daten gehen unkontrollierbar ins netz

#1 hallo,
ich habe das gefühl, dass all meine daten irgendwohin gesendet werden.
Schon beim hochfahren meines pc kommt es vor der anmeldung zu zugriffen auf das internet. Wenn ich dann meine anmeldedaten eingegeben habe und ok drücke, sehe ich wieder eine laufende verbindung.
ich habe auf dem rechner zonealarm, pestpatrol und xpclean.
betriebssystem ist windows2000.
kann mir jemand weiterhelfen?
vielen dank im voraus
christian

#2 chris50

arbeite das ab und poste hier die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo, habe versucht die Schritte abzuarbeiten. das hijackscript poste ich.
bei cleanup452 habe ich schwierigkeiten - da ist delete prefetchfiles inaktiv

Logfile of HijackThis v1.99.1
Scan saved at 13:17:35, on 19.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ZoneLabs\isafe.exe
C:\WINNT\system32\mobsync.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\DirectCD\DIRECTCD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Security Task Manager\SpyProtector.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\BABYLO~1\babylon.exe
C:\Programme\Norton Utilities\SYSDOC32.EXE
C:\Programme\Exif Launcher\QuickDCF.exe
C:\WINNT\speech\vcmd.exe
C:\wincmd\TOTALCMD.EXE
D:\DownloadNeuVirus\Entpacken\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:1051
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRA~1\BABYLO~1\babylon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166936771681
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168061351795
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D5F0DD5-3CC9-47DC-9735-D2BF4DCB816A}: NameServer = 192.168.0.1
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINNT\system32\ZoneLabs\isafe.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

#4 wende cleanup dennoch an
dann poste die anderen logs
__________
MfG Sabina

rund um die PC-Sicherheit

#5 habe cleanup angewendet und ebenfalls combofix. jetzt habe ich keinen ie mehr auf dem desktop und auch un der startleiste nicht mehr. habe ihn jetzt über windows update gestartet.
hier das logfile von combofix

"HST" - Fr 19.01.2007 14:09:27 Service Pack 4
ComboFix 07-01-18 - Running from: "D:\DownloadNeuVirus"

((((((((((((((((((((((((((((((( Files Created from 2006-12-19 to 2007-01-19 ))))))))))))))))))))))))))))))))))


