Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile...Bin Planlos (https://www.trojaner-board.de/7365-logfile-planlos.html)

Deimos 05.09.2004 20:09
Logfile...Bin Planlos
 
Hi, habe bedrückt festgestellt, das ich derbst mit Spyware verseucht bin.
Benutze meist Netscape, den IE eigenlich nur für Seiten, die sich mit Netscape nicht öffnen lassen und fürs WinUpdate.
Nun hat mein IE plötzlich eine unwillkommende "Suchleiste" (Search, News, MP3, Gambling, Entertainment, Books, Computer, Education, Travel) direkt unter der Adressleiste und eine ekelhaftehafte WinXP-Luna-Blaue Leiste (Make Money, Music, Casino, Investing, Travel, Mortgage, Dating, Travel, Carreers, Credit, Computers, Insurance, Search) direkt über der Taskleiste. Diese Blaue Leiste bleibt auch beim Beenden des IE noch und muss seperat beendet werden.
Ausserdem erscheinen immer wieder Verknüpfungen auf meinem Desktop, die mich wohl zum Druckerpatronen kaufen oder zum Verreisen animieren sollen (Weiß grad nicht so genau, hab sie gelöscht).

Wenn ich Spybot durchlaufen lasse findet er Sachen von Mediaplex und DSO Exploit (1 bzw. 5 Einträge) und manchmal auch irgendwas mit 108(!) Einträgen.
Ad-Aware findet meist auch einige Tracking Cookies..

Nun hab ich mir HiJack-This mal runtergeladen und denke das ich euch einfach mal das Logfile hier reinkopiere.



Logfile of HijackThis v1.98.2
Scan saved at 20:58:40, on 05.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\pupxpman.exe
C:\programme\timbuktu pro\minitb2.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
c:\programme\timbuktu pro\tb2launch.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\eMule\emule.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DeiMoS\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tucfqpgwtntsgzdnvewwsjx.c...0XR3Btej_.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\System32\pupxpman.exe
O4 - HKLM\..\Run: [TLogonPath] "c:\programme\timbuktu pro\minitb2.exe"
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\System32\PUPXPTWK.EXE /TWEAK
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MirandaIM] "C:\Programme\Miranda IM\miranda32.exe" "C:\Dokumente und Einstellungen\DeiMoS\Anwendungsdaten\Miranda\profile"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe



So. Ich hoffe, ihr könnt mir helfen, da ich schon ziemlich verzweifelt bin. Normalerweise kann ich diese Art Probleme auch alllein lösen, allerdings ist das jetzt schon etwas zu krass.

Danke euch im vorraus.

*Christian* 05.09.2004 20:40
Überprüfe mal die Datei
C:\WINDOWS\System32\pupxpman.exe hier: http://www.kaspersky.com/de/scanforvirus

Enthält Spyware: C:\Programme\Messenger Plus!
Bitte deinstallieren.

Fixe:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tucfqpgwtntsgzdnvewwsjx....u0XR3Btej_.html
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)


Kenne ich nicht:
C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll

Scanne mal mit eScan im abgesicherten Modus:
http://www.trojaner-board.de/showthread.php?t=6083

Deimos 06.09.2004 16:02
Pupexpman gehört zu PowerUp XP von Ashampoo und das war vor einigen Monaten mal bei ner PC Games Hardware dabei.

Webspeech ist ein kleines Tool, um Webseiten vorzulesen... hatte ich mal ausprobiert und dann vergessen zu deinstallieren. Entält meiner meinung keine Spyware, ist mir und meinem Spybot / Ad-Aware jedenfalls noch nie unangenehm aufgefallen.

Enthällt nur Messenger Plus oder der Messenger überhaupt Spyware.
Den Messenger benutze ich nämlich gelegentlich, wenn meine Miranda mal nicht funktioniert. Den würde ich gerne behalten. Hab ihn auch von Zone-Alarm keine Dauergenehmigung gegeben, er darf nur Verbindung mit dem Net haben, wenn ich das auch will (Und das ist sehr sehr selten)

Der eBay-Knopf ist Teil des Programms Preispiraten, welches im Internet für mich nach günstigen Schnäppchen sucht und auch nur ins Netz darf, wenn ich das will (Und sonst nie eine Verbindung anfordert). Dagegen habe ICH nichts. Wenns allerdings wirklich ratsam ist, das Programm und den IE-Button zu deinstallieren, werde ich das wohl schweren Herzens machen müssen.

Ich lass gleich mal diesen eScan durchlaufen...

*Christian* 07.09.2004 18:06
Keine Ahnung, welche Messenger Spyware und Adware enthalten.

Dachte, dass dies eigentlich unwirksam ist.
Du kannst dies schon drinlassen - ist nicht schädlich:

O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131