Spyware Diskussion von unseren Experten... :)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
19.05.2006, 23:47
Ehrenmitglied
Beiträge: 29434 |
||
|
||
08.06.2006, 12:43
Ehrenmitglied
Beiträge: 6028 |
#32
Logfile of HijackThis v1.99.1
Scan saved at 12:40:53, on 8-6-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\keyhook.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Apps\Powercinema\PCMService.exe C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Lexmark 5200 series\lxbtbmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Microsoft Office\Office\OSA.EXE c:\progra~1\intern~1\iexplore.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\cidaemon.exe C:\Data Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe" O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [option part] C:\DOCUME~1\s\APPLIC~1\DRVFIL~1\else stop.exe O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/ O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.mijnalbum.nl/skin/system/upload/ImageUploader3.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe __________ MfG Argus |
|
|
||
08.06.2006, 13:15
Ehrenmitglied
Beiträge: 29434 |
#33
oh je...der Swizzor-Trojan....
Ich denke mal, jemand konnte es sich nicht verkneifen, den Messenger Plus! + Sponsor zu laden look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.06.2006, 13:28
Ehrenmitglied
Beiträge: 6028 |
#34
Oh,Du bist ja Soooooooo schnell
Ich darauf zurück,zweites Problem kann unter Favoriten nichts entfernen __________ MfG Argus |
|
|
||
08.06.2006, 14:07
Ehrenmitglied
Beiträge: 29434 |
#35
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.06.2006, 11:39
Ehrenmitglied
Beiträge: 6028 |
#36
De volumenaam van station C is HDD
Het volumenummer is A04A-7654 Map van C:\ 22-09-2005 18:20 <DIR> @Home 09-02-2005 21:05 <DIR> APPS 10-06-2006 11:36 <DIR> DATADO~1 Data Download 09-02-2006 13:21 <DIR> DOCUME~1 Documents and Settings 27-01-2005 03:51 5.464 DWNLOG.TXT 19-01-2006 17:10 <DIR> Filmpjes 09-02-2006 13:11 5.294 findlop.txt 09-02-2006 15:53 <DIR> Hoster 10-06-2006 11:36 0 look.txt 09-02-2005 21:11 <DIR> MULTIM~1.00 Multimedia V3.58g.00 20-12-2005 18:28 <DIR> NFSMWD~1 NFSMWDemo 12-03-2005 17:56 <DIR> NIEUWE~1 Nieuwe map 10-06-2006 11:32 <DIR> PROGRA~1 Program Files 10-06-2006 11:12 <DIR> PUB 26-01-2005 16:32 1.025 SAUDIT.TXT 29-11-2004 22:15 3.460.184 SDINST~1.EXE sdinstall.exe 29-11-2004 22:10 727.994 SPYWAR~1.ZIP Spyware[1].Doctor.v3.0.0.288.WinALL.CRACKED-LUCiD.ZIP 31-10-2005 17:56 700.416 STUBIN~1.EXE StubInstaller.exe 08-06-2006 12:48 1.203 sys.txt 08-06-2006 12:48 5.725 system.txt 08-06-2006 12:48 104.660 system32.txt 08-06-2006 12:48 1.256 SYSTEM~1.TXT systemtemp.txt 09-02-2006 00:19 <DIR> temp 24-05-2001 12:59 162.304 UNWISE.EXE 10-06-2006 11:34 <DIR> WINDOWS 12 bestand(en) 5.175.525 bytes 13 map(pen) 57.898.053.632 bytes beschikbaar De volumenaam van station C is HDD Het volumenummer is A04A-7654 Map van C:\ 22-09-2005 18:20 <DIR> @Home 09-02-2005 21:05 <DIR> APPS 10-06-2006 11:36 <DIR> DATADO~1 Data Download 09-02-2006 13:21 <DIR> DOCUME~1 Documents and Settings 27-01-2005 03:51 5.464 DWNLOG.TXT 19-01-2006 17:10 <DIR> Filmpjes 09-02-2006 13:11 5.294 findlop.txt 09-02-2006 15:53 <DIR> Hoster 10-06-2006 11:36 1.775 look.txt 09-02-2005 21:11 <DIR> MULTIM~1.00 Multimedia V3.58g.00 20-12-2005 18:28 <DIR> NFSMWD~1 NFSMWDemo 12-03-2005 17:56 <DIR> NIEUWE~1 Nieuwe map 10-06-2006 11:32 <DIR> PROGRA~1 Program Files 10-06-2006 11:12 <DIR> PUB 26-01-2005 16:32 1.025 SAUDIT.TXT 29-11-2004 22:15 3.460.184 SDINST~1.EXE sdinstall.exe 29-11-2004 22:10 727.994 SPYWAR~1.ZIP Spyware[1].Doctor.v3.0.0.288.WinALL.CRACKED-LUCiD.ZIP 31-10-2005 17:56 700.416 STUBIN~1.EXE StubInstaller.exe 08-06-2006 12:48 1.203 sys.txt 08-06-2006 12:48 5.725 system.txt 08-06-2006 12:48 104.660 system32.txt 08-06-2006 12:48 1.256 SYSTEM~1.TXT systemtemp.txt 09-02-2006 00:19 <DIR> temp 24-05-2001 12:59 162.304 UNWISE.EXE 10-06-2006 11:34 <DIR> WINDOWS 12 bestand(en) 5.177.300 bytes 13 map(pen) 57.898.053.632 bytes beschikbaar De volumenaam van station C is HDD Het volumenummer is A04A-7654 Map van C:\WINDOWS\tasks 09-06-2006 23:00 250 AF3F5BDB9180CDAB.job 04-08-2004 15:00 65 desktop.ini 10-06-2006 11:31 6 SA.DAT 3 bestand(en) 321 bytes 0 map(pen) 57.898.053.632 bytes beschikbaar __________ MfG Argus |
|
|
||
10.06.2006, 14:05
Ehrenmitglied
Beiträge: 29434 |
#37
ich habe ganz vergessen, dass dein System nicht in deutsch ist...
loesche die alte look.bat Text in den Texteditor kopieren abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat und dann diese bat doppeltklicken Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.06.2006, 19:55
Ehrenmitglied
Beiträge: 6028 |
#38
@Sabina
Es ist hoffnungslos,ich werde die Leute raten zum Format Es scheint ein Demo-Rechner zu sein,die seit Monaten im Laden gestanden hat und als neu verkauft wurde. Hatte vor einige Wochen Avast4 installiert ist aber nicht mehr da und ein anderes kann ich nicht installieren Auch steckt ein Dialer drin die bei euch relativ unbekannt ist (Switch) Ich werde dir per Mail ein Word-dokument schicken über 24start.com vielleicht kannst du es im Zukunft benutzen Ich werde die beiträge über diesen Rechner heute Abend entfernen denn es ist ja ein Test Thread __________ MfG Argus |
|
|
||
10.06.2006, 22:42
Ehrenmitglied
Beiträge: 29434 |
#39
es ist der swizzor-Trojaner, eigentlich kein Problem....
http://virus-protect.org/artikel/spyware/lop1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.06.2006, 23:25
Ehrenmitglied
Beiträge: 6028 |
#40
Deine Seite über Lop hatte ich schon
Cureit hat swizzor-Trojaner entfernt,nur steht unter Software kein MessengerPlus! 3 Ich werde mal nächste Woche der Rechner bei mir zuhause untersuchen __________ MfG Argus |
|
|
||
11.06.2006, 19:00
Ehrenmitglied
Beiträge: 29434 |
#41
der spywaredoctor ist z.b. gecrackt
29-11-2004 22:10 727.994 SPYWAR~1.ZIP Spyware[1].Doctor.v3.0.0.288.WinALL.CRACKED-LUCiD.ZIP und das andere Log hast du mir noch nicht gepostet, es kann auch der netpumper oder irgendwas anderes sein............. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.06.2006, 15:18
Ehrenmitglied
Beiträge: 6028 |
||
|
||
21.06.2006, 16:50
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.06.2006, 00:11
Ehrenmitglied
Beiträge: 6028 |
#44
Es gibt Fora wo man keine Bilder benutzen kan
Ich hatte das vornehmen um es wieder zu entfernen Hatte mit Smitfraud zu tun,SmitfraudFix (vanS!Ri) hat da nicht genuetzt Es wurden nur 2 eintraege entfernt danach war die Infektion wieder da C:\WINDOWS\system32\ixt0.dll Deleted C:\WINDOWS\system32\ot.ico Deleted Sehe PM __________ MfG Argus Dieser Beitrag wurde am 22.06.2006 um 12:16 Uhr von Arnold editiert.
|
|
|
||
22.06.2006, 12:05
Ehrenmitglied
Beiträge: 29434 |
#45
ich kann dein Doc nicht lesen..poste es anders bitte
zum Problem: http://virus-protect.org/artikel/spyware/ixt0.html das muss auch geloescht werden ! Zitat Verzeichnis von C:\WINDOWS\system32\components __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
nun wissen wir schon ein bisschen mehr .
__________
MfG Sabina
rund um die PC-Sicherheit