Habe mir UnspyPC eingefangen |
||
---|---|---|
#0
| ||
07.05.2006, 13:47
...neu hier
Beiträge: 5 |
||
|
||
07.05.2006, 16:53
Ehrenmitglied
Beiträge: 29434 |
#2
ska
an einen Win98 gehe ich nicht ran...alle Entfernungstools , die mir zur verfuegung stehen...funktionieren nicht. C:\Programme\UnSpyPC ..hat dir das System zersteort....und deine TCP-Verbindung --geht in die Ukraine... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.05.2006, 17:50
...neu hier
Themenstarter Beiträge: 5 |
#3
Außer Win98 läuft auf der alten Möhre leider nichts mehr. Ist mein alter Rechner, der steht bei meinen Eltern daheim und die haben fleißig mit IE rumgesurft. Zudem hat meine Mutter auch oft Online-Banking betrieben. Hoffentlich hat dabei keiner was ausspioniert...
Ich kenn mich da leider nicht so aus. Welchen Zweck verfolgen diese SpyWares eigentlich? Sammeln die nur massiv Daten oder hackt da jemand gezielt? Muss ich jetzt den Rechner neu formatieren oder besteht eine Möglichkeit zur Wiederherstellung? |
|
|
||
07.05.2006, 17:52
Ehrenmitglied
Beiträge: 29434 |
#4
du musst formatieren und das schnell...
und die Passworte (siehe Onlinebanking) aendern...) ...zur Sicherheit.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.05.2006, 18:01
...neu hier
Themenstarter Beiträge: 5 |
#5
Ich hab jetzt erst mal die ganzen roten Einträge rausgelöscht und alles entfernt was ich noch so gefunden habe. Das UnspyPC ist erst mal weg und auch die ganzen Toolbars sind verschwunden.
Was heißt das eigentlich - deine Verbindung geht in die Ukraine? Bin ich über einen Dialer mit dem Internet verbunden oder sendet der die Daten da hin? Nicht dass mir da noch Unmengen an Kosten enstehen... Hier ist der aktuelle HJT-Bericht: Logfile of HijackThis v1.99.1 Scan saved at 18:00:48, on 07.05.06 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT HARDWARE\POINT32.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\DIRECTCD\DIRECTCD.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\MSWHEEL.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE C:\PROGRAMME\CLICKTIONARY\CLEVERLEARN CLICKTIONARY.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\T-Online\BSW4\ONLINE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\T-ONLINE\BSW4\TODUCALC.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\OPERA7\OPERA.EXE C:\CD\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - {5E743651-E193-8676-D38E-35CDD793B5EE} - barint.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [TIPS] C:\PROGRA~1\MICROS~1\tips\mouse\tips.exe O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~1\point32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\DirectCD\DIRECTCD.EXE O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de |
|
|
||
07.05.2006, 18:05
Ehrenmitglied
Beiträge: 29434 |
#6
es hat keinen Sinn, dass du die Eintrage mit HijackThis loeschst... denn die eigentlichen Dateien sind noch drauf.
wenn ich helfen koennte, wuerde ich es tun, aber bei win98 hat es keinen Zweck. aber o.k..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.05.2006, 18:06
...neu hier
Themenstarter Beiträge: 5 |
#7
Ok, trotzdem danke. Wie sieht das nun mit der Verbindung in die Ukraine aus? Ist da ein Dialer drauf oder ist das die Verbindung, wo die die Daten sammmeln?
|
|
|
||
07.05.2006, 18:08
Ehrenmitglied
Beiträge: 29434 |
#8
die tcp-Verbindung ist schon wieder o.k. laut HijackThis
Win98 Bitte führe folgendes aus: Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten Dort fügst Du ein und speicherst: Zitat @echo offAusführen! Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Monate hier __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.05.2006, 19:43
...neu hier
Themenstarter Beiträge: 5 |
#9
Sorry, dauert bei 450MHz alles ein wenig lange . Habe grad noch SpybotS&D draufgezogen und nen Scan probiert aber der hat leider zwischendrin aufgegeben - ist wohl sehr überlastet, wenn ich nebenbei noch dran rumdoktere. Der hatte bis dahin auch schon Unmengen gefunden aber meine Eltern haben halt auch nicht so den Draht für regelmäßige Virensuchen, geschweige denn AntiSpyware-Programme. Ich muss dann eh wieder fort, bin nur über's Wochenende auf Besuch. Ich schalt einfach mal aus und dann geht die kommende Woche keiner mehr ran. Ich schau dann nächste Woche wieder mal rein.
Vielen Dank nochmal für die Mühe. Ich find es echt toll, dass ihr hier den Leuten so helft, die da ein wenig unbetuchter sind. Man denkt ja immer mit einem AntiVir und dem Spybot drauf wär man relativ sicher aber das ist wahrscheinlich ein wenig zu optimistisch gedacht. Wenn man XP benutzt und SP2 draufhat geht es schon aber bei so einer alten Mühle wie hier, wo jeder Handgriff Stunden dauert und alles nur noch auf Sparflamme läuft, sind dann auch noch ein paar mehr Lücken offen. Ich wünsche noch einen schönen Sonntagabend. Bis nächste Woche. |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 13:23:09, on 07.05.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\POINT32.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\MSWHEEL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\CLICKTIONARY\CLEVERLEARN CLICKTIONARY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\T-Online\BSW4\ONLINE.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\OPERA7\OPERA.EXE
C:\CD\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {5E743651-E193-8676-D38E-35CDD793B5EE} - barint.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\OOACA.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\OOACA.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TIPS] C:\PROGRA~1\MICROS~1\tips\mouse\tips.exe
O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~1\point32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [WhatsNewBot] Shaitan1678.exe
O4 - HKLM\..\Run: [10010] ExchangeMaster.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunOnce: [del] C:\WINDOWS\COMMAND.COM /c del C:\WINDOWS\SYSTEM\mob030612.dll
O4 - HKLM\..\RunOnce: [delstat] C:\WINDOWS\COMMAND.COM /c del C:\WINDOWS\SYSTEM\mostat.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [AppMasterCenter] ATLIEHELPER.exe
O4 - HKCU\..\Run: [Serviceprocess] typeconf.exe
O4 - HKCU\..\Run: [Kargo] WinInitDll.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.4,85.255.112.137
Wäre klasse, wenn mir jemand sagen könnte, wie schlimm es um den Rechner steht.