spyware???

Strafe muß sein... 

Na, von der Musikindustrie stammt das wohl nicht sondern von nem Trittbrettfahrer.

Dann laß halt ein paar Scan-Programme laufen:
Adaware, Ewido, Spyware Doctor etc.
Wird schon was helfen, hoffentlich...

Hi!

In welcher Form kommen denn diese "Mahnungen"? Browser-Popup? Windows Meldungsfenster?

Poste doch mal bitte ein Hijackthis-Log.

• Panda Online Scan
  
  
• Spybot
  
  
• Hijackthis
  

Logfile of HijackThis v1.99.1
Scan saved at 22:35:57, on 29.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Mar\Eigene Dateien\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: (no name) - {B0C35958-F291-E8D4-675C-9527A3534946} - typeconf.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PestPatrolRegistration] C:\Programme\PestPatrol\Register.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SysEntry] 34763.exe
O4 - HKLM\..\Run: [WinInitDll] JAguAr.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [SetupExeDll] qwe.exe
O4 - HKCU\..\Run: [gabber] ParisM.exe
O4 - HKCU\..\Run: [ParisM] abrek.exe
O4 - HKCU\..\Run: [License Manager] "C:\Programme\License_Manager\license_manager.exe " /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42BBA010-1CC1-40FB-BDE7-9147A6BC9958}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{B970C67B-CBC7-4F30-B52F-180C05D20CF5}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA74E2C3-4B2B-4C45-A8BB-83A1A17EEBA6}: NameServer = 85.255.114.108,85.255.112.143
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

Das auftauchende Fenster läuft wie gesagt im Hintergrund kann es aber auch nicht scließen oder so...

läuft beim Task-Manager auch nicht unter Anwendungen...

geht dann aber nach eins - zwei min wieder weg...
da steht auch meine IP-Adresse und meine Angebliche Kundennr.

Nichts definitiv Böses in deinem Logfile zu erkennen,
dafür aber viele Unbekannte bzw. evtl. Böse.

Scann mal mit den oben geposteten deinen PC durch.
Online Scanner und Spybot.

Danach poste ob und was gefunden wurde.

• Panda Online Scan
  
  
• Spybot
  

Ok, ziemlich viel Müll

Diese beiden
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
solltest Du mal genauer unter die Lupe nehmen, z.B.bei http://virusscan.jotti.org/

O4 - HKLM\..\Run: [SysEntry] 34763.exe
Spyware, siehe http://www.bleepingcomputer.com/startups/34763.exe-14134.html

O4 - HKLM\..\Run: [WinInitDll] JAguAr.exe
Malware, siehe http://www.bleepingcomputer.com/startups/JAguAr.exe-12991.html

Weiter...

O4 - HKCU\..\Run: [SetupExeDll] qwe.exe
Ist eventuell http://www.sophos.de/security/analyses/trojlineagef.html

O4 - HKCU\..\Run: [ParisM] abrek.exe
siehe http://www.wintotal.de/Spyware/index.php?Filter=A

O4 - HKCU\..\Run: [gabber] ParisM.exe
siehe http://startup.networktechs.com/srch-ParisM.exe.html

Bitte diese fixen
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [License Manager] "C:\Programme\License_Manager\license_manager.exe " /silent

Und denke auch mal drüber nach, Dich von Emule zu trennen...

Ist sicher nicht alles, aber für meinen Geschmack schon zuviel...

Noch was:

O17 - HKLM\System\CCS\Services\Tcpip\..\{42BBA010-1CC1-40FB-BDE7-9147A6BC9958}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{B970C67B-CBC7-4F30-B52F-180C05D20CF5}: NameServer = 85.255.114.108,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA74E2C3-4B2B-4C45-A8BB-83A1A17EEBA6}: NameServer = 85.255.114.108,85.255.112.143

Die IPs gehören zu:
Inhoster hosting company
OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Ist das so korrekt?

Hab den Panda Scan Benutzt

Ereignis                                                                        Zustand                       Standort                                                                                                                                                                                                                                                       

Adware:adware/sbsoft                                                            Nicht desinfiziert            c:\windows\rdt.ini                                                                                                                                                                                                                                             
Potenziell unerwünschtes Tool:application/mediapipe                             Nicht desinfiziert            c:\programme\License_Manager                                                                                                                                                                                                                                   
Adware:adware/ucmore                                                            Nicht desinfiziert            c:\programme\TheSearchAccelerator                                                                                                                                                                                                                               
Adware:adware/whenusearch                                                       Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Potenziell unerwünschtes Tool:application/kill&clean                            Nicht desinfiziert            HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}                                                                                                                                             
Adware:adware/weirdontheweb                                                     Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Spyware:Cookie/Falkag                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\Gast\Cookies\[email protected][1].txt                                                                                                                                                                                           
Hab jetzt erstmal bare-share und licence manager mit hijack gelöscht

!!!Ich dank euch auf jeden fall erst mal recht Herzlich für die Hilfe!!!

Bis jetzt ist nichts mehr aufgetaucht...

könnte glaub ich der license manager gewesen sein, war nur ne exe drin...

Hoffe es bleibt so!!

Poste morgen noch mal den Stand der Dinge...

Hm, also war doch ´ne Menge drauf wa.   

Das was von Panda nicht desinfiziert werden konnte,
war Spyware, die kannst du nun mit Spybot und/oder ewido entfernen.

Der Online Scan entfernt leider "nur" Viren/Würmer/Trojaner.
Für den Rest braucht man die Vollversion oder aber muss für zahlen.
Daher ist es praktisch dann Spybot/ewido zu nehmen.

Naja, ne Menge schon. Bei der Menge von Zeugs hätte ich sicher 'ne Neuinstallation empfohlen. Aber irgendwie war mir heute nicht danach

Hi,

1. Lösche bitte deinen Browser Cache  und alle sonstigen Temporären Dateien.
Benutze dazu einfach die Freeware CCleaner.
http://www.ccleaner.com/ccdownload.asp
Setze bei den Einstellungen unter dem Reiter von Windows
und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

2. Lade dir die kostenlose Software von Ewido herunter.
Ewido Anti-Malware, ca. 7,6 MB (nur Win 2000 und XP). http://www.ewido.net/de/download/                                         

3. Installiere es (Bei der Installation bitte nicht den Hintergrundwächter aktivieren).
Nach der Installation der Software ist unbedingt noch das Update einzuspielen.

4. Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte
der PC ausschließlich mit der folgenden Anweisung gescannt werden.
- PC vom Netzwerk und Internet trennen.
- Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME).
- PC im abgesicherten Modus starten.
Für den Punkt 2 und 3 findet man hier eine Anleitung. http://www.bsi.de/av/texte/wiederher.htm

5. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen.
Die Meldungen Tracking-Cookies sind harmlos.
6. PC wieder normal Starten und die Systemwiederherstellung aktivieren


So, das sollte desn Rest erledigen 

Ihr seid sooo umständlich.

Ganz einfach wäre die Datei einfach zu löschen. Und zwar geht ihr auf "Ausführen..." und dann gebt ihr 'msconfig' ein. Dann geht ihr auf 'Systemstart' und sucht License Manager. Den Haken nehmt ihr einfach raus! Danach übernehmen und den euren Komposter neu starten! dann bekommt ihr ne sinnlose Meldung, einfach einen Haken reinstetzen und 'OK'. Dann sucht ihr den Ordner 'License Manager' und löscht ihn für immer aus!
(Just4Info: Über 'Systemsteuerung' kann man sehen, was sich nicht alles für Zeug beim Start öffnet...)


Hochachtungsvoll

Lone_Wolf

Achso; fast hätte ich es vergessen:
Und zwar lässt er sich danach such noch aus der Systemsteuerung einfachst entfernen...

LOL Mist-Spyware...

Hi, Mr. Wolf,

Es KANN in diesem Fall so ein komischer Lizenzmanager installiert sein, und vielleicht ist er mit msconfig auch deaktivierbar (aber nicht von Platte getilgt). Aber so genau weiß das keiner, DU auch nicht.

Wir haben hier schon auch einiges auf dem Kasten, trete als Neuling bitte etwas kleiner auf.
XP hat 29 (neunundzwanzig) Startrampen, über die Programme in den RAM gelangen können.
(Quelle: Fachzeitschrift PC-Tipp, Juli 06)
Also stelle die Kreuzchen in msconfig nicht als Allheilmittel dar.
Im übrigen ist der 1 Monat alte Thread wohl längst erledigt.

Hochachtungsvoll,
Bernd-x