komische Meldungen??

Hallo Höllenweib, (bist du wirklich eins?)
Jetzt versuch mal Spyware wegzubekommen.
Am Besten mit a2.
http://www.emsisoft.de/de/software/free/

Darnach sicherheitshalber ein HijackThis LOG und das Log auf der Auswertungsseite einkopieren und auswerten lassen. Dann nochmals mit HijackThis scannen und alle roten einträge in jedem Fall löschen (die gelben mit Überlegung)

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.
Natürlich innerhalb beider Programme die Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

Hallo rolwei,
(finde es raus ;-))

Danke für die super Anleitung. a2 läuft und schlägt nicht an. Virenscanner (Kasparsky) läuft ebenfalls und er bringt die Fehlermeldung. HijackThis ebenfalls gestartet - alle Programme sind IMMER auf dem neuesten Stand, keine Einträge zum löschen!

Diese Meldungen sind meistens wenn ich im Netz war. Und der Rechner fährt nicht sauber herrunter. Achso ich vergaß zu erwähnen das dieser Rechner noch Win 98 SE installiert hat!!


Höllenweib

Zeig doch mal das Hijackthis Log

Hallo DR. Nope,
hier mal einen Auszug der SaveLog-Datei. Was ich für seltsamen Eintrag hat ist dieser hier:
C:\PROGRAM FILES\WINDOWS CONTROLAD\WINCTLADALT.EXE
Ich kenne es auch nicht.


Logfile of HijackThis v1.97.7
Scan saved at 11:46:37, on 26.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ROXIO\WINONCD 6 PE\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB02.EXE
C:\PROGRAMME\WIN-PROTOKOLL\PROT.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAM FILES\WINDOWS CONTROLAD\WINCTLAD.EXE
C:\PROGRAMME\ENIGMA SOFTWARE GROUP\SPYHUNTER\MEMSCANNER.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\EUMEX 704PC DSL\CAPICTRL.EXE
C:\PROGRAM FILES\WINDOWS CONTROLAD\WINCTLADALT.EXE
C:\PROGRAMME\EUMEX 704PC DSL\HNETCTRL.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS\AVPM.EXE
C:\PROGRAMME\TRAXEX\TRAXEX.EXE
C:\PROGRAMME\TELEDAT\WCOM\SYSTEM\CCUI.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\DOWNLOADS\SICHERHEITSTOOLS\HIJACKTHIS.EXE

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET 14\JCCATCH.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET 14\FGIEBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb02.exe
O4 - HKLM\..\Run: [prot] C:\PROGRAMME\WIN-PROTOKOLL\prot.exe auto
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Windows ControlAd] C:\PROGRAM FILES\WINDOWS CONTROLAD\WINCTLAD.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\PROGRAMME\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER.exe
O4 - HKLM\..\Run: [MemScanner] C:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 704PC DSL\Capictrl.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 704PC DSL\HNetCtrl.exe
O4 - Startup: KAV Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET 14\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET 14\jc_all.htm
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37986.3258101852
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=e9ac76e5be06aec7c35effd5307318995225e609a1a55223e02f6a8126358f8e30da7ac09cffdb17a0a6ff26592c03ae3e5f1c885266d6e9339a246d808fb56338f2:6a596747d24af1db5a395fd68365f220

Schöne Weihnachten und angenehme Feiertage!!

Hallo,

habe wiedermal ein Problem, welches ich momentan nicht allein gelöst bekomme.
Ich war vor ein paar Tagen auf die www.biker.de und dort habe ich mir wahrscheinlich ein Trojaner gezogen. Habe es sofort bemerkt und das Programm welches ich installieren wollte mittels online-Unterbrechung gestoppt. Und alle (?) Dateien (2) die im TEMP Ordner waren habe ich gelöscht. Soweit so gut.

Es melden sich aber bei der Anmeldung bzw. wenn der Deskop hochgeladen ist folgende Dateien:

sahagent-cdt1001.exe
SearchRelevancy.exe
WinServAdInstallPack.exe

Leider findet der Virenscanner (Kasparsky) diese Dateien nicht.

Wer kann helfen?

Höllenweib

Hallo Nighty,
das Problem ist ja das, wenn ich die Dateien suchen lasse, sie nicht zu finden sind. Wie soll ich sie dann online scannen lassen. Was mir allerdings noch aufgefallen ist, im Recycled Ordner stehen merkwürdige Verzeichnis wie DC10. Wenn ich sie löschen möchte, im abgesicherten oder normalen Modus, sie erneuern sich immer wieder- die Zahl erhöht sich. Im Klartext sie lassen sie nicht lösen, da sie sich immer wie neu bilden. In der Registry habe ich habe Einträge mit "WinCltlad.*" manuell gelöscht. Habe ebnefalls von der Kasparsky Site das Remover Toolls welches im DOS.Modus startet durchlaufen lassen, keine Reaktion! Was könnte es noch sein? Oder muss ich nun doch das System neu machen?

Höllenweib

Haste die erweiterten Datenbanken jetzt aktiviert?
Sonst findet er sie nicht wenns Spyware-Kram ist.

Ansonsten wie ist Kaspersky eingestellt hast du da alle Laufwerke angeklickt und alle Dateien?

Ansonsten mach mal ein LOG mit Hijackthis 1.99

Gruß

Hallo Höllenweib, nimm mal die neue Version von HijackThis, mach' nachher noch ein LOG mit HijackThis und kopier es auf der automatischen Auswertungsseite in das Auswertungsfeld.
Darnach auf 'Analyze' klicken und alle roten Einträge nach einem erneuten Scan mit HijackThis fixen.
(die gelben mit Überlegung) http://www.wintotal.de/Tipps/Eintrag.php?TID=873
Automatische Auswertung: http://www.hijackthis.de/

(wenn der nichts findet ist es unwahrscheinlich, dass noch was da ist - vielleicht war ja nie was da - wenn du einen Firewall benutzt kannst du ja prüfen, ob ein Trojaner was sendet indem du jedes Programm beim Zugriff auf's Internet kontrollierst)