2007-01-16 07:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\SecTaskMan
2007-01-16 07:29 <DIR> d-------- C:\Programme\Security Task Manager
2007-01-14 18:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Spybot - Search & Destroy
2007-01-12 07:50 <DIR> d-------- C:\Programme\XPcleanV7
2007-01-08 15:21 <DIR> d-------- C:\DOKUME~1\HST\Anwendungsdaten\Lavasoft
2007-01-07 03:58 128,232 --a------ C:\WINNT\system32\mucltui.dll
2007-01-06 10:21 <DIR> d-------- C:\Programme\SaferSurf Setup
2007-01-05 10:53 28,672 --a------ C:\WINNT\system32\drivers\CO_Mon.sys
2007-01-03 04:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Yahoo!
2007-01-03 04:21 <DIR> d-------- C:\DOKUME~1\HST\Anwendungsdaten\Yahoo! Messenger
2007-01-01 17:03 1,021,504 --a------ C:\WINNT\system32\vete.dll
2006-12-31 18:24 <DIR> d-------- C:\DOKUME~1\HST\.javaws
2006-12-28 11:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2006-12-25 15:08 <DIR> d-------- C:\DOKUME~1\HST\AccessManager
2006-12-25 14:45 <DIR> d-------- C:\WINNT\CAVTemp
2006-12-25 10:49 <DIR> d-------- C:\Programme\Google
2006-12-25 10:49 <DIR> d-------- C:\DOKUME~1\HST\Anwendungsdaten\Google
2006-12-25 10:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google
2006-12-25 07:23 91,904 --a------ C:\WINNT\system32\S32EVNT1.DLL
2006-12-24 07:19 <DIR> d-------- C:\WINNT\system32\Windows Media
2006-12-24 07:16 <DIR> d--h----- C:\WINNT\$NtUpdateRollupPackUninstall$
2006-12-24 07:16 <DIR> d-------- C:\WINNT\msiinst.tmp
2006-12-24 06:08 41,240 --a------ C:\WINNT\system32\wups.dll
2006-12-24 06:08 194,840 --a------ C:\WINNT\system32\wuaueng1.dll
2006-12-24 06:08 18,200 --a------ C:\WINNT\system32\wups2.dll
2006-12-24 06:08 174,872 --a------ C:\WINNT\system32\wuauclt1.exe
2006-12-24 06:08 128,280 --a------ C:\WINNT\system32\wucltui.dll
2006-12-24 06:07 466,200 --a------ C:\WINNT\system32\wuapi.dll
2006-12-24 06:06 <DIR> d-------- C:\WINNT\SoftwareDistribution
2006-12-23 13:58 77,824 --a------ C:\WINNT\system32\driverif.dll
2006-12-23 13:58 75,776 --a------ C:\WINNT\zllsputility.exe
2006-12-23 13:58 645,904 --a------ C:\WINNT\system32\drivers\vetmonnt.sys
2006-12-23 13:58 21,605 --a------ C:\WINNT\system32\drivers\vet-filt.sys
2006-12-23 13:58 15,668 --a------ C:\WINNT\system32\drivers\vet-rec.sys
2006-12-23 13:58 12,288 --a------ C:\WINNT\system32\vetntmsg.dll
2006-12-23 13:58 115,088 --a------ C:\WINNT\system32\drivers\vetfddnt.sys
2006-12-23 13:58 11,264 --a------ C:\WINNT\system32\SpOrder.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-08 02:02 2174976 --a------ C:\WINNT\system32\wmvcore.dll
2006-11-06 12:47 596480 --a------ C:\WINNT\system32\inetcomm.dll
2006-11-04 14:17 1245696 --a------ C:\WINNT\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"Yahoo! Pager"="C:\\Programme\\Yahoo!\\Messenger\\ypager.exe -quiet"
"Babylon Translator"="C:\\PROGRA~1\\BABYLO~1\\babylon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"PestPatrol Control Center"="C:\\Programme\\PestPatrol\\PPControl.exe"
"PPMemCheck"="C:\\Programme\\PestPatrol\\PPMemCheck.exe"
"Adaptec DirectCD"="C:\\Programme\\DirectCD\\DIRECTCD.EXE"
"REGSHAVE"="C:\\Progra~1\\REGSHAVE\\REGSHAVE.EXE /autorun"
"SSC_UserPrompt"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe"
"PinnacleDriverCheck"="C:\\WINNT\\system32\\PSDrvCheck.exe -CheckReg"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{FA010552-4A27-4cb1-A1BB-3E2D697F1639}"="SpySubtract Shell Extension"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss REG_MULTI_SZ RpcSs\0\0
wugroup REG_MULTI_SZ wuauserv\0\0
BITSgroup REG_MULTI_SZ BITS\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
WmdmPmSN


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\Symantec NetDetect.job

Completion time: Fri 2007-01-19 14:17:48

#6 hast du einen Vertrag mit SaferSurf abgeschlossen ?
dann werden alle deine Datenstroeme ueber deren proxy geleitet, und somit auch alle deine Daten.
Finde ich nicht sehr angenehm - aber du musst es wissen

»»
combofix und Cleanup loeschen keine IE-Symbole auf dem Desktop oder der Startleiste - wahrscheinlich hast du mit anderen Proggies zuviel gesaeubert.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hatte ich abgeschlossen. hab ich aber nicht mehr laufen und habe hier spyboot search & destroy noch draufgehabt habe es allerdings im moment nicht laufen. nach combifix sollte neue startseite in ie eingetragen werden. wurde sicher von spyboot verhindert.

#8 du surfst ueber einen Proxy ...weiss du nicht mal welcher das ist ???

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:1051

___________

2007-01-06 10:21 <DIR> d-------- C:\Programme\SaferSurf Setup
__________
MfG Sabina

rund um die PC-Sicherheit

#9 könnte das mein router sein? D-Link

in crogramme safwersurf setup ist eine textdatei

[Start setup: Sat Jan 06 10:21:57 2007]
Path: F:\SaferSurf\SaferSurf-Install.exe
Params:
GetValue: HtmlOpenCmd="C:\Programme\Internet Explorer\iexplore.exe" -nohome
GetValue: UserAgent=Mozilla/4.0 (compatible; MSIE 6.0; Win32)
GetValue: MailClient=Outlook Express
Writting settings for: IE
GetValue: Version=6.0.2800.1106
Setting connection: DefaultConnectionSettings
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1047
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: SavedLegacySettings
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1047
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: Microsoft Internet Referral Service
OldValue: AutoConfigURL=
OldValue: ProxyServer=
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: Verbindung zu 191011
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1047
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: Acer Modem
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1027
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: TDSL
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1027
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: Verbindung zu 0
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1047
SetValue: ProxyHttp=garak.safersurf.com:8001
Setting connection: Verbindung zu 0Neu
OldValue: AutoConfigURL=
OldValue: ProxyServer=http=localhost:1047
SetValue: ProxyHttp=garak.safersurf.com:8001
SetValue: ProxyHttp1.1=1
SetValue: EnableHttp1_1=1
Writting settings for: MS Outlook Express
OldValue: DefaultMailAccount=pop.gmx.net
Identity: Hauptidentität
GetValue: PollForMail=600
[Setup done]

[Start setup: Sat Jan 06 12:57:06 2007]
Path: F:\SaferSurf\SaferSurf-Install.exe
Params:
GetValue: HtmlOpenCmd="C:\Programme\Internet Explorer\iexplore.exe" -nohome
GetValue: UserAgent=Mozilla/4.0 (compatible; MSIE 6.0; Win32)
GetValue: MailClient=Outlook Express
[Setup done]

#10 1.
ich werde den Thread verschieben...da ich mich nicht gut mit Routern und proxys auskenne - aber meiner Meinung nach, bedeutet ein Router nicht unbedingt einen Proxy-Eintrag im HijackThis-Log.
safersurf ist noch aktiv. - womit sich der Datentransfer erklaert - uebrigens , ich empfehle niemandem, mit dieser Firma einen Vertrag abzuschliessen.......................

2.
deinstalliere:
C:\Programme\SaferSurf Setup
F:\SaferSurf

»»
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:1051

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Da scheint lokal ein Proxy zu laufen, auf den alle http-anfragen umgebogen werden. Ob sich das mit dem deinstall dieser Software bessert, keine Ahnung, ich würde bei so einer kompromittierung eh zu einem Neuinstall raten.

Ach ja, vielleicht noch interessant was in der hosts Datei steht.

Der Router hat im übrigen rein gar nichts damit zu tun, das "Problem" entstand alleine durch die sorglosigkeit des Anwenders... Wobei immer noch die Frage ist ob es sich hier überhaupt um ein Problem handelt, weil ja auch ungeklärt ist was da für Daten übertragen werden.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#12 läßt sich nicht deinstallieren, das häkchen habe ich gesetzt.

jetzt sieht es so aus


Logfile of HijackThis v1.99.1
Scan saved at 16:28:25, on 19.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ZoneLabs\isafe.exe
C:\WINNT\system32\mobsync.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\DirectCD\DIRECTCD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\BABYLO~1\babylon.exe
C:\Programme\Norton Utilities\SYSDOC32.EXE
C:\WINNT\speech\vcmd.exe
C:\Programme\Exif Launcher\QuickDCF.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\DownloadNeuVirus\Entpacken\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRA~1\BABYLO~1\babylon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166936771681
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168061351795
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D5F0DD5-3CC9-47DC-9735-D2BF4DCB816A}: NameServer = 192.168.0.1
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINNT\system32\ZoneLabs\isafe.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

#13 nun muesste eigentlich Ruhe herrschen - oder nicht ?
ueber Safersurf gibt es so einiges zu lesen - auch hier im Forum (obwohl der Betreiber von unserem Forum gezwungen wurde (vom Safersurf-Rechtsanwalt), so einiges aus dem Thread, der das Thema behandelt - rauszuloeschen.
__________
MfG Sabina

rund um die PC-Sicherheit

#14 hallo,
erst einmal vielen dank für die bisher geleistete hilfe. das problem bestand jedoch weiterhin, dass ich bei jeder programmöffnung oder auch exploreröffnung oder suchen modemaktivitäten hatte. Ich konnte mich leider erst heute früh weiter damit beschäftigen.
Habe einfach alle SaferSurf Dateien gelöscht und ebenfalls in der registry alle einträge safersurf. habe neu gestartet ohne verbindung zum internet. habe mit Windoctor alle fehlerhaften einträge per hand gelöscht. dabei stellte ich bei zonealarm fest, dass immernoch meine aktivitäten gesendet werden sollten.
mir viel dann eine desktop.ini auf, die auf dem desktop lag. diese habe ich dann gelöscht. wiederum neustart, korrekturen mit windoctor. jetzt kann ich die aktivitäten der firewall nicht mehr festellen. habe combofix noch mal laufen lassen (das log-file habe ich auf dem betroffenen rechner) und neustart.
habe dann c nach desktop.ini abgesucht und 7 mal eine gefunden. in temporary internet files eine mit änderungsdatum von heute und so ebenfalls eine in content.ie5. diese habe ich allerdings noch nicht gelöscht.
besteht denn nun die möglichkeit, das über diese desktop.ini die beobachtung meiner aktivitäten übernommen wurde? habe den rechner bisher noch nicht wieder in meinem netzwerk gehabt.
besteht die möglichkeit, dass auch der rechner, von dem ich jetzt sende das gleiche problem hat (kann von ihm aus das modem nicht beobachten)

mfg christian

#15 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit