Kann ich einen Spion haben?!? Bitte helft mir...

Dieses Thema Kann ich einen Spion haben?!? Bitte helft mir... im Forum "Sonstiges rund ums Internet" wurde erstellt von Trierer79, 10. Aug. 2004.

Thema: Kann ich einen Spion haben?!? Bitte helft mir... hallo leute, ich habe seit ein paar tagen eine sehr hohe senderate, egal ob ich browser oder icq offen habe oder...

  1. hallo leute,

    ich habe seit ein paar tagen eine sehr hohe senderate, egal ob ich browser oder icq offen habe oder nicht, ca. 5-12 bytes pro sekunde.
    ich habe antivir und 0190warner installiert und nichts gefunden. dann habe ich spybot drüberlaufen lassen und habe DSO Exploit gefunden und entfernen lassen. aber es hat sich nichts geändert. ich habe dann noch den online scan von trend micro ausprobiert und jetzt habe ich die datei payload.dat gefunden, allerdings ohne den dazugehörigen virus... ich habe alles gelöscht, aber nichts passiert... hier ist mein hijack scan:

    Logfile of HijackThis v1.98.2
    Scan saved at 21:29:20, on 10.08.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\AVPersonal\AVSched32.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\wuamgrd.exe
    C:\WINDOWS\System32\secure.exe
    C:\WINDOWS\System32\explore.exe
    C:\WINDOWS\System32\MSltie.exe
    C:\WINDOWS\System32\explorer.exe
    C:\WINDOWS\system\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\System32\MSltie.exe
    C:\PROGRA~1\GMXPRO~1\GMXINT~1\GMX_Internet_Manager.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\xxxxxxxxxxx\Eigene Dateien\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
    O4 - HKLM\..\Run: [Microsoft AUT Update] secure.exe
    O4 - HKLM\..\Run: [Microsoft WinUpdate] ec.exe
    O4 - HKLM\..\Run: [Micros0ft Update] explore.exe
    O4 - HKLM\..\Run: [Configuration Load] MSltie.exe
    O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
    O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system\rundll32.exe
    O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
    O4 - HKLM\..\RunServices: [Microsoft AUT Update] secure.exe
    O4 - HKLM\..\RunServices: [Microsoft WinUpdate] ec.exe
    O4 - HKLM\..\RunServices: [Micros0ft Update] explore.exe
    O4 - HKLM\..\RunServices: [Configuration Load] MSltie.exe
    O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
    O4 - HKCU\..\Run: [Microsoft AUT Update] secure.exe
    O4 - HKCU\..\Run: [Microsoft WinUpdate] ec.exe
    O4 - HKCU\..\Run: [Micros0ft Update] explore.exe
    O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
    O4 - HKCU\..\Run: [Configuration Load] MSltie.exe
    O4 - HKCU\..\Run: [WindowsRegKey Autoupdate] explorer.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: ConferenceRoom Java Client - http://chat.interlatin.com/java/cr.cab
    O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version3/Applet/vchatsign.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...pple.com/borris/us/win/QuickTimeInstaller.exe
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/038e938b8708f9a7dc21/netzip/RdxIE601_de.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F9FE798E-56CF-498E-92E4-E3FAE8A8410F}: NameServer = 217.237.150.33 194.25.2.129

    kann mir bitte jemand helfen? ich bin total verzweifelt... danke!!!

    michael
     
  2. Meiner bescheidenen Meinung nach alles Müll.
     
  3. Und was kann ich Deiner Meinung nach jetzt tun?
     
  4. Die entsprechenden Prozesse killen, die Einträge fixen mit HijackThis und die Dateien löschen.
     
  5. sind das gefährliche viren oder so? kann ich das einfach so löschen aus der registry? sorry, bin nicht so fit darin....
     
  6. hp
    hp
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    die auch noch fixen

    bei den 016 diejenigen, die dir eventuell nicht bekannt sind auch fixen. nach dem scan vorgang wird dir ja ein bilschirm mit kästchen links neben den einträgen ausgegeben, an die von flocke und mir vorgeschlagenen einträge ein häkchen machen und fixen lassen. dabei werden sie aus der registry gelöscht, vorher wie flocke schon geschrieben hat, die prozesse die laufen beenden (über taskmanager killen) und zum schluss dann die dateien über den explorer suchen und löschen. eventuell mußt du noch die wiederherstellung mal daktivieren, damit die bösewichte auch aus den wiederherstellungspunkten gelöscht werden. ich würde dir noch zusätzlich zum spybot auch ad-aware empfehlen, das findet mit sicherheit noch andere bösewichte die spybot nicht kann. hast du mit spybot deine kiste auch immunisiert? dann bist du auf dauer einige der bösewichte los. auch mal einen onlinecheck der kiste machen z.b. mit dem link hier

    http://security.symantec.com/sscv6/default.asp?langid=ge&venid=sym oder mit dem hier www.pestscan.com

    greetz

    hugo
     
  7. danke für eure hilfe!
    ich kann nur den ordner windows\system32 nicht finden, in dem sich die ganzen dateien befinden und wenn ich bei explorer.exe den prozess beende, dann wird bei mir nur noch das hintergrundbild angezeigt. kann ich das dann trotzdem löschen?
    danke!!!!!
     
  8. Du beendest die falsche explorer.exe, du hast nämlich eine gute und eine schlechte aufm System. Die gute liegt in C:\Windows und die schlechte in C:\Windows\system32. Wenn du die gute beendest ist klar, daß nichts mehr angezeigt wird, denn alles was du unter Windows siehst wird über die explorer.exe dargestellt. Wenn die beendet wird, ist erstmal Schicht im Schacht.
    Du musst im Task-Manager also die andere (schlechte) Datei beenden.

    Den Ordner system32 musst du übrigens finden, der wird auch standardmäßig nicht ausgeblendet. Laß dir trotzdem mal über die Ordneroptionen sowohl alle Dateien anzeigen als auch die geschützten Systemdateien.
     
  9. danke! habe system32 gefunden und alles ist gelöscht!!!
    habe escan drüber laufen lassen und der hat fast alles weggemacht.
    habe allerdings nur ein kleines problem: bei jedem start öffnet sich bei mir zweimal die datei eigene ordner... seitdem escan drübergescannt hat ist das so. kann es sein, dass mein laptop jetzt den explorer startet anstelle der virendatei explorer.exe?!?

    hier der log von hijack:

    Logfile of HijackThis v1.98.2
    Scan saved at 19:32:31, on 11.08.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\eScan\TRAYSSER.EXE
    C:\PROGRA~1\eScan\avpm.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\system\rundll32.exe
    C:\PROGRA~1\eScan\TRAYICOS.EXE
    C:\PROGRA~1\eScan\AVPMWrap.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\eScan\AvpM.exe
    C:\PROGRA~1\eScan\MAILDISP.EXE
    C:\PROGRA~1\GMXPRO~1\GMXINT~1\GMX_Internet_Manager.exe
    C:\PROGRA~1\eScan\SPOOLER.EXE
    C:\PROGRA~1\eScan\MAILSCAN.EXE
    C:\PROGRA~1\eScan\kavss.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
    C:\PROGRA~1\ICQ\ICQ.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\xxxxxxxxxx\Eigene Dateien\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
    O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system\rundll32.exe
    O4 - HKLM\..\Run: [MailScan Dispatcher] C:\Programme\eScan\LAUNCH.EXE
    O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
    O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
    O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
    O4 - HKCU\..\Run: [WindowsRegKey Autoupdate] explorer.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O10 - Broken Internet access because of LSP provider->mwtsp.dll' missing
    O16 - DPF: ConferenceRoom Java Client - http://chat.interlatin.com/java/cr.cab
    O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version3/Applet/vchatsign.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...pple.com/borris/us/win/QuickTimeInstaller.exe
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/038e938b8708f9a7dc21/netzip/RdxIE601_de.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F9FE798E-56CF-498E-92E4-E3FAE8A8410F}: NameServer = 217.237.150.33 194.25.2.129


    schonmal vielen dank!!!
     
  10. hp
    hp
    O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe
    O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe
    O4 - HKCU\..\Run: [WindowsRegKey Autoupdate] explorer.exe

    die hast du ja nicht gefixt, so wie flocke das ja schon vorgeschlagen hat.

    greetz

    hugo
     
Die Seite wird geladen...

Kann ich einen Spion haben?!? Bitte helft mir... - Ähnliche Themen

Forum Datum
Wie kann ich im "Öffnen-Dialog" einen Favoritenordner einstellen? Windows Server-Systeme 27. Okt. 2015
Kann keinen neuen Benutzer erstellen Windows 8 Forum 2. Juni 2015
Wie kann ich windows 7 auf meinen Notbock instaieren? Windows 7 Forum 24. Okt. 2014
Kann keinen Basisordner in SBS 2003 erstellen Windows XP Forum 21. Feb. 2012
(suche) Video-SW, mit der ich einen bestehenden Film 90° drehen kann Audio, Video und Brennen 30. Aug. 2011