*gerettet werden will*

hmm, kenne mich mit Win98 leider überhaupt nicht aus. Versuche dies: http://www.microsoft.com/downloads/d...displaylang=en

edit: oder hier

2. edit: Bevor wir uns am silentrunners festbeißen, mache einen Onlinescan mit Ewido (geht nur mit dem Internet Explorer) und poste das log.

Ist es das was Du haben möchtest?
"Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe"" [file not found]
"Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE" [null data]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]
"SchedulingAgent" = "mstask.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{31FF080D-12A3-439A-A2EF-4BA95A3148E8}\(Default) = (no title provided)
-> {HKLM...CLSID} = "bho2gr Class"
\InProcServer32\(Default) = "C:\Programme\Tools\GetRight\xx2gr.dll" ["Headlight Software, Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX" ["("]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{f802f260-519b-11d1-bb5d-0060974c6013}" = "ICQ Shell Extension"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\PROGRAMME\REAL\REALPLAYER\RPSHELL.DLL" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRAMME\OPENOFFICE.ORG1.1.5\PROGRAM\SHLXTHDL.DLL" ["Sun Microsystems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Eigene Dateien\CREA\higrue\blau_hellblasen.jpg"


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"FRU Task #Hewlett-Packard#hp psc 1100 series#1115472366" -> launches: "C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1115472366"" ["0"]
"Wartung - Programme defragmentieren" -> launches: "C:\WINDOWS\DEFRAG.EXE /SAGERUN:0" [MS]
"Wartung - ScanDisk" -> launches: "C:\WINDOWS\SCANDSKW.EXE /SAGERUN:0 /ALL /N" [MS]
"Wartung - Datenträgerbereinigung" -> launches: "C:\WINDOWS\CLEANMGR.EXE /SAGERUN:0" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll" ["Sun Microsystems, Inc."]

So, um halb 2 ist meine Nacht zuende, und mir fallen jetzt definitiv die Augen zu.

Ich hab die Häkchen in den 3 Kästchen im abgesicherten Modus gesetzt. Hab dann wieder normal gestartet.


Die Datei die ich suchen sollte war nicht da und auch nirgendwo sonst.

Dann hab ich ja jetzt eben den log gepostet. HJT geht im normalbetrieb immernoch nicht an.
Es rattert noch und die PW Abfrage geht auch noch an.
Bei mir geht heut abend nix mehr an, nur rattern tuts schon im Hirn.

Ich danke euch, und lese dann morgen wieder rein.

*heia*

Yep. Manchmal is man bekloppt und sieht den Wald vor lauter Bäumen nicht . Ich dachte, Spyagent gehört zu Steganos . Muß dich nicht weiter interessieren...
Jedenfalls deinstalliere Spyagent (schau mal unter Start - Einstellungen - Systemsteuerung- Software).

Lasse dir alle versteckten Dateien anzeigen und gehe sicher, dass die Ordner
C:\PROGRAMME\WINRAR\FORMATS\RSM
C:\PROGRAMME\WINRAR\FORMATS\SAS

leer sind. Lösche ggf. den Rest.

Öffne den Registryeditor (Start-Ausführen-regedit-enter) und hangel die zu dem Schlüssel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

entferne die Einträge
Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe
und sofern vorhanden
"Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE "

Führe ccleaner aus. Berichte, was rattert und erstelle ein neues HJT-log. Gruß

ich habe einen SA und einen SAS ordner in Formats.
Da is ohne Ende zeug drin.
ua: noserver.exe ; spyanywhere.exe ( das im Sa Ordner)
SAS: deploy.exe nostealth.exe; spyagent4.exe; spyRename.exe;

Beide Ordner leermachen? komplett? einfach löschen?

aber versteckte dateien anzeigen is schon eingestellt und das häkchen vor systemdateien ausblenden is auch schon weg gewesen.

schlaf schön

besser wäre, spyagent zunächst über die systemsteuerung - software zu deinstallieren.Lösche die Reste nach einem Neustart manuell. Wenn das nicht funktioniert, lösche die Ordner SA, SAS, nutze notfalls die Killbox. Was befindet sich den sonst noch in dem ominösen Ordner Winrar/Formats?

inner systemsteuerung is nix drin!

wart, ich lad eben 2 screenshots hoch von den Ordnern
http://img86.imageshack.us/img86/9149/sasok9.png
http://img178.imageshack.us/img178/6349/sabm5.png

und der vollständigkeit halber noch eins von dm formats ordner:
http://img165.imageshack.us/img165/914/formatskb9.png

So, ich hab mal nach Spyagent gegoogelt und du darfst deinem Ex beste Grüße von mir bestellen, er ist ein A..... Offenbar läßt sich das Ding nicht ohne weiteres entfernen. Also lösche die Ordner mit der Killbox (delete on reboot) und entferne die genannten Regitryeinträge. Führe CCleaner aus, mache danach einen Onlinescan mit ewido (IE nutzen!). Poste das log. Sollte HJT funktionieren, weißte ja, was du zu tun hast.

PS: Vielleicht hat MightyMarc noch einen Vorschlag, der weniger umständlich ist.

@Linaaahh: Ja, lösche den gesamten Ordner Formats.

Zitat:

Zitat von ordell1234

Vielleicht hat MightyMarc noch einen Vorschlag, der weniger umständlich ist.

Äh nein. Es wäre schon schön wenn das Ding so einfach verschwindet. Beim letzten Beziehungsdrama das hier im Forum endete, kamen böse Rootkittechniken zum Einsatz.
Und so umständlich ist das ja gar nicht. Killbox und die zwei Autostarteinträge sind ja in 3 min entfernt (regdelnull wäre vllt noch interessant).

Hallo,

hier findest Du die Verzeichnisse die von dem Preogramm benutzt werden.
Generell solltet Du nach der entferung alle Zugangsdaten ändern.
Je nachdem, wie und ob Du weiter gegen den Installator vorgehen willst, solltest Du an dem System aber keine Änderungen vornehmen, sondern ihn so belassen und an die entsprechenden Behörden weitergeben.

Gruß

Schrulli

erstaunlich, sonst ist er in keinster Weise gründlich gewesen, aber nungut.
die killbox läuft ncih...
F8?

Zitat:

Zitat von Linaaahh

die killbox läuft ncih...
F8?

Ja, versuch's mal. Suche nach folgenden Dateien und packe sie, sofern sie zu finden sind, noch mit in die Killbox:

KeyCaptor.exe
NoStealth.exe
kcopts.dat
NTInvisible.dll
SystemSA32.dll
unvise32.exe
spysplash.dat

So langsam habe ich an dem Vorhaben meine Zweifel. Spyagnet scheint nicht weit von Rootkittechniken entfernt zu sein

Zitat:

Manche Pseudo-Rootkits wie der SpyTech SpyAgent verstecken sich nur vor dem Windows Task-Manager. Mit jedem anderen Prozess-Viewer kann man sie sehen. Der SpyAgent benutzt dazu eine peinlich schlechte DLL-Injection.

Quelle: http://c-ko.blogspot.com/2006/05/einfhrung-in-icesword-process.html

@Linaaahh: Wäre ein Neuaufsetzen deines Systems sehr schmerzhaft? Daten kannst du vorher sichern. Sämtliche Passwörter und Zugangsdaten mußt du ändern.

Zitat:

Zitat von ordell1234

So langsam habe ich an dem Vorhaben meine Zweifel.

Och komm. Das Ding ist so panne, dass es schon mit HJT lokalisierbar ist. Ein Bereinigungsversuch tut nicht weh.