Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Verfolgung starten Optionen

WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant

andreasjv / 12 Antworten / Baumansicht Nickles

Hallo ihr Lieben,


einmal in der Woche lasse ich meinen Norton Antivierus über meine Platte hoppeln. Viren findet er fast nie aber dafür reichlich Adware. Das Besondere ist, dass diese Adware fast ausnahmlos in dem Verzeichnis C:\Documente und Einstellungen\<Username>\Lokale Einstellungen\Temp\... und den Unterordnern von Temp zu finden ist. Dieser Temp-Ordner ist schon über 200 MB groß. Nun meine Frage: Temp bedeutet ja, dass die Dateien nur temporär gespeichert werden (sollen) und dann nicht mehr benutzt werden. Kann ich diesen Temp-Ordner also einfach löschen? Die Adware wäre ja dann auch weg. Oder sind die temporären Unter-Ordner und deren Inhalte wichtig fürs Funktionieren des PCs? Adware als solche finde ich ja nicht so schlimm.


Herzlichen Dank für eure Mühe!


Viele Grüße


Andreas

Lemon13 andreasjv „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

einfach löschen, auch die temp. internet files!

Sesselpuppser andreasjv „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen
einmal in der Woche lasse ich meinen Norton Antivierus über meine Platte hoppeln. Viren findet er fast nie aber dafür reichlich Adware.

Besorg dir mal von Hijackthis.de das gleichnamige Tool und scanne mal dein System. Anschließend speicherst du mal die LOG ab ung kopierst die auf der selben seite mal rein und klickst auf den Senden-Button! Poste die LOG dann mal auch hier!

Besorg die mal Ad-Aware SE oder Spybot Search&Destroy oder A²free! Alles freeware (muss nicht alles sein aber eins würde ich dir mal empfehlen!

Vor allen dingen überdenke mal dein Sicherheitssystem ein bißchen viel! Wenn du mal ab und an einen Virus findest, dann würde ich an deriner Stelle auch mal ab und an ein Image meines BS zurückspilen bzw. mein System neu aufsetzen!
Hast du eine Firewall? Wann hast du denn das letzte mal Norton aktualisiert? Wie regelmäßig machst du das?


Ach so, den Inhalt deines Temporary...-Ordners kannst du getrost löschen! Würde an deiner Stelle das ganze jeden bis jeden zweiten Tag machen!
andreasjv Nachtrag zu: „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

Hi Sesselpupser,

danke für Deine Antwort! Die Log-Datei speicher ich unter diesem Posting ab.
Mit Spybot scanne ich sonntags den PC durch. Nachdem ich den Temp-Ordner eben gelöscht habe, erschien in Spybot nur noch ein Cooky, das ich aber auch löschen konnte. Die Adware, die Norton Antivirus entdeckt hat, ist nun auch verschwunden.

Ein Plattenimage ist auch jeden Sonntag dran. Neben einem permanente Backup jeden Tag auf meine zweite Festplatte. Das Image speichere ich auf meiner zweiten Festplatte in 650 MB-Häppchen ab. Zurückspielen von einem Image vermeide ich, wenn es nicht notwendig ist (Die Adware ist ja nun nicht mehr da). Und neu Aufsetzen bedeutet fast 4 Tage Arbeit. Da mein PC rennt und rennt, lasse ich ihn auch rennen. Der Norton Antivirus wird über das Internet automatisch erneuert. Als Firewall habe ich ZoneAlarm. Seit ich DSL benutze, sind auch keine Dialer mehr aufgetaucht.

Puh! Eins weiß ich aber bestimmt. Ich lerne nie aus.

Vielen Dank für Deine Hilfe!

Viele Grüße

Andreas


nun das Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 14:55:19, on 23.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\ad_elmd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\PDMWorks SW\Vault\pdmwService.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\FRITZ!DSL\Awatch.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\NaviSearch\bin\nls.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\programme\trafficdetector\Trafficdetector.exe
D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Programme\Distiller\Distillr\AcroTray.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\z_01_Downloads\66_Hijak this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/EIGENE%20DATEIEN-/z_0-02_Privat/78_eigene%20IE-Startseite/IE-Startseite.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://qwertysearch123.biz/?id=1017
R3 - URLSearchHook: MailTo Class - {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} - C:\WINNT\System32\astctl32.ocx
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O1 - Hosts: 66.159.18.75 astalavista.com
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Distiller\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\System32\bridge.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [keymgrldr] rundll32 setupapi,InstallHinfSection Oemkeymgr9x 128 keymgr3.inf
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\System32\bridge.dll",Load
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CamMonitor] D:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\taskmon.exe
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - Global Startup: Acrobat Assistant.lnk = Distiller\Distillr\AcroTray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47C02D31-E6FA-4D1B-982C-12F8F8C8E0DF}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{75507290-5E7F-4C52-A85E-AD3FDCE6AE0C}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC655F5B-A92F-4FD5-A0DD-D94F22168A8D}: NameServer = 192.168.121.252,192.168.121.253

Vielen Dan!

Sesselpuppser andreasjv „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

Tut dir mal den Gefallen und kopiere das mal auf hijackthis.de in die große Box und klick mal "Auswerten"!

Die Dinge die dort mit einem roten Ausrufezeichen erscheinen kannst du in Hijackthis anhacken und dann fixen lassen! Bei denen mit einem orangen (oder gelben) Fragezeichen musst du selber entscheiden, ob du den Eintrag kennst und den brauchst (bei mir zeigt er zb. die hddthermometer.exe an, das ist ein Proggi womit man die Temperatur des Festplatten überprüfen kann)!

So wie ich das sehe, kannst du das mit den Images vergessen, da selbst deine Images "verseucht" sind!

Die einzige richtige Lösung wäre, die win2k-cd rein, die Platte anwählen unf formatieren um dann alles neu zu machen! Wieso aber brauchst du vier Tage dafür? Bei mir geht dafür höchstens ein WE drauf (Sa und So) bzw. ein länget Tag!

So bist du auf jeden Fall eine Gefahr für dich und andere! Benutzt du online-Banking??? Wenn ja, dann haben wahrscheinlich schon etliche andere deinen Kontostand gesehen! Wie sieht das mit deiner Verbindung aus? Ist die Teilweise unerklärlich ausgelastet?

andreasjv Nachtrag zu: „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

Hm hallo Sesselpupser,

erst einmal wirklich herzlichen Dank für Dein Posting. Ich habe mich auch in anderen Foren umgesehen und gemerkt, was da auf meinem PC ist. Also lege ich schon einmal alle CDs fürs Wochenende zurecht. Um eine Neuinstallation komme ich wohl nicht herum. Das Thema um Trojaner + Co trotz Antivirenprogramm ist Neuland für mich. :o/ Außerdem werde ich wohl auch meinen Browser auf Mozilla oder ähnliche wechseln.

Herzlichen Dank!

Gruß

Andreas

Sesselpuppser andreasjv „Hm hallo Sesselpupser, erst einmal wirklich herzlichen Dank für Dein Posting....“
Optionen

DAS ist mal eine sehr gute Idee! Großes Lob von mir!
Ist schon ein guter Browser. Kannst ja erst mal deinen Standard-Browser (IE?!) lassen und startest den FireFox oder Mozilla von Hand!

Auch was die Neuinstallation angeht! Gute idee!
Noch ein Rat von mir, nur weil du eine Firewall und ein Antiviren-Proggi benutzt, heißt das immer noch nicht, das du ohne Brain 1.0 leben kannst!
Du musst dir trotzdem im klaren sein, was du für e-mails bekommst (wg. Spam empfehle ich dir spamihilator!) und was für links du anklickst und welche Dateien du runter lädst!

Viel Spaß am WE und viel Glück für eine Virenfreie Zukunft!
Wenn du wieder Probleme hast, du weißt ja wo du hilfe erhälst!

Gruß

sesselpuppser

andreasjv Nachtrag zu: „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

Hi Sesselpupser,

danke nocheinmal für Deine Tipps.
Mit Spam hatte ich eigentlich kaum Probleme mehr, als ich meine E-Mail-Adresse geändert hatte. Den spamihilator werde ich auch noch einbauen. Mein Problem ist nur: Wie kann ich das Wissen meinen Freunden beibringen, bei denen ich manchmal nach dem PC schaue. Sie sind wirklich nett aber haben als Ab- und Zu- PC-Anwender schon Schwierigkeiten, wenn ich von einem Antiviren-Programm erzähle. Meist erzähle ich nichts :o)
Na ja schaun mer mal.

Danke für Deine Tips!

Viele Grüße

Andreas

Sesselpuppser andreasjv „Hi Sesselpupser, danke nocheinmal für Deine Tipps. Mit Spam hatte ich...“
Optionen

Das dürfte dann so in richtung meine Tante gehen!
Hat keine Ahnung vom PC (außer dem auf der Arbeit), will sich aber auch nicht in die Materie einarbeiten, wird zudem auch noch nervös, wenn man ihr mal erklären will, wie man ein AV-Proggi aktualisiert!

Eigentlich habe ich den Rechner aufgebaut, wohne aber knapp 60KM entfernt, so kümmerst sich mein Vater darum, alle Proggis auf dem laufenden zu halten!
Das wirkungsvollste ist, deinen Freunden das ganze Ausmaß solch einer Leichtigkeit vor Augen zu führen, indem du ihnen die Schwachstellen auszeigst! Meinem Vater habe ich damal einen Schock eingejagt, indem ich eine Seite aufgerufen habe, die den Inhalt von C: anzeigen! Ist ja eigentlich nicht schlimm, aber meinem Vater hat das gereicht! Der ist nun fast paranoider im Internet als ich! Leider kenne ich momentan keine Seite mehr!

Du musst bei sowas erst einen Schock hervorufen und dann behutsam vorgehen! Erkläre ihnen ganz langsam, wie sie ihre Progamme auf den neuesten Stand halten und warum. Erkläre ihnen auch, was passiert, wenn sie sich ein Haustier zugelegt haben (andere sagen Trojaner dazu)! Gehen sie nicht über DSL ins Internet rechne ihnen mal vor, was son Dialer kosten könnte!

Auf jeden Fall ist das die falsche Lösung, wenn du ihnen nix erzählst! Die Welt ist schlecht, da ist das Internet auch nicht besser!!!

andreasjv Nachtrag zu: „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

Stimmt natürlich. Ich schaue bei 3 Freunden und einem Rentner nach dem PC. Da allerdings viel Zeit draufgeht habe ich jetzt schon angefangen, Anfragen von "Freunden der Freunde" abzusagen. Außerdem habe ich eine CD für sie zusammengestellt mit Zusatzprogrammen (zu denen jetzt auch hijackthis und Mozilla gehört), die ich laufend erweitere. Die brauche ich ihnen nur zu geben und zu sagen "Installiert es bitte :o) ". Das nehmen sie auch gern an. PC-Händchen halten gehört natürlich dazu.

Viele Grüße

Andreas

Sesselpuppser andreasjv „Stimmt natürlich. Ich schaue bei 3 Freunden und einem Rentner nach dem PC. Da...“
Optionen

Verusch doch mal der einfacheithalber von jedem PC mit zb. DriveImage ein Image zu machen, dann bauhcst du im zweifelsfall gar nicht mehr soviiiel Händchen zu halten!
Einfach Daten sichern, Image einspielen und jut is!

Das mit der CD habe ich so ähnlich auch! Habe auf einer Partition einen Ordner Programme, inden ich immer emine neuesten Proggis ablege und den mal von zeit zu zeit auf CD brenne!

Werde mir aber jetzt mal ein Fernwartungssoftware ansehen (TightVNC, habe ich hier heute gelesen), dann habe ich die Rechner meiner Family auch wieder etwas mehr unter kontrolle!

andreasjv Nachtrag zu: „WIn 2000 prof ; C:...\Locale Einstellungen\temp ; und Norton Ant“
Optionen

Die Sache mit dem Image habe ich auch schon im Hinterkopf gehabt. Wer von meinen Freunden einen Brenner hat, dem schlage ich das auch vor. ICh benutze auch Drive Image. Was hälts Du denn von den vielen Freewareprogrammen, die ein Image von einer Platte versprechen? Einem Doktor habe ich versprochen mich dazu einmal umzusehen. (Es ist wie immer, dass ihnen Drive Image zu teuer ist)

Tight VNC benutze ich schon länger und habe damit auch gute Erfahrungen gemacht. Allerdings muss dann der Bekannte, dessen PC gewartet werden soll einen ISDN-Anschluss oder ein Handy haben. Man braucht die jeweils aktuelle IP-Adresse des PCs im Internet. Sonst findet der eigene PC den anderen nicht. Mit ISDN kann man sich dann auch noch während der Suche telefonisch unterhalten. Bei einem Analog-Anschluss geht das dann über ein geöffnetes Wordpad-Fenster wie in einem Chatroom (klappt ganz gut). Das bedeutet dann (meistens) dass ich nicht zu den Leuten hinfahren muss.
Die neueste Version gibt es über:

http://download.freenet.de/archiv_t/tightvnc_4357.html

Die kenne ich selbst noch nicht.

Sesselpuppser andreasjv „Die Sache mit dem Image habe ich auch schon im Hinterkopf gehabt. Wer von meinen...“
Optionen

Also ich habe für DriveImage keinen €ent bezahlt! Und ich habe auch keine gecrackte oder gehackte Version!!!
DI gabe es mal als Vollversion 5.01 bei einem PC-Heft dazu!!!
Acronis TrueImage hatte ich damals auch so bekommen, aber das lief mit meiner alten HW nicht! Andere Programme kenne ich nicht!

Zu TightVNC: Ich habe es mir heute schon runtergeladen gehabt! Muss ja eh warten, bis das ich das nächste mal zu meinem Vater komme!
Du kannst dich auch mit einem Analogen Anschlu dann noch unterhalten, da das ganze ja über DSL läuft! Gut, voraussetztung dafür ist, das beide zumindest Analog mit DSL haben, aber das ist bei uns der Fall!



Du kannst die Images ja auch auf eine zweite Partition oder Festplatte auslagern! So mache ich das im Moment, da ich noch keinen DVD-Brenner habe und meine Images relativ groß sind! Splitten mag ich das ganze nicht so gerne!