Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Eine Menge Spyware

codename / 22 Antworten / Baumansicht Nickles

Hallo alle zusammen!


Ich habe einen Rechner im Keller stehen der wie es aussieht voll mit spyware ist.Ich habe Ad-aware durchlaufen lassen hat 600 Objekte gefunden.Aber ich habe jetzt immer noch als Startseite eine andere Seite u. ständig öffnen sich popups auf jeder Seite.Auch wenn ich bei google nach etwas suche öffnet sich noch ein anderes Fenster in dem der gleich Suchbegriff drinsteht.


Ich habe mit Hijakthis heruntergeladen u. die Einträge für die Startseite gelöscht doch wenn ich es nochma durchlaufen lasse hat wie es aussieht ein anderes Programm die neue Datei mit der startseitene Generiert.


 


Hier ist die Hijakthis log :


 


 


 


 


Logfile of HijackThis v1.97.7
Scan saved at 18:55:08, on 22.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\RVS_CE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
C:\WINDOWS\ANWENDUNGSDATEN\TCMT.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT INFOCHECKER\FF.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lxrga.dll/sp.html#29126
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0E04E44F-DABB-A3E6-D044-F99125738982} - C:\WINDOWS\SYSTEM\MFCTE.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RVS-CE] C:\WINDOWS\SYSTEM\RVS_CE.EXE /SRVEXEC
O4 - HKLM\..\RunServices: [JAVAZU32.EXE] C:\WINDOWS\SYSTEM\JAVAZU32.EXE
O4 - HKLM\..\RunServices: [ATLVT.EXE] C:\WINDOWS\ATLVT.EXE
O4 - HKLM\..\RunServices: [CRSM32.EXE] C:\WINDOWS\CRSM32.EXE
O4 - HKLM\..\RunServices: [MSQO.EXE] C:\WINDOWS\MSQO.EXE
O4 - HKLM\..\RunServices: [JAVAUY32.EXE] C:\WINDOWS\JAVAUY32.EXE
O4 - HKLM\..\RunServices: [WINYY.EXE] C:\WINDOWS\SYSTEM\WINYY.EXE
O4 - HKLM\..\RunServices: [MFCEB.EXE] C:\WINDOWS\MFCEB.EXE
O4 - HKLM\..\RunServices: [APILJ.EXE] C:\WINDOWS\SYSTEM\APILJ.EXE
O4 - HKLM\..\RunServices: [SYSJO.EXE] C:\WINDOWS\SYSTEM\SYSJO.EXE
O4 - HKLM\..\RunServices: [APPYM32.EXE] C:\WINDOWS\SYSTEM\APPYM32.EXE
O4 - HKLM\..\RunServices: [ADDGG32.EXE] C:\WINDOWS\SYSTEM\ADDGG32.EXE
O4 - HKLM\..\RunServices: [ATLEM.EXE] C:\WINDOWS\SYSTEM\ATLEM.EXE
O4 - HKLM\..\RunServices: [JAVAKD32.EXE] C:\WINDOWS\JAVAKD32.EXE
O4 - HKLM\..\RunServices: [APPJH32.EXE] C:\WINDOWS\APPJH32.EXE
O4 - HKLM\..\RunServices: [SYSIH.EXE] C:\WINDOWS\SYSTEM\SYSIH.EXE
O4 - HKLM\..\RunServices: [CRFI32.EXE] C:\WINDOWS\CRFI32.EXE
O4 - HKLM\..\RunServices: [APPJA32.EXE] C:\WINDOWS\APPJA32.EXE
O4 - HKLM\..\RunServices: [NTEM32.EXE] C:\WINDOWS\NTEM32.EXE
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\MGAQDESK.EXE
O4 - HKCU\..\Run: [Hlen] C:\WINDOWS\Anwendungsdaten\tcmt.exe
O4 - HKCU\..\Run: [FactFinder] C:\PROGRAMME\MICROSOFT INFOCHECKER\ff.exe /i
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


 


 


 

bei Antwort benachrichtigen
Nasser codename „Eine Menge Spyware“
Optionen

Hi codename!

Ähm, was meinst Du wohl, was ich Dir jetzt rate?

Schliesslich hat Ad-aware 600 Objekte bei Dir (PC) gefunden.

Formatierung und Neuinstallation mit anschliessendem Image der Grundinstallation.

MfG Nasser

;) Und immer trocken bleiben.
bei Antwort benachrichtigen
codename Nachtrag zu: „Eine Menge Spyware“
Optionen

Ja super das ist en PC von nem Kunden!Und die 600 hab ich schon gelöscht also da bleiben jetzt nur noch 1 od. 2 übrig !HAt keiner eine bessere Idee???Oder weiß jd. was ich da bei Hijakthis löschen muss ??

bei Antwort benachrichtigen
gelöscht_84526 codename „Eine Menge Spyware“
Optionen

Den PC von dem Kunden hast du also im Keller gefunden! Merkwürdig....! Ich hätte ihn dort stehen lassen!

Nee, aber im Ernst: Befolge den Ratschlag, den Nasser dir gegeben hat. Wenn der Kunde das so nicht haben möchte, dann gib ihm seinen Rechner zurück und sage ihm, dass er selber zusehen soll, wie er das Problemteil in den Griff bekommt.

Gruß

bei Antwort benachrichtigen
codename Nachtrag zu: „Eine Menge Spyware“
Optionen

Ja der steht im Keller deswg. ach gott da musses doch en ausweg geben aus zu formatieren das ding is aber aufs übelste verseucht.Weiß denn jemand was da von der liste dazu gehört ??

bei Antwort benachrichtigen
Max Payne codename „Ja der steht im Keller deswg. ach gott da musses doch en ausweg geben aus zu...“
Optionen

Wozu stellst Du eine Frage, wenn Du die Antwort nicht hören willst - bzw. wenn niemand guten Gewissens die Antwort geben kann, die Du hören willst?

Den Rechner neu aufzusetzen dürfte alles in Allem schneller gehen als eine Wurmkur (bei der niemand 100% garantieren kann, dass hinterher wirklich alles weg ist).

Na gut, im Endeffekt wirst Du eh' tun, was DU für richtig hältst...

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
mmk codename „Eine Menge Spyware“
Optionen

> das ding is aber aufs übelste verseucht.

Und genau darum gibt es auch keine andere Lösung. Oder willst du deinem Kunden gegenüber die Verantwortung übernehmen, dass du ihm ein sicher nicht sauberes System zurückgibst? Auch wenn du über HijackThis nun die sichtbaren Einträge von Schädlingen entfernst - die nicht sichtbaren bleiben weiterhin bestehen. Also:

- Formatieren
- Neu aufsetzen
- Absichern

bei Antwort benachrichtigen
Nasser codename „Eine Menge Spyware“
Optionen

Hi codename!

Also, bis jetzt geben Dir King-Heinz, mmk und meine Wenigkeit den gleichen Ratschlag.

Formatierung und Neuinstallation mit anschliessendem Image der Grundinstallation.

Wer weiss was sich noch so alles auf dem PC tummelt.

Wenn das ein Kunde ist, der den PC geschäftlich benutzt, wir er Dir auf Knien danken, dass der PC keinen finanziellen Schaden anrichtet wenn Du unseren Rat befolgt hast.

Man denke nur daran, dass irgend ein Gewürm die Jahresabschlüsse verändert.

Wenn das ein Kunde ist, der den PC privat benutzt, wird auch dieser Dir auf Knie danken, dass der PC keinen finanziellen Schaden anrichtet wenn Du unseren Rat befolgt hast.

Man denke nur daran, dass sich so ein Dialer einwählt.

Wenn ich der Kunde wäre, egal ob privat oder geschäftlich, ich würde Dir die Füsse küssen, wenn du den Rat der DREI beherzigst.

MfG Nasser

;) Und immer trocken bleiben.
bei Antwort benachrichtigen
Nasser codename „Eine Menge Spyware“
Optionen

Hi codename!

Ausserdem ist Dein HijackThis v1.97.7 veraltert.

HijackThis 1.98.2



MfG Nasser
;) Und immer trocken bleiben.
bei Antwort benachrichtigen
BIMEX codename „Eine Menge Spyware“
Optionen

9 böse Einträge in Deiner Logdatei, Einsicht in den Report mit Tipps, was Du unter Hijackthis Scan löschen solltest, findest Du unter Klick mich ...

bei Antwort benachrichtigen
Fratercula codename „Eine Menge Spyware“
Optionen

Du kannst auch noch Spybot herunterladen (ist kostenlos) und den Rechner prüfen. XPAntispy tut seine Arbeit bei unerwünschten Microsoft-Diensten.

bei Antwort benachrichtigen
fnmueller1 codename „Eine Menge Spyware“
Optionen

vergess ist. da hilft nur eine neuinst.

bei Antwort benachrichtigen
BIMEX codename „Eine Menge Spyware“
Optionen

@Nasser - .. "Kunde wird Dir auf Knien danken und Dir die Füsse küssen ...", also ich hab das seit 1986 in Bezug auf eine Menge Kunden ganz anders in Erinnerung, meine, spät oder gar nicht bezahlte Rechnungen, von "Zärtlichkeiten" war de facto nie eine Spur, der "Kunde ist König" und liess ihn, wo er kann, mächtig raushängen, habe daher den EDV-Service schon vor Jahren an den Nagel gehängt.

Mein Firmenslogan hat seitdem daher eine kleine, aber wesentliche, Ergänzung erfahren, i.e.

DER KUNDE IST KÖNIG, ABER WER BEKENNT SICH HEUTZUTAGE NOCH ZUR MONARCHIE ?

Ich denke mal, der Kunde zahlt für die Gurke eine Summe X, die keinesfalls stundenlanges Neuinstallieren, meine vom Preis, kaufmännisch vernünftig rechtfertigt, daher kann ich in diesem Fall die "Werner Beinhart - Hau wech, die Sch ..." voll verstehen.

Er will einfach nur noch das Teil ausfegen, so dass nicht gleich beim ersten Virus vor Ort Ärger bereitet, was danach passiert, ist dann Sache des Kunden ...

bei Antwort benachrichtigen
Prosseco codename „Eine Menge Spyware“
Optionen

Lade dir eScan Antivirus Toolkit Utility Ver 4.4.7 und lasse es laufen.
Ausserdem welches Ad Aware Personnal oder Profesionnal.
Ich hatte auch das problem und seit dem ist meine Maschine 100 % (ohne zu luegen )sauber.

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
GarfTermy Prosseco „Lade dir eScan Antivirus Toolkit Utility Ver 4.4.7 und lasse es laufen....“
Optionen

@prosseco

"...Ich hatte auch das problem und seit dem ist meine Maschine 100 % (ohne zu luegen )sauber. ..."

ob deine maschine nach einer infizierung wirklich "sauber" ist, das ist von dir eben NICHT feststellbar. du hast selbst bei mehreren tools KEINE gewähr, das alles wieder in ordnung ist. ein kompromittiertes system MUSS neu installiert werden - alles andere ist mumpitz.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Olaf19 GarfTermy „@prosseco ...Ich hatte auch das problem und seit dem ist meine Maschine 100 ohne...“
Optionen

Wie ist das eigentlich mit den Datenpartitionen? Muss man befürchten, dass der Virus dort evtl. weiterwütet? Ehrlich gesagt: Ich fürchte ja, zumindest bei dem einen oder anderen Virus. Ich würde lieber auch von meinen Daten ein Backup zurückspielen, auch wenn das nicht 100% aktuell ist.

Oder ist diese Vorsicht übertrieben?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Zaphod Olaf19 „Datenpartitionen nach Virusbefall des Systems“
Optionen

8> Ich würde lieber auch von meinen Daten ein Backup zurückspielen, auch wenn das nicht 100% aktuell ist.
---------------------------------------------------------------------> ... wer sich das leisten kann, braucht eigentlich keinen PC :-(.
Daten: erstmal ein Backup, danach gründliche Desinfektion mit aktuellstem Scanner, was dann noch läuft, wird wie folgt behandelt:
- Bei MS Office: Makros beim Öffnen deaktiviren.
- Zip - Archive auf einer Quarantäne-Partition (am besten mit einem Rettungssystem (Knoppix o. ä.) öffnen und den Inhalt scannen - die Erkennungsrate aller aktuellen Virenscanner ist in Zip-Archiven deutlich niedruger als bei unkomprimierten Dateien!
- Scan der zu öffnenden Dateien vor dem Öffnen.
- Dateien nicht mehr via Doppelklick, sondern ausschließlich über das Dateimenue der Applikation öffnen (dann gibts ne Fehlermeldung, wenn in der Datei versteckter Code steckt).

Übrigens: 90% der Schäden bei Virenbefall resultieren aus vorzeitiger panischer Datenlöschung. Während das System grundsätzlich neu aufgesetzt werden sollte, muss man bei Daten differenzierter vorgehen. Man muss zwischen "aktiven" und "passiven" Daten unterscheiden.
"Passive" Daten können von Viren beschädigt werden, sie sind dann nicht mehr lesbar oder fehlerhaft, richten aber keinen weiteren Schaden an. "Aktive" Daten nenne ich alles, was ausführbaren Code enthalten kann: Selbstextrahierende Archive, exe-Dateien, Installationsroutinen, Treiber und Office-Dokumente, Scripte. Bei diesen muss man vor dem Öffnen sicherstellen, dass Schadcode nicht ausgeführt werden kann (Makros deaktivieren, Standardaktion für *.inf, *bat, *.vbs etc. auf "Öffnen in Notepad" statt "Ausführen" etc ...
HTH, Z.

bei Antwort benachrichtigen
Olaf19 Zaphod „Datenpartitionen nach Virusbefall des Systems“
Optionen

> Ich würde lieber auch von meinen Daten ein Backup zurückspielen, auch wenn das nicht 100% aktuell ist.
-------------------------------------------------------------------> ... wer sich das leisten kann, braucht eigentlich keinen PC :-(

Es kommt darauf an, wie häufig man Backups macht bzw. wann zuletzt, in was für einer Umgebung / wie produktiv der PC eingesetzt wird. Es wäre mir entschieden lieber, mit Daten weiter zu arbeiten, die nicht ganz tagesaktuell sind, dafür aber zu 100% virenfrei, als mit Daten auf dem letzten Stand, die möglicherweise einen Virus mit sich herumschleppen.

Falls anzunehmen ist, dass der Virus schon seit geraumer Zeit sein Unwesen treibt, so dass ein Löschen aller Daten einen großen Verlust von Arbeit/Zeit bedeuten würde, sind deine Tipps allerdings optimal.

Zum Neu-Aufsetzen des Systems: Mache ich grundsätzlich nicht mehr, dafür gibt es Images. Es ist nicht weiter schwer, dafür Sorge zu tragen, dass diese virenfrei sind.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Der_Milchmann Zaphod „Datenpartitionen nach Virusbefall des Systems“
Optionen

Sehr hilfreicher Beitrag, es beruhigt mich, dass du keine totalpanik auf deinen PC übertragen würdest und alles plätten würdest.

Denn das wäre in der heutigen Zeit, wo man sich eigentlich bei Datenverkehr über CDs oder allein Emails sowie Internet ständig der Gefahr aussetzt einen Virus zu fangen (mittels Virenwächter erkennt man das heute wenigstens), ein katastrophaler Zustand, denn topaktuelle Daten müsste man dann ja nach jeder Änderung backupen und die haben dann ja auch keine 100%ige Virensicherheit, das heisst .... man lebt in ständiger unsicherheit und sollte wohl besser den pc vom netz kappen :-) (oder linux nutzen, ja ich weiss :-)) oder sogar Mac )

Aber mal auf das WIndows System bezogen, wo genau dieses Problem ja vorherscht, denke ich zielen Viren, wenn man sie übers Netz saugt und keine expliziten Daten, die verseucht sind auf den PC lädt, sondern irgendwelche Scripte (z.B. JavaScripte) mehr auf das System als auf irgendwelche Textdateien ab.

Gruss milch

-----------------------------------Zu Hartz4 kann ich nur sagen, dass ich froh bin, dass ich einen Job habe
bei Antwort benachrichtigen
jueki Prosseco „Lade dir eScan Antivirus Toolkit Utility Ver 4.4.7 und lasse es laufen....“
Optionen
"Ich hatte auch das problem und seit dem ist meine Maschine 100 % (ohne zu luegen )sauber."
Meine -zugegebenermaßen laienhaften- Versuche widersprechen.
Mit nun mehr drei verschiedenen, verseuchten PCs aus meinem Freundeskreis:
Alle bekannten Tools zur Entfernung benutzt.
Zwei Prüfungen = PC ist sauber.
Dritte Prüfung = Virus gefunden!
Wenn "absolute" Sicherheit gefordert wird, hilft da wirklich nur "format C",
Hat mir mal einer so erklärt:
Wenn ich in Deinem Autogetriebe an einem Zahnrad auch nur einen Zahn verändere, und Du fährst ein Stück - ob es dann hilft, den einen Zahn wieder in Ordnung zu bringen?
Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
idefix1968 codename „Eine Menge Spyware“
Optionen

Logfile of HijackThis v1.97.7
Eventuell veraltet Zeigt die Version von HijackThis an. Neuste Version: v1.98.2! Ihre Version (v1.97.7 ) ist veraltet. Besuchen Sie die Herstellerseite um sich die neue Version herunter zu laden.
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Gut Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106! Ihre Version sollte aktuell sein. (6.00.2800.1106)
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
Gut Laufender Prozess. (MSGSRV32.EXE)
Systemprozess - Windows Message Server
C:\WINDOWS\SYSTEM\MPREXE.EXE
Gut Laufender Prozess. (MPREXE.EXE)
Systemprozess - Erlaubt mehr als einen Netzwerkclienten und 95, 98 oder ME einzurichten.
C:\WINDOWS\SYSTEM\MSTASK.EXE
Gut Laufender Prozess. (MSTASK.EXE)
Gehört zu den Windows Powertoys von MS.
C:\WINDOWS\SYSTEM\RVS_CE.EXE
Unbekannt Laufender Prozess. (RVS_CE.EXE)
Dies ist ein unbekannter Prozess.
C:\WINDOWS\EXPLORER.EXE
Gut Laufender Prozess. (EXPLORER.EXE)
Systemprozess für Desktop und Taskleiste.
C:\WINDOWS\SYSTEM\RPCSS.EXE
Gut Laufender Prozess. (RPCSS.EXE)

C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
Böse Laufender Prozess. (MSXMIDI.EXE)
Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
Gut Laufender Prozess. (SYSTRAY.EXE)
Systemprozess - Background application that runs the Windows system tray, which provides space to display the clock time and icons installed by other applications.
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
Gut Laufender Prozess. (MGACTRL.EXE)

C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
Gut Laufender Prozess. (HGCCTL95.EXE)

C:\PROGRAMME\ICQLITE\ICQLITE.EXE
Gut Laufender Prozess. (ICQLITE.EXE)
ICQ lite chat client.
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
Unbekannt Laufender Prozess. (SYNCROAD.EXE)
Dies ist ein unbekannter Prozess.
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
Gut Laufender Prozess. (MGAQDESK.EXE)

C:\WINDOWS\ANWENDUNGSDATEN\TCMT.EXE
Unbekannt Laufender Prozess. (TCMT.EXE)
Dies ist ein unbekannter Prozess.
C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE
Unbekannt Laufender Prozess. (WINSYNC.EXE)
Dies ist ein unbekannter Prozess.
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
Gut Laufender Prozess. (MSOFFICE.EXE)

C:\WINDOWS\SYSTEM\WMIEXE.EXE
Gut Laufender Prozess. (WMIEXE.EXE)
Systemprozess - Application that gives a standard method of accessing system information, performance information, event monitors, and application monitors. The application works as a transparent task.
C:\WINDOWS\SYSTEM\DDHELP.EXE
Gut Laufender Prozess. (DDHELP.EXE)
Direct Draw Helper, DirectX
C:\PROGRAMME\MICROSOFT INFOCHECKER\FF.EXE
Gut Laufender Prozess. (FF.EXE)

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
Gut Laufender Prozess. (HIJACKTHIS.EXE)
Tool, mit dem sie dieses Logfile erzeugt haben. Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lxrga.dll/s
Böse Einträge mit solchen Seiten, sollten immer gefixt werden. Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lxrga.dll/
Böse Einträge mit solchen Seiten, sollten immer gefixt werden. Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
Eventuell Böse Diese Seite könnte böse sein! Wenn Sie die Seite 'http://www.freenet.de/ ' nicht kennen, sollte der Eintrag entfernt werden.
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lxrg
Böse Einträge mit solchen Seiten, sollten immer gefixt werden. Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lxrga.dll/s
Böse Einträge mit solchen Seiten, sollten immer gefixt werden. Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
Böse Zum eingegebenen Programm MSXMIDI.EXE haben wir folgendes Programm gefunden: msxmidi.exe. Unbedingt fixen!
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft. Trefferquote: 100,00 %
O2 - BHO: (no name) - {0E04E44F-DABB-A3E6-D044-F99125738982} - C:\WINDOWS\SYSTEM\MFCTE.DLL
Unbekannt Einige Programme sind hier schlecht. Das eingegebene Programm ([0E04E44F-DABB-A3E6-D044-F99125738982] - Treffer: ) wurde überprüft. Trefferquote: 0,00 % Nicht bekanntes Programm.
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([5321E378-FFAD-4999-8C62-03CA8155F0B3] - Treffer: 5321E378-FFAD-4999-8C62-03CA8155F0B3) wurde überprüft. Trefferquote: 100,00 % Unbedingt fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Gut Zum eingegebenen Programm LoadPowerProfile haben wir folgendes Programm gefunden: LoadPowerProfile. Trefferquote: 84,25 % (Resultate)
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
Gut Zum eingegebenen Programm Matrox Control Center haben wir folgendes Programm gefunden: Matrox Control Center. Trefferquote: 95,83 % (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
Gut Zum eingegebenen Programm ICQ Lite haben wir folgendes Programm gefunden: ICQ Lite. Trefferquote: 100,00 % (Resultate)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
Unbekannt Zum eingegebenen Programm Windows SyncroAd haben wir folgendes Programm gefunden: Windows Load. Trefferquote: 39,71 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
Böse Zum eingegebenen Programm xpsystem haben wir folgendes Programm gefunden: xpsystem. Trefferquote: 53,33 % (Resultate) Unbedingt fixen!
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Gut Zum eingegebenen Programm SchedulingAgent haben wir folgendes Programm gefunden: SchedulingAgent. Trefferquote: 100,00 % (Resultate)
O4 - HKLM\..\RunServices: [RVS-CE] C:\WINDOWS\SYSTEM\RVS_CE.EXE /SRVEXEC
Unbekannt Zum eingegebenen Programm RVS-CE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [JAVAZU32.EXE] C:\WINDOWS\SYSTEM\JAVAZU32.EXE
Unbekannt Zum eingegebenen Programm JAVAZU32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [ATLVT.EXE] C:\WINDOWS\ATLVT.EXE
Unbekannt Zum eingegebenen Programm ATLVT.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [CRSM32.EXE] C:\WINDOWS\CRSM32.EXE
Unbekannt Zum eingegebenen Programm CRSM32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [MSQO.EXE] C:\WINDOWS\MSQO.EXE
Unbekannt Zum eingegebenen Programm MSQO.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [JAVAUY32.EXE] C:\WINDOWS\JAVAUY32.EXE
Unbekannt Zum eingegebenen Programm JAVAUY32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [WINYY.EXE] C:\WINDOWS\SYSTEM\WINYY.EXE
Unbekannt Zum eingegebenen Programm WINYY.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [MFCEB.EXE] C:\WINDOWS\MFCEB.EXE
Unbekannt Zum eingegebenen Programm MFCEB.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [APILJ.EXE] C:\WINDOWS\SYSTEM\APILJ.EXE
Unbekannt Zum eingegebenen Programm APILJ.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [SYSJO.EXE] C:\WINDOWS\SYSTEM\SYSJO.EXE
Unbekannt Zum eingegebenen Programm SYSJO.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [APPYM32.EXE] C:\WINDOWS\SYSTEM\APPYM32.EXE
Unbekannt Zum eingegebenen Programm APPYM32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [ADDGG32.EXE] C:\WINDOWS\SYSTEM\ADDGG32.EXE
Unbekannt Zum eingegebenen Programm ADDGG32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [ATLEM.EXE] C:\WINDOWS\SYSTEM\ATLEM.EXE
Unbekannt Zum eingegebenen Programm ATLEM.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [JAVAKD32.EXE] C:\WINDOWS\JAVAKD32.EXE
Unbekannt Zum eingegebenen Programm JAVAKD32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 6,25 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [APPJH32.EXE] C:\WINDOWS\APPJH32.EXE
Unbekannt Zum eingegebenen Programm APPJH32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [SYSIH.EXE] C:\WINDOWS\SYSTEM\SYSIH.EXE
Unbekannt Zum eingegebenen Programm SYSIH.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [CRFI32.EXE] C:\WINDOWS\CRFI32.EXE
Unbekannt Zum eingegebenen Programm CRFI32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [APPJA32.EXE] C:\WINDOWS\APPJA32.EXE
Unbekannt Zum eingegebenen Programm APPJA32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\RunServices: [NTEM32.EXE] C:\WINDOWS\NTEM32.EXE
Unbekannt Zum eingegebenen Programm NTEM32.EXE haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\MGAQDESK.EXE
Gut Zum eingegebenen Programm Matrox QuickDesk haben wir folgendes Programm gefunden: Matrox QuickDesk. Trefferquote: 53,85 % (Resultate) Nicht gefährlich aber unnötig.
O4 - HKCU\..\Run: [Hlen] C:\WINDOWS\Anwendungsdaten\tcmt.exe
Unbekannt Zum eingegebenen Programm Hlen haben wir folgendes Programm gefunden: Kein. Trefferquote: 25,00 % (Resultate) Nicht bekanntes Programm.
O4 - HKCU\..\Run: [FactFinder] C:\PROGRAMME\MICROSOFT INFOCHECKER\ff.exe /i
Unbekannt Zum eingegebenen Programm FactFinder haben wir folgendes Programm gefunden: Kein. Trefferquote: 14,29 % (Resultate) Nicht bekanntes Programm.
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
Böse Zum eingegebenen Programm xpsystem haben wir folgendes Programm gefunden: xpsystem. Trefferquote: 53,33 % (Resultate) Unbedingt fixen!
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
Gut Zum eingegebenen Programm 'Microsoft Office.lnk (OSA9.EXE)' haben wir folgendes Programm gefunden: 'Microsoft Office (OSA9.EXE)'. Trefferquote: 94,44 % (Resultate)
O9 - Extra button: ICQ Lite (HKLM)
Gut Der Eintrag ICQ Lite wurde als Gut erkannt. Wenn der Eintrag 'ICQ Lite ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
Gut Der Eintrag ICQ Lite wurde als Gut erkannt. Wenn der Eintrag 'ICQ Lite ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macrome
Gut Dieser Eintrag wurde als Gut identifiziert!

Wie vorher gesagt mit der neuen Version scannen. Hijackthis zeigt auch nicht alles. Und die Registry Einträge und die Einträge in der Systemwiederherstellung erneuern gelöschte Dateien wieder. Nur die dortige Entfernung hilft. Der Kunde kann sich nie sicher sein einen PC ohne Spyware zu haben. Bei sovielen Meldungen.

bei Antwort benachrichtigen
Fratercula codename „Eine Menge Spyware“
Optionen

Falls nach der Neuinstallation die gleichen Tools zum Einsatz kommen, die einige Einträge in der Registry und Spyware nicht finden konnten, dann werden sie es bestimmt auch nicht nach einer Neuinstallation. Also ist es besser, das System zu durchforsten und mit dem Ergebnis zu leben; es kann nicht besser werden. Ausser man geht nicht ins Internet oder lässt die Finger von Windows.
Wer sich weniger Spyware einfangen will, sollte mal Firefox ausprobieren. Seit dem ich diesen Browser benutze, findet Ad-Aware anstatt 30 nur noch drei bis sieben Einträge. Es werden mit dem Browser nicht mehr so viele unnütze Funktionen bereitgestellt, welche den Zugriff auf einen Rechner erleichtern. Es setzt natürlich auch voraus, dass man sich von Outlook verabschiedet. Programmteile, die nicht vorhanden sind, können auch nicht missbraucht werden.
Im Allgemeinen ist es so, dass es sich für Angreifer nur lohnt, wenn die Software, die gehackt werden soll, auch sehr verbreitet ist. Bei einem weniger "beliebten" Programm oder OS machen sich nur Wenige die Mühe. Mit Firefox könnte es also irgendwann auch so weit sein. Dann schaue ich mich eben nach einem anderen Browser um...
Gar keine Probleme habe ich mit dem Email-Programm "Vivian Mail". Es kann kein HTML und stellt auch nur die Grundlegenden Funktionen bereit. Dafür brauche ich mir aber keine Sorgen um Makros, selbstöffnende Anhänge und Ähnliches machen.
Im Übrigen, ein veränderter Zahn an einem Ritzel bedeutet nicht unbedingt eine Fehlfunktion. Es kommt auf die Art des Eingriffs an.

bei Antwort benachrichtigen
Nasser codename „Eine Menge Spyware“
Optionen

Dein Posting ist leider aus dem Zusammenhang gerissen.

Du zitierst mich mit folgenden Worten:
"Kunde wird Dir auf Knien danken und Dir die Füsse küssen ..."

Mein Posting lautet:
Wenn ich der Kunde wäre, egal ob privat oder geschäftlich, ich würde Dir die Füsse küssen,....

Der Unterschied liegt bei dem Wort ich und ich gehe von einem denkenden Kunden aus. ;)

Da das erste Posting von Codename nicht mit einer spezifischen Frage formuliert wurde, kam für mich nur eine Antwort in Frage.

Von einem Kunden steht im ersten Posting absolut nichts, sondern nur von Keller.
Ausserdem ist das, mit dem Betrag X des zahlenden Kunden, bis jetzt auch nur eine Vermutung.

Sicherlich gebe ich Dir recht, dass es unterschiedliche Kunden gibt und die meisten nur aufs Geld schauen. Aber wenn man denen klar macht, das der Jahresabschluss eventuell noch mehr kostet, als der Betrag X für den reparierten PC..........usw.

Oft ist es der Service und keine Beratung, an dem es mangelt.
Der Kunde will wenig bezahlen und die Firma will viel verdienen.
Das ist halt die Realität, da gebe ich Dir Recht.

MfG Nasser

;) Und immer trocken bleiben.
bei Antwort benachrichtigen