Spyware Activity Detected On Your Computer

Ich sage ja auch

 

Also die Datei jqqftng.exe scheint zu Windows XP zu gehören. Was ist mit den Dateien "syshost.exe" und "runexpolrer.exe"?

Hast du WinXP Home oder WinXP Prof.?

 

Also in meinen System32-Verzeichnis befinden sich diese Dateien nicht. Klick doch mal mit der rechten Maustaste auf diese Dateien und klick dann auf "Eigenschaften". Im nun erscheinenden Fenster klickst du auf Version. Dann gehst du die einzeln Einträge durch, die dir dort anzeigt werden.

 

@ pathosFM

In dem Verzeichnis, in der sich auch die HijackThis.exe befindet.

Gruß
Nevok

 

Echt...?

Nun ja, da ich mit Windows ME nie gearbeitet habe, konnte ich das nicht wissen. Aber klär mich doch mal auf, wie man die Systemwiederherstellung unter Windows ME deaktiviert.

Gruß
Nevok

 

Ich glaube, da haben wir beide gepennt. Aber ich hab mich zu sehr auf die Frage konzentriert, wie man die Systemwiederherstellung deaktiviert. Daher ging ich auch davon aus, dasß riffifi Windows ME oder Windows XP hat.

Das nächste mal schaue ich mir vorher nochmal die Log-Datei an.

 

Ganz einfach:

Rechtsklick auf Arbeitsplatz, dann auf Eigenschaften, dann auf den Reiter Systemwiederherstellung klicken und den Haken bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen.

Gruß
Nevok

 

http://www.rokop-security.de/main/article.php?sid=144&mode=thread&order=0

 

@ Fluw

Was willst du mir damit sagen?
Ps.
Dein Link funktioniert nicht!

 

Das sollte auch helfen...
http://www.rokop-security.de/main/a...=thread&order=0

 

O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

Adware - löschen

http://sarc.com/avcenter/venc/data/adware.clickalchemy.html

Ist Dein Rechner ein Aldi-Rechner ?

Meinst Du nicht der ist ein wenig zugeschüttet mit diversen Firewalls und verschiedenen Virenkillern ?

 

habe heute erneut hijack this durchgeführt.

Logfile of HