Mein Notebook ist voll Spyware

  • #1
B

Basler

Bekanntes Mitglied
Themenersteller
Dabei seit
19.01.2004
Beiträge
77
Reaktionspunkte
0
Hallo
Also ich habe ein Problem und zwar ist mein PC voll mit Spyware.
Ich habe Ad-Aware und Spybot drüberlaufen lassen und habe einen Scan mit Hjackthis gemacht und dabei alles Bedrohungen gefixt!
Nun sind aber immer noch sehr viele da, kann mir jemand weiter helfen??
 
  • #2
Ja, mit einem Log von HijackThis. :)
 
  • #3
PCDSmartie schrieb:
Ja, mit einem Log von HijackThis. :)
Zum Vergrößern anklicken....

He?? Sorry aber ich versteh nicht ganz..?!
Als ich den Scan mit Hjackthis gemacht habe, habe ich den LOG auf eingeben und alles böse gefixt!

Was kann ich machen??
 
  • #4
es mal hier posten, damit wir es uns ansehen können.

Gruss
Dakota
 
  • #5
also hier mal eines meiner vielen Spyware Probleme:

1024_3466393162373338.jpg




Und hier der LOG von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:35:40, on 13.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\MSev32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\roland\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3CB1D08E-26E6-B80D-91A3-83ADC855940A} - C:\DOKUME~1\roland\ANWEND~1\TRUSTT~1\flaw upload.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D80F1A46-A40A-4763-A1AD-1F78DAAFBB2A} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] C:\Progra~1\Launch Manager\PowerKey.exe
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] C:\Progra~1\Launch Manager\Wbutton.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [cash roam date browse] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Exit ref cash roam\title bolt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft EV32 Service] MSev32.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [Microsoft EV32 Service] MSev32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OnlineCdrom] C:\DOKUME~1\roland\ANWEND~1\ATOMDE~1\32third.exe
O4 - HKCU\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe /WinStart
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
O18 - Filter: text/html - {F83F6FEF-EA97-4427-83F5-480B7FB1298D} - (no file)
O18 - Filter: text/plain - {F83F6FEF-EA97-4427-83F5-480B7FB1298D} - (no file)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: iTunes Music Service (iTunesMusic) - Apple - C:\WINDOWS\iTunesMusic.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
 
  • #6
Ist hier irgendwo ein Fehler vorhanden??
 
  • #7
Schau mal unter Start - Systemsteuerung - Software ob dort diese Searchbars aufgeführt werden.
Wenn ja, deinstallieren.

Anschließend würde ich den folgenden Einträge fixen, dabei muss der IE geschlossen sein und die Dateien aus den Verzeichnissen löschen

O2 - BHO: (no name) - {3CB1D08E-26E6-B80D-91A3-83ADC855940A} - C:\DOKUME~1\roland\ANWEND~1\TRUSTT~1\flaw upload.exe

O4 - HKLM\..\Run: [cash roam date browse] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Exit ref cash roam\title bolt.exe

O4 - HKLM\..\Run: [Microsoft EV32 Service] MSev32.exe

O4 - HKLM\..\RunServices: [Microsoft EV32 Service] MSev32.exe

O4 - HKCU\..\Run: [OnlineCdrom] C:\DOKUME~1\roland\ANWEND~1\ATOMDE~1\32third.exe
Zum Vergrößern anklicken....

Ausser diese Prozesse sind Dir bekannt und Du möchtest diese behalten..

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Zum Vergrößern anklicken....

Dein System ist nicht auf dem aktuellen Stand und IMHO solltest Du auch nicht mit Administratorrechten im Internet unterwegs sein.
 
  • #8
Eine Menge der Probleme mit Spyware kannst du auch dadurch beheben, dass du nicht mehr mit dem Internet Explorer surfst. Probier doch mal Firefox
 
  • #9
Aja, er verwendet jetzt Firefox und ist damit all seine Probleme los, dass die Spywareteile fleißig nach Hause telefonieren. Interessante Logik...
Rein prinzipiell gebe ich dir Recht (mit alternativen Browsern lässt sich vieles vermeiden), trotzdem müssen die vorhandenen Probleme auch behoben und nicht einfach in die stille Ecke gestellt werden.
 
  • #10
  • #11
Deine Prozesse kannste am besten überprüfen mit procexpnt von Winternals...
dürfte sogar freeware sein.
Nur als TIP:
KAZZZAAAA und EMule runter ....

PS: brauchste ja nicht löschen sondern nur ersteinmal verschiebn und umbenennen... ;-)
 
  • #12
culan schrieb:
Nur als TIP:
KAZZZAAAA und EMule runter ....

PS: brauchste ja nicht löschen sondern nur ersteinmal verschiebn und umbenennen... ;-)
Zum Vergrößern anklicken....

Wieso das?

@Basler
Deinstalliere bitte mal
Search Assistant Uninstall

und dann die oben genannten Einträge fixen ;)

Viel Glück
 
  • #13
bla schrieb:
culan schrieb:
Nur als TIP:
KAZZZAAAA und EMule runter ....

PS: brauchste ja nicht löschen sondern nur ersteinmal verschiebn und umbenennen... ;-)
Zum Vergrößern anklicken....

Wieso das?
Zum Vergrößern anklicken....

Ich weiß was du nicht weißt ;-)
meinste was meine hauptarbeit ist im moment... ( LOGS auswerten )
Nur ein erstgemeinter Rat....

Wieso runter?
aber das andere ist, wenn er seine Firewall so konfiguriert hat, das die Ports von Kazaa und Emule offen sind.... dann ist es kein Thema, das er Spyware draufhat...

das PS: war daraufbezogen, das er wenn er was nicht deinstallieren möchte, weil er es sich nicht traut oder sehr vorsichtig ist.meinte ich soll er einfach die exen die Ihm unbekannt vorkommen umbenennen..

Sorry war vieleicht mißverständlich ausgedrückt. :-\
 
  • #14
culan schrieb:
wenn er seine Firewall so konfiguriert hat, das die Ports von Kazaa und Emule offen sind.... dann ist es kein Thema, das er Spyware draufhat...
Zum Vergrößern anklicken....
Auf die technische Erklärung bin ich aber mal gespannt - was hat das eine mit dem anderen zu tun ?!?
Das man sich über Tauschbörsen viel Mist einfangen kann, steht ausser Frage - aber das etwas mit der Tauschbörse bzw. deren Inhalten selbst zu tun und _nicht_ mit den für den Download verwendeten Ports !

Cheers,
Joshua
 
  • #15
culan schrieb:
Ich weiß was du nicht weißt ;-)
Zum Vergrößern anklicken....

Und was soll das sein?
Gespannt wartend auf deine Antwort :)

aber das andere ist, wenn er seine Firewall so konfiguriert hat, das die Ports von Kazaa und Emule offen sind.... dann ist es kein Thema, das er Spyware draufhat...
Zum Vergrößern anklicken....

Für mich nicht nachvollziehbar. ???
 
  • #16
@PCDJoshua
eMule verwendet standardmäßig folgende Ports:

4661 (remoteside/outgoing) TCP um mit einem Server zu connecten
4662 (local/incoming) TCP um zu anderen Clients zu connecten
4665 (remoteside/outgoing) UDP um Quellen auf anderen Servern zu finden
4672 (remoteside/outgoing) UDP um direkte Client zu Client Verbindungen herzustellen

So und wenn ich jetzt auf diese Ports eine Telnetverbindung mache bekomme ich sogar ein connect....
und was man alles mit einem Programmchen und einem Connect machen kann werde ich die jetzt sicherlich nicht erklären... den dieses würde jetzt zu weit führen, auch wenn du hier MODERATOR bist.

@blabla
Logauswertung für folgende Ports....
4661 4662 4665 4672 und nun zähle ein und zwei zusammen....
Bezahlung ist vom Vaterstaat

cheers
culan
 
  • #17
@culan:
Ich kann mich mit Telnet auf JEDEN Port verbinden, auf dem eine Anwendung lauscht - also logischerweise auch auf die von eMule per default eingestellten Ports. Trotzdem ist mir nicht klar, warum genau über diese Ports das Risiko grösser sein soll als z.B. über Port 25, der ja bekanntermassen für SMTP geöffnet ist (auf nem Server z.B.) oder Port 20/21, die man für FTP benötigt.

Cheers,
Joshua
 
  • #18
@PCDJoshua
weil die Firewall intern bei einem Client ( hier Zonealarm ) über diese Ports dann ALLES zuläßt und dann auch die rückantwort auf andere Ports verweist . und schon ist ein anderer Port offen. Und nicht wie bei einem Server egal Port 20/21/23/25 wo man sich ersteinmal Authentifizieren muß... um eine gewisse Connectivität zu erreichen.
Die server sollten auch etwas anders gesichert sein.

Fazit ist, hast du nur eine Paketfirewall dann müßte mehr aufpassen als wenn du eine sogenannte Intilligente Firewall hast die dann auch andere Filter einsetzt außer nur den Port oder die IP zu blocken.

Und die Desktopfirewalls sind nun mal nur Paketfirewalls
 
  • #19
@culan:
Das würde ja dann in der logischen Schlussfolgerung bedeuten, das _alle_ Rechner, auf denen ein P2P-Tool läuft, zwangsläufig mit Spyware verseucht sein müssten ?!?
Dass das definitiv _nicht_ der Fall ist, dürfte klar sein.

Was meinst du eigentlich mit:
culan schrieb:
...über diese Ports dann ALLES zuläßt und dann auch die rückantwort auf andere Ports verweist . und schon ist ein anderer Port offen.
Zum Vergrößern anklicken....
Wie bitte soll das technisch möglich sein ?!?
Wenn ich mich z.B. auf Port 4711 verbinden, bin ich mit Port 4711 verbunden und gut. Wo soll da plötzlich ein anderer Port herkommen ?!?
Wenn ich mich auf Port 0815 verbinden will und dort kein Dienst lauscht, kommt einfach keine Verbindung zustande, so einfach ist das.

Cheers,
Joshua
 
  • #20
@culan

Das man durch Filesharing zusätzlichen Risiken ausgesetzt ist, ist unbestreitbar.

Nichts für ungut, aber das von Dir aufgezeichnete Szenario halte ich doch für übertrieben dargestellt ;)
 
Thema:

Mein Notebook ist voll Spyware

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben