anti-spy programme finden oft nur wenig

#1 Hallo,

ich habe in letzter Zeit mit meinen Antispyware-Programmen (Ashampoo, spybot, adware) fast nichts finden können. Eigentlich kann das nicht sein, da ich oft im Internet bin. Habe so langsam den Verdacht, das da was nicht stimmt. Hier mein hijackthis logfile:


Logfile of HijackThis v1.99.1
Scan saved at 13:34:52, on 01.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\programme\steam\steam.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\JESSICA\Desktop\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PestBlock] C:\Programme\PestBlock\PestBlock.exe -s
O4 - HKCU\..\Run: [PestBlock Cookie Blocker] C:\Programme\PestBlock\CookieBlocker.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166123493765
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Für Hilfe wäre ich sehr dankbar, ich hoffe ich habe nur falsche einstellungen meiner spyware Programme

DANKE

#2 jessi77

1.
http://virus-protect.org/artikel/tools/agentransack.html
kopiere in Suche:
PestBlock

und poste alles, was erscheint
____________________

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

PestBlock

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

beide finden pestblock nicht, hatte dieses Programm aus ner pc zeitschrift, habe das probiert aber wieder gelöscht. Ausserdem habe ich grade festgestellt, das mein mozilla seiten dreifach öffnet und sich in torret umbenannt hat (die Verknüpfung)...

Achso der registry search zeigt mir folgende meldung an: integer overflow und ich hab das gefühl er macht an einer bestimmten stelle nicht mehr weiter.. ich schau grade was das fürn eintrag ist

#4 versuche es damit:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

PestBlock

Press 'OK'
warten, bis die Suche beendet ist.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo

juhu das programm hat tatsächlich was gefunden

logfile:



REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "PestBlock" 01.01.2007 15:02:37

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Agent_EXE\Agent Ransack\RecentContains]
"1"="PestBlock"

[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Agent_EXE\Agent Ransack\RecentFileName]
"1"="PestBlock"

[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="pestblock"

[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"PestBlock"="C:\\Programme\\PestBlock\\PestBlock.exe -s"

[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"PestBlock Cookie Blocker"="C:\\Programme\\PestBlock\\CookieBlocker.exe -s"

#6 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"PestBlock"=-

[HKEY_USERS\S-1-5-21-1844237615-573735546-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"PestBlock Cookie Blocker"=-

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKCU\..\Run: [PestBlock] C:\Programme\PestBlock\PestBlock.exe -s

O4 - HKCU\..\Run: [PestBlock Cookie Blocker] C:\Programme\PestBlock\CookieBlocker.exe -s

PC neustarten

»»
scanne mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 so hier der bericht


ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Atdmt
Path: C:\Dokumente und Einstellungen\JESSICA\Cookies\jessica@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\JESSICA\Cookies\jessica@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Dokumente und Einstellungen\JESSICA\Cookies\jessica@weborama[2].txt
Risk: Medium



habe grade mal diese O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (hijackthislog)
bei google eingegeben und da heisst es das ist ein Trojaner

kann das was mit meinem mozilla problem zutun haben

Im übrigen hat der hijackthis die pestblock dateien nicht mehr gefunden eben.. also kein fix button usw möglich, scheint aber weg zu sein

#8 nwiz.exe ist kein Trojaner
Nwiz.exe ist ein Teil der Grafikkarten-Treiber von NVIDIA
aber du kannst es mit virustotal ueberpruefen

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ok alle programme haben keinen virus feststellen können, aber noch eine Frage....

Kennt jemand oder du Sabina dieses Problem mit Mozilla? Ich meine, warum benennt der sich einfach in Torrett um und öffnet angewählte Seiten dreimal direkt.

Und hast du Sabina noch nen Tip für mich, möchte mir bezahlte Antiviren und Antispy Programme zulegen. Welche kannst du mir empfehlen...

Danke

#10 lade den firefox, stelle ihn als Standard ein, dann berichte
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ok hab ich alles gemacht aber was soll ich auf der Seite? Den Firefox neu laden???

#12 ja, lade ihn neu , dann berichte, ob sich wieder irgendwelche torrett einstellen
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ja hab den neu geladen bis jetzt stell ich nix fest.... was bedeutet torrett einstellen wenn ich fragen darf

#14 keine ahnung - noch nie sowas gehoert

antispyware-Tools:
http://virus-protect.org/antispytools.html

ich denke jedoch, dass die du schon hast - voellig ausreichen....
zuviele Proggies sind auch nicht gut.

wenn es Prob. gibt : Onlinescanner
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Danke, mir würde eins reichen wenn es nur vernünftig ist, deswegen meine Frage welche du empfehlen kannst, antivirus und antispy.... ansonsten danke für die schnelle und sehr gute hilfe...