Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Eine Menge Spyware

codename / 22 Antworten / Flachansicht Nickles

Hallo alle zusammen!


Ich habe einen Rechner im Keller stehen der wie es aussieht voll mit spyware ist.Ich habe Ad-aware durchlaufen lassen hat 600 Objekte gefunden.Aber ich habe jetzt immer noch als Startseite eine andere Seite u. ständig öffnen sich popups auf jeder Seite.Auch wenn ich bei google nach etwas suche öffnet sich noch ein anderes Fenster in dem der gleich Suchbegriff drinsteht.


Ich habe mit Hijakthis heruntergeladen u. die Einträge für die Startseite gelöscht doch wenn ich es nochma durchlaufen lasse hat wie es aussieht ein anderes Programm die neue Datei mit der startseitene Generiert.


 


Hier ist die Hijakthis log :


 


 


 


 


Logfile of HijackThis v1.97.7
Scan saved at 18:55:08, on 22.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\RVS_CE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
C:\WINDOWS\ANWENDUNGSDATEN\TCMT.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT INFOCHECKER\FF.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0E04E44F-DABB-A3E6-D044-F99125738982} - C:\WINDOWS\SYSTEM\MFCTE.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RVS-CE] C:\WINDOWS\SYSTEM\RVS_CE.EXE /SRVEXEC
O4 - HKLM\..\RunServices: [JAVAZU32.EXE] C:\WINDOWS\SYSTEM\JAVAZU32.EXE
O4 - HKLM\..\RunServices: [ATLVT.EXE] C:\WINDOWS\ATLVT.EXE
O4 - HKLM\..\RunServices: [CRSM32.EXE] C:\WINDOWS\CRSM32.EXE
O4 - HKLM\..\RunServices: [MSQO.EXE] C:\WINDOWS\MSQO.EXE
O4 - HKLM\..\RunServices: [JAVAUY32.EXE] C:\WINDOWS\JAVAUY32.EXE
O4 - HKLM\..\RunServices: [WINYY.EXE] C:\WINDOWS\SYSTEM\WINYY.EXE
O4 - HKLM\..\RunServices: [MFCEB.EXE] C:\WINDOWS\MFCEB.EXE
O4 - HKLM\..\RunServices: [APILJ.EXE] C:\WINDOWS\SYSTEM\APILJ.EXE
O4 - HKLM\..\RunServices: [SYSJO.EXE] C:\WINDOWS\SYSTEM\SYSJO.EXE
O4 - HKLM\..\RunServices: [APPYM32.EXE] C:\WINDOWS\SYSTEM\APPYM32.EXE
O4 - HKLM\..\RunServices: [ADDGG32.EXE] C:\WINDOWS\SYSTEM\ADDGG32.EXE
O4 - HKLM\..\RunServices: [ATLEM.EXE] C:\WINDOWS\SYSTEM\ATLEM.EXE
O4 - HKLM\..\RunServices: [JAVAKD32.EXE] C:\WINDOWS\JAVAKD32.EXE
O4 - HKLM\..\RunServices: [APPJH32.EXE] C:\WINDOWS\APPJH32.EXE
O4 - HKLM\..\RunServices: [SYSIH.EXE] C:\WINDOWS\SYSTEM\SYSIH.EXE
O4 - HKLM\..\RunServices: [CRFI32.EXE] C:\WINDOWS\CRFI32.EXE
O4 - HKLM\..\RunServices: [APPJA32.EXE] C:\WINDOWS\APPJA32.EXE
O4 - HKLM\..\RunServices: [NTEM32.EXE] C:\WINDOWS\NTEM32.EXE
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\MGAQDESK.EXE
O4 - HKCU\..\Run: [Hlen] C:\WINDOWS\Anwendungsdaten\tcmt.exe
O4 - HKCU\..\Run: [FactFinder] C:\PROGRAMME\MICROSOFT INFOCHECKER\ff.exe /i
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


 


 


 

bei Antwort benachrichtigen
Hi codename! Ähm, was meinst Du wohl, was ich Dir jetzt rate? Schliesslich ... Nasser
Ja super das ist en PC von nem Kunden!Und die 600 hab ich schon gelöscht ... codename
Den PC von dem Kunden hast du also im Keller gefunden! Merkwürdig....! Ich ... gelöscht_84526
Ja der steht im Keller deswg. ach gott da musses doch en ausweg geben aus zu ... codename
Wozu stellst Du eine Frage, wenn Du die Antwort nicht hören willst - bzw. ... Max Payne
das ding is aber aufs übelste verseucht. Und genau darum gibt es auch ... mmk
Hi codename! Also, bis jetzt geben Dir King-Heinz, mmk und meine Wenigkeit ... Nasser
Hi codename! Ausserdem ist Dein HijackThis v1.97.7 veraltert. HijackThis ... Nasser
9 böse Einträge in Deiner Logdatei, Einsicht in den Report mit Tipps, was ... BIMEX
Du kannst auch noch Spybot herunterladen ist kostenlos und den Rechner ... Fratercula
vergess ist. da hilft nur eine neuinst. fnmueller1
@Nasser - .. Kunde wird Dir auf Knien danken und Dir die Füsse küssen ... ... BIMEX
Lade dir eScan Antivirus Toolkit Utility Ver 4.4.7 und lasse es laufen. ... Prosseco
@prosseco ...Ich hatte auch das problem und seit dem ist meine Maschine 100 ... GarfTermy
Datenpartitionen nach Virusbefall des Systems Olaf19
Zaphod Olaf19 „Datenpartitionen nach Virusbefall des Systems“
Optionen

8> Ich würde lieber auch von meinen Daten ein Backup zurückspielen, auch wenn das nicht 100% aktuell ist.
---------------------------------------------------------------------> ... wer sich das leisten kann, braucht eigentlich keinen PC :-(.
Daten: erstmal ein Backup, danach gründliche Desinfektion mit aktuellstem Scanner, was dann noch läuft, wird wie folgt behandelt:
- Bei MS Office: Makros beim Öffnen deaktiviren.
- Zip - Archive auf einer Quarantäne-Partition (am besten mit einem Rettungssystem (Knoppix o. ä.) öffnen und den Inhalt scannen - die Erkennungsrate aller aktuellen Virenscanner ist in Zip-Archiven deutlich niedruger als bei unkomprimierten Dateien!
- Scan der zu öffnenden Dateien vor dem Öffnen.
- Dateien nicht mehr via Doppelklick, sondern ausschließlich über das Dateimenue der Applikation öffnen (dann gibts ne Fehlermeldung, wenn in der Datei versteckter Code steckt).

Übrigens: 90% der Schäden bei Virenbefall resultieren aus vorzeitiger panischer Datenlöschung. Während das System grundsätzlich neu aufgesetzt werden sollte, muss man bei Daten differenzierter vorgehen. Man muss zwischen "aktiven" und "passiven" Daten unterscheiden.
"Passive" Daten können von Viren beschädigt werden, sie sind dann nicht mehr lesbar oder fehlerhaft, richten aber keinen weiteren Schaden an. "Aktive" Daten nenne ich alles, was ausführbaren Code enthalten kann: Selbstextrahierende Archive, exe-Dateien, Installationsroutinen, Treiber und Office-Dokumente, Scripte. Bei diesen muss man vor dem Öffnen sicherstellen, dass Schadcode nicht ausgeführt werden kann (Makros deaktivieren, Standardaktion für *.inf, *bat, *.vbs etc. auf "Öffnen in Notepad" statt "Ausführen" etc ...
HTH, Z.

bei Antwort benachrichtigen
Datenpartitionen nach Virusbefall des Systems Olaf19
Datenpartitionen nach Virusbefall des Systems Der_Milchmann
Ich hatte auch das problem und seit dem ist meine Maschine 100 ohne zu ... jueki
Logfile of HijackThis v1.97.7 Eventuell veraltet Zeigt die Version von ... idefix1968
Falls nach der Neuinstallation die gleichen Tools zum Einsatz kommen, die ... Fratercula
@bimex Nasser