Spyware Diskussion von unseren Experten... :)

#46 Logfile of HijackThis v1.99.1
Scan saved at 2:34:40, on 1-7-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\Data download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Program Files\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\COMMON~1\MICROW~1\Agent\MWASER.EXE

Habe jetzt eScan VC 2006 auf mein zweit Rechner
Neu in die 2006 version sind MWASER und MWAgent.exe
weiss bis jetzt noch nicht wofuer die dienen
Als ich eScan entfernte via Software und unter C:\ die Reste entfernen wollte ging das nicht mit "MWAgent.exe"
Konnte via Service "MWAgent" deaktivieren,als ich dann eScan neu installierte und auch "MWAgent" wieder aktivierte wurde mein TFT Schirm langsam von oben nach unten schwartz
Fremd ist es auch das MWTI fuer version 2006 dieselbe "exe"benutzt als fuer version 2003(vwn2k3e.exe)
__________
MfG Argus

#47 Hallo Arnold,

Zitat

The MonitorWare Agent service 2.x program is called "mwagent.exe". Product features include automatic monitoring of Windows Event Logs, monitors Text Files, external events, active network probes etc.

Quelle: http://www.mwti.net/process/process.asp?pid=156

Ich nehme an, das es ein neuer Hintergrundwaechter ist.

Zitat

mwaser.exe is the service module for MicroWorld AntiVirus Toolkit MWAV.

Quelle: http://www.mwti.net/process/process.asp?pid=177

lg,

Johannes
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#48 Hab mal ein Mail nach EU Support von MicroWorld Technologies in Deutschland geschickt
Hab ja noch ein Problem mit eScan auf mein neuen Rechner
Man sieht jetzt auch in Hijack This diesen eintraege erscheinen
http://board.protecus.de/t23910.htm
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
Hier hat sean_john der Anschein nach ein trail Version benutzt und die MWAgent.exe nicht entfernen koennen
Auf folgende weisse gehts:
Start>Ausfuehren>tippe msconfig ok.Tab-Services-haeckchen entfernen bei MWAgent und unter C:\Programme\Gemeinsame Dateien\MicroWorld /Agent entfernen

Unter Services.msc muss dieser Eintrag dan verschwunden sein

__________
MfG Argus

#49 Hab jetzt mein letzter Problem mit eScan lösen können.
Jedes mal wenn ich eScan startete kam die mitteilung:

"Fehlermeldung: Es befindet sich kein Datenträger im Laufwerk...."
"Legen Sie einen Datenträger in Laufwerk ..................."

In die modernen Rechner von heute sind auch Card-reader integriert und die verursachten bei mir diesen Problem.
Hab sie jetzt deaktiviert und das Problem hat sich erledigt.
Ich werde MWTI von dieser Aktion natürlich berichten,denn irgend etwas stimmt natürlich nicht.
__________
MfG Argus

#50 Etwas über Inhoster
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
org-name: INHOSTER
*************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
*************************************
person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
*************************************
person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20 , Solomenskaya street. room 201.
address: UA
phone: +357 99 117759

Von ul.Antonova 5 gibt es in Kiev mehere Strassen,glaube eher es ist ein Gebaüde.
Hab bis jetzt kein Bild.
Wenn man in Google "ul.Antonova 5" eingibt dan gibt es eine Österreichische Firma die auch sitz hat auf diese Adresse

Solomenskaya street

Ist eine Strasse aber auch ein Gebaüde.
Klicke via diesen Link http://www.urs.net.ua/ auf nummer 14



Und wie ein Deutsche Reise Veranstalter so treffend schreibt

Zitat

Die Ukraine ist heute jedoch durch Schattenwirtschaft und Korruption am Rande des wirtschaftlichen Zusammenbruchs.

__________
MfG Argus

#51 wollte da nicht jemand direkt nachschauen ?

es ist ein buerogebaeude, da wird es viele Firmen versammelt geben, die oesterreichische Firma muss nicht unbedingt damit etwas zu tun habe. welche firma ist es denn ? (Name)

01110, Ukraine, Kiev, 20, Solomenskaya street. room 201 -> man muesstre mal in diesem Raum nachschauen... wer reist mal schnell hin ?

--------------------------------------------------------------------

O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe
O4 - HKLM\..\Run: [dmyef.exe] C:\WINDOWS\system32\dmyef.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159


Tracing route to 85.255.115.77 [85.255.115.77]...
hop rtt rtt rtt ip address domain name
1 0 1 0 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.161 vl2.dsr01.dllstx5.theplanet.com
3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com
4 0 0 0 70.85.127.37 25.7f.5546.static.theplanet.com
5 0 0 0 63.218.23.25 ge5-3.br02.dal01.pccwbtn.net
6 33 33 33 63.216.31.130 wvfiber.ge2-6.br01.atl01.pccwbtn.net
7 51 51 51 63.223.0.82 dal-c00-pos4-0.OC48.atl-c00-pos-1-14-1.wvfiber.net
8 208 204 203 63.223.0.85 law-c00-pos.OC48.dal-c00-pos5-0.wvfiber.net
9 82 82 82 63.223.0.177 sjc-c00-pos-1-6-1.OC48-lax-c00-pos-1-36-1.wvfiber.net
10 81 81 81 63.223.30.29 sfc-c00-ge-5-0.GE-sjc-c00-gbe-1-5-8.wvfiber.net
11 73 73 70 63.223.30.130 sfc-b1-00-ve24-ctr-atrivo.wvfiber.net
12 70 68 67 85.255.115.77

63.223.30.130 = [ sfc-b1-00-ve24-ctr-atrivo.wvfiber.net ]

OrgName: Beyond The Network America Inc.
OrgID: BNA-42
Address: 520 Herndon Parkway
Address: Suite E
City: Herndon
StateProv: VA
PostalCode: 20170
Country: US
NetRange: 63.216.0.0 - 63.223.255.255
CIDR: 63.216.0.0/13
NetName: BTN-CIDR5
NetHandle: NET-63-216-0-0-1
Parent: NET-63-0-0-0-0
NetType: Direct Allocation
NameServer: NS.CAIS.COM
NameServer: NS2.CAIS.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 1999-12-09
Updated: 2004-11-12
OrgNOCHandle: NOC1582-ARIN
OrgNOCName: NOC
OrgNOCPhone: 1-703-621-1637
OrgNOCEmail: supportamerica@btnaccess.com

OrgTechHandle: JKI101-ARIN
OrgTechName: Kim Joon
OrgTechPhone: 1-703-621-3974
OrgTechEmail: jkim@pccwglobal.com

----------------


Netblock: 85.255.112.0/20 (85.255.112.0-85.255.127.255)
Record Created: Wed Sep 7 12:19:20 2005 GMT
Record Updated: Wed Sep 7 14:19:55 2005 GMT
Additional Information: estdomains/esthost/estboxes/inhoster
Currently active and flagged to be published in DNS
__________
MfG Sabina

rund um die PC-Sicherheit

#52

Zitat

wollte da nicht jemand direkt nachschauen

Ja,ja, Er war auch da, aber konnte die Adresse nicht finden!
Und das stimmt ja auch,denn die Daten im Whois sind ja in der Englischer Sprache.

Solomenskaya street = óë. Ñîëîìåíñêàÿ

Als ich ihm das mitteilen wollte war er schon wieder Richtung "zu Hause"
"Die Liebe ist wie eine Ampel"

Ich glaub auch nicht das sich da etwas von Inhoster befindet!
__________
MfG Argus

#53 Zum IntCodec.com
IP: 85.255.118.10
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
tech-c: FWHS1-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: RECIT-MNT
mnt-routes: RECIT-MNT
mnt-domains: RECIT-MNT
mnt-by: DAV-MNT
mnt-routes: DAV-MNT
mnt-domains: DAV-MNT
source: RIPE # Filtered

organisation: ORG-EST1-RIPE
org-name: INHOSTER
org-type: NON-REGISTRY
remarks: *************************************
remarks: * Abuse contacts: abuse@inhoster.com *
remarks: *************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
e-mail: support@inhoster.com
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
mnt-ref: DAV-MNT
mnt-by: DAV-MNT
source: RIPE # Filtered

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered

person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
address: UA
phone: +357 99 117759
e-mail: support@fwebhost.com
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered

Edit
http://research.sunbelt-software.com/threatdisplay.aspx?name=Zlob.Media-Codec&threatid=44478


__________
MfG Argus

#54 feiner Shot, hab ich gleich gemaust
http://virus-protect.org/artikel/spyware/intcodec_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#55 Macht nichts,hab noch mehr schöne Bilder
z.b Wie fährt ein (Korrupter)Polizist in Kiëv?


__________
MfG Argus

#56 **

ich habe wieder was von denen gefunden, die sind sehr fleissig...
http://virus-protect.org/artikel/spyware/win32hlp.html

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
O2 - BHO: (no name) - {87185E78-A61B-4DB3-965A-3235BBD7A622} - C:\WINDOWS\system32\win32hp.dll
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\win32hlp.exe

eine Userin hat mal in die zugehoerige dat gespaeht, ich habe sie in Auszuegen auf der Seite
C:\Programme\Internet Explorer\win32hp.dat

Zitat

[domains]
"homepeople.info"
#,"hotwebfinder.com", "search404.com", "mywebseek.com", "hotwebseek.com", "fastwebseek.com"
#

----------------------------------------------------

inetnum: 195.225.176.0 - 195.225.179.255
netname: NETCATHOST
descr: NetcatHosting
country: UA

person: Vsevolod Stetsinsky
address: 01110, Ukraine, Kiev, 20, Solomenskaya street. room 206.
phone: +38 050 6226676
e-mail: vs@netcathost.com
nic-hdl: VS1142-RIPE
changed: vs@netcathost.com 20040303
__________
MfG Sabina

rund um die PC-Sicherheit

#57 Hab mir mal "Windows Live OneCare safety" ueber mein Rechner sausen lassen
Hat 303 items im Registry entfernt
Ohne an zu geben um was es sich handelt
Darauf ging nicht mehr
Die einzige loesing die man anbietet ist Systemwiederherstellung
Wat soll ik mit so ein Programm anfangen

__________
MfG Argus

#58 Im letzten Security update August wurde ein patch mitgeliefert fuer ein "vulnerable"in MS Office
http://support.microsoft.com/kb/921645
Ich geh davon aus,dass wenn man ein illigaler version von Office benutzt dieser Patch nicht installiert wird,oder?

http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-081616-2104-99
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FMDROPPER%2EBI&VSect=T
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_AGENT.DNX
__________
MfG Argus

#59

Zitat

Darauf ging nicht mehr

hat MS sein eigenes Betriebssystem zerschossen ? beschreib mal - was ging nicht mehr ?
__________
MfG Sabina

rund um die PC-Sicherheit

#60 Die Verknuepfungen zum desktop waren hin
Dauerte lange um im Netz zukommen
Nachdem Systemwiederherstellung ausgefuehrt hatte musste ich die August updates auch wieder neu installieren.
__________
MfG Argus