Spyware Diskussion von unseren Experten... :)

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.05.2006, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 feiner thread, ;)
nun wissen wir schon ein bisschen mehr .
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2006, 12:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#32 Logfile of HijackThis v1.99.1
Scan saved at 12:40:53, on 8-6-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Lexmark 5200 series\lxbtbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Data Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [option part] C:\DOCUME~1\s\APPLIC~1\DRVFIL~1\else stop.exe
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.mijnalbum.nl/skin/system/upload/ImageUploader3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
__________
MfG Argus
Seitenanfang Seitenende
08.06.2006, 13:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 oh je...der Swizzor-Trojan....
Ich denke mal, jemand konnte es sich nicht verkneifen, den Messenger Plus! + Sponsor zu laden ;)

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2006, 13:28
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#34 Oh,Du bist ja Soooooooo schnell :p
Ich darauf zurück,zweites Problem kann unter Favoriten nichts entfernen
__________
MfG Argus
Seitenanfang Seitenende
08.06.2006, 14:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.06.2006, 11:39
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#36 De volumenaam van station C is HDD
Het volumenummer is A04A-7654

Map van C:\

22-09-2005 18:20 <DIR> @Home
09-02-2005 21:05 <DIR> APPS
10-06-2006 11:36 <DIR> DATADO~1 Data Download
09-02-2006 13:21 <DIR> DOCUME~1 Documents and Settings
27-01-2005 03:51 5.464 DWNLOG.TXT
19-01-2006 17:10 <DIR> Filmpjes
09-02-2006 13:11 5.294 findlop.txt
09-02-2006 15:53 <DIR> Hoster
10-06-2006 11:36 0 look.txt
09-02-2005 21:11 <DIR> MULTIM~1.00 Multimedia V3.58g.00
20-12-2005 18:28 <DIR> NFSMWD~1 NFSMWDemo
12-03-2005 17:56 <DIR> NIEUWE~1 Nieuwe map
10-06-2006 11:32 <DIR> PROGRA~1 Program Files
10-06-2006 11:12 <DIR> PUB
26-01-2005 16:32 1.025 SAUDIT.TXT
29-11-2004 22:15 3.460.184 SDINST~1.EXE sdinstall.exe
29-11-2004 22:10 727.994 SPYWAR~1.ZIP Spyware[1].Doctor.v3.0.0.288.WinALL.CRACKED-LUCiD.ZIP
31-10-2005 17:56 700.416 STUBIN~1.EXE StubInstaller.exe
08-06-2006 12:48 1.203 sys.txt
08-06-2006 12:48 5.725 system.txt
08-06-2006 12:48 104.660 system32.txt
08-06-2006 12:48 1.256 SYSTEM~1.TXT systemtemp.txt
09-02-2006 00:19 <DIR> temp
24-05-2001 12:59 162.304 UNWISE.EXE
10-06-2006 11:34 <DIR> WINDOWS
12 bestand(en) 5.175.525 bytes
13 map(pen) 57.898.053.632 bytes beschikbaar
De volumenaam van station C is HDD
Het volumenummer is A04A-7654

Map van C:\

22-09-2005 18:20 <DIR> @Home
09-02-2005 21:05 <DIR> APPS
10-06-2006 11:36 <DIR> DATADO~1 Data Download
09-02-2006 13:21 <DIR> DOCUME~1 Documents and Settings
27-01-2005 03:51 5.464 DWNLOG.TXT
19-01-2006 17:10 <DIR> Filmpjes
09-02-2006 13:11 5.294 findlop.txt
09-02-2006 15:53 <DIR> Hoster
10-06-2006 11:36 1.775 look.txt
09-02-2005 21:11 <DIR> MULTIM~1.00 Multimedia V3.58g.00
20-12-2005 18:28 <DIR> NFSMWD~1 NFSMWDemo
12-03-2005 17:56 <DIR> NIEUWE~1 Nieuwe map
10-06-2006 11:32 <DIR> PROGRA~1 Program Files
10-06-2006 11:12 <DIR> PUB
26-01-2005 16:32 1.025 SAUDIT.TXT
29-11-2004 22:15 3.460.184 SDINST~1.EXE sdinstall.exe
29-11-2004 22:10 727.994 SPYWAR~1.ZIP Spyware[1].Doctor.v3.0.0.288.WinALL.CRACKED-LUCiD.ZIP
31-10-2005 17:56 700.416 STUBIN~1.EXE StubInstaller.exe
08-06-2006 12:48 1.203 sys.txt
08-06-2006 12:48 5.725 system.txt
08-06-2006 12:48 104.660 system32.txt
08-06-2006 12:48 1.256 SYSTEM~1.TXT systemtemp.txt
09-02-2006 00:19 <DIR> temp
24-05-2001 12:59 162.304 UNWISE.EXE
10-06-2006 11:34 <DIR> WINDOWS
12 bestand(en) 5.177.300 bytes
13 map(pen) 57.898.053.632 bytes beschikbaar
De volumenaam van station C is HDD
Het volumenummer is A04A-7654

