Spyware? HijackThisLog

Dieses Thema im Forum "Sicherheit" wurde erstellt von Tulkas_Vala, 28. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Tulkas_Vala

    Tulkas_Vala Byte

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    25
    Hallo!
    Meine Frau war heute während ich in der Arbeit war im Netz unterwegs, und dabei dürfte sich mein Rechner irgendetwas eingefangen haben. Der Virenscan war negativ, jedoch hab ich im Taskmanager ein paar unbekannte Prozesse gefunden. Darauf hin hab ich ein bisschen im Netz gesucht und bin auf Foreneinträge zum Thema Browser-Hijackers gekommen. Ich hab jetzt auch schon adaware, spybot und cwshredder drüberlaufen lassen. Ich bin mir allerdings nicht sicher ob ich alles erwischt habe. Ich kopier unten den Log von HijackThis rein. Vielleicht kann mir ja jemand sagen ob da noch was weg muss.

    Vielen Dank

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
    C:\WINDOWS\System32\GEARSEC.EXE
    C:\mysql\bin\mysqld-nt.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
    C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\System32\TPWRTRAY.EXE
    C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\WINDOWS\System32\TFNF5.exe
    C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
    C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
    C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
    C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
    C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
    C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\Programme\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
    C:\WINDOWS\explorer.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Dokumente und Einstellungen\Fireball\Desktop\hjt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
    O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
    O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
    O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
    O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
    O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DealHelperDown] "C:\Dokumente und Einstellungen\Fireball\Lokale Einstellungen\Temp\ms2.tmp"
    O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37990.4428472222
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
     
  2. Gast

    Gast Guest

    Erst Realname, dann Kerl? Steuerst du gerade wieder mal auf eine Forumssperre oder einen Nicknamewechsel zu?

    Es geht nicht darum, was du unter mein verfälschtes Zitat schriebst, sondern darum, dass du es aus dem Zusammenhang gerissen hast.
     
  3. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    ach kerl.....das passiert mir hier tagtäglich , das unter mein beiträgen irgendwas doofes von anderen leuten steht.....nimms nee so ernst.
    zumindestens hatte ich keine absicht dich als idiot hinzustellen, falls du das meinst. :wink:
     
  4. Gast

    Gast Guest

    Quotemardern nennt man das meist absichtlich sinnentstellende Zitieren in Postings, wobei Textpassagen aneinandergereiht oder gekürzt werden, um ihnen einen anderen Sinn zu geben. Genau das hast du getan. Den Fehler, den ich damit begangen habe, ein Log nicht vollständig zu prüfen und nur auf einige wenige Einträge einzugehen, weil der Fragende nicht schrieb, was ihm selbst verdächtig erschien, den bildest du dir nur ein.
     
  5. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @steele

    quote? was ? .....seih nicht gleich enttäuscht wenn man bei dir fehler findet . :)
     
  6. Gast

    Gast Guest

    Wenn die Installationspfade der Dateien und ihre sonstigen Eigenschaften mit den Toshiba-Angaben übereinstimmen, passt das schon. Ich war nur zu faul, darauf explizit hinzuweisen.
     
  7. Tulkas_Vala

    Tulkas_Vala Byte

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    25
    Hab im Netz gefunden, dass das für die Buttonunterstützung des Toshiba Notebooks ist. Ich hoffe das stimmt auch.:confused:
     
  8. Gast

    Gast Guest

    Gemeint war:

    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

    Das könnte böse sein. Kann man aber per Ferndiagnose nicht zweifelsfrei sagen, da Dateinamen nun mal Schall und Rauch sind.

    bond7:
    Du quotemarderst reichlich unverschämt und enstellst damit den Sinn des zitierten Materials.
     
  9. Tulkas_Vala

    Tulkas_Vala Byte

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    25
    Was genau ist der NewDotNet-Kram? Habs auf alle Fälle nicht mehr in der Systemsteurung-Software und auch nicht auf C:/newdotnet bzw c:/windows.

    danke Gruß
    Lukas
     
  10. Gast

    Gast Guest

    Ja, richtig, den NewDotnet-Kram hab ich glatt übersehen...habe es allerdings auch nur überflogen
    Der gehört natürlich weg.
    Gearsec is Bestandteil verschiedener Produkte, u.a. auch DaVideo.

    ctfmon.exe gehört zu OfficeXP und könnte durchaus deaktiviert werden.

    TPWRTRAY.EXE: Toshiba Power Management
    TFncKy.exe, TFNF5.exe gehören ebenfalls zur Toshiba-Software.

    O4 - HKCU\..\Run: [DealHelperDown] "C:\Dokumente und Einstellungen\Fireball\Lokale Einstellungen\Temp\ms2.tmp"

    ist fragwürdig. Wenn das nicht manuell von dir so eingestellt wurde, dann weg damit.
    Der Rest sind ActiveX-Controls von Online-Virenscannern und fürs Windowsupdate.
     
  11. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @steele
    uihjj, man(n) übersieht die key-logger :D
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
     
  12. Tulkas_Vala

    Tulkas_Vala Byte

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    25
    Hallo!
    Danke für die rasche Antwort. Das ZA und der Norton sind von mir, ebso die myswl-DB und der Cisco VPN. Die Toshiba sind auch alle von mir, da das ein Notebook von Toshiba ist.
    Wo ich mir überhaupt nicht sicher bin sind:

    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    C:\WINDOWS\System32\GEARSEC.EXE
    C:\WINDOWS\System32\TPWRTRAY.EXE
    C:\WINDOWS\System32\TFNF5.exe
    C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DealHelperDown] "C:\Dokumente und Einstellungen\Fireball\Lokale Einstellungen\Temp\ms2.tmp"
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.c...7990.4428472222

    DankeGruß
    Lukas
     
  13. Gast

    Gast Guest

    Wäre nicht unclever gewesen, wenn du mal verraten hättest, welche Prozesse DIR SELBST als Besitzer des Rechners unbekannt vorkommen.
    Es läuft da allerhand sicherheitsrelevantes Zeugs (VPN, MySQL...) und ich kann von hier aus schlecht feststellen, ob das von dir bewusst so gewollt ist.

    Die einzige Malware, die mir auffiel, war Norton und ZoneAlarm, aber die hast du ja wohl absichtlich installiert.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen