problem 2+3 betrifft !!!
4) Eine etwas komischere Sache hat mir dann noch mein Antivir ausgespuckt!
Beim Versuch die Internetseite des Hijackthis.de/de Auswärtungsprogrammes abzuspeichern, sprang der Antivir immer mit folgender Fehlermeldung auf :
Dazu vermag ich jedoch gar nichts zu sagen, weil dies mir nicht wirklich weiterhilft!?
5) Es will andauernd die Datei "taskdir.exe" aufs Internet zugreifen!
Leider konnte ich nicht herausstellen das dies eine Windows Datei ist!? Habe in ZoneAlarm dieser Datei jedenfalls den Zugriff aufs I-Net verweigert!
Ich muss dazu sagen, die Programme habe ich alle ausgeführt im "normalen" Windows Betrieb!!!, nicht im abgesicherten Modus! Dies werde ich aber noch wiederholen!
Habt ihr hier ein paar (zusätzliche) Tipps für mich, wie ich das wieder in den Griff bekommen könnte!? Vielleicht erkennt ja jemand von euch auch etwas zusätzliches aus der beigefügten Hijackthis.log Datei!?
Vielen Dank und
Gruß
Stefan
PS: Wünsche ein schönes WE!