Map van C:\WINDOWS\tasks

09-06-2006 23:00 250 AF3F5BDB9180CDAB.job
04-08-2004 15:00 65 desktop.ini
10-06-2006 11:31 6 SA.DAT
3 bestand(en) 321 bytes
0 map(pen) 57.898.053.632 bytes beschikbaar
__________
MfG Argus
Seitenanfang Seitenende
10.06.2006, 14:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 ich habe ganz vergessen, dass dein System nicht in deutsch ist... ;)
loesche die alte look.bat

Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken

Zitat

cd\
cd C:\Documents and Settings\%UserName%\application data
dir /x >> C:\look.txt
cd C\Documents and Settings\All Users\application data
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.06.2006, 19:55
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#38 @Sabina
Es ist hoffnungslos,ich werde die Leute raten zum Format
Es scheint ein Demo-Rechner zu sein,die seit Monaten im Laden gestanden hat
und als neu verkauft wurde.
Hatte vor einige Wochen Avast4 installiert ist aber nicht mehr da und ein anderes kann ich nicht installieren
Auch steckt ein Dialer drin die bei euch relativ unbekannt ist (Switch)
Ich werde dir per Mail ein Word-dokument schicken über 24start.com vielleicht kannst du es im Zukunft benutzen;)

Ich werde die beiträge über diesen Rechner heute Abend entfernen denn es ist ja ein Test Thread ;)
__________
MfG Argus
Seitenanfang Seitenende
10.06.2006, 22:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 es ist der swizzor-Trojaner, eigentlich kein Problem....

http://virus-protect.org/artikel/spyware/lop1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.06.2006, 23:25
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#40 Deine Seite über Lop hatte ich schon
Cureit hat swizzor-Trojaner entfernt,nur steht unter Software kein MessengerPlus! 3
Ich werde mal nächste Woche der Rechner bei mir zuhause untersuchen
__________
MfG Argus
Seitenanfang Seitenende
11.06.2006, 19:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 der spywaredoctor ist z.b. gecrackt
29-11-2004 22:10 727.994 SPYWAR~1.ZIP Spyware[1].Doctor.v3.0.0.288.WinALL.CRACKED-LUCiD.ZIP
und das andere Log hast du mir noch nicht gepostet, es kann auch der netpumper oder irgendwas anderes sein.............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.06.2006, 15:18
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#42
__________
MfG Argus
Seitenanfang Seitenende
21.06.2006, 16:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 soll ich was an der anleitung umstellen ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.06.2006, 00:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#44 Es gibt Fora wo man keine Bilder benutzen kan
Ich hatte das vornehmen um es wieder zu entfernen
Hatte mit Smitfraud zu tun,SmitfraudFix (vanS!Ri) hat da nicht genuetzt
Es wurden nur 2 eintraege entfernt danach war die Infektion wieder da
C:\WINDOWS\system32\ixt0.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted

Sehe PM
__________
MfG Argus
Dieser Beitrag wurde am 22.06.2006 um 12:16 Uhr von Arnold editiert.
Seitenanfang Seitenende
22.06.2006, 12:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 ich kann dein Doc nicht lesen..poste es anders bitte

zum Problem:
http://virus-protect.org/artikel/spyware/ixt0.html

das muss auch geloescht werden !

Zitat

Verzeichnis von C:\WINDOWS\system32\components

18.06.2006 12:03 12'172 flx1.dll
17.06.2006 08:36 0 flx0.dll
17.06.2006 08:40 0 flx2.dll
17.06.2006 08:43 0 flx3.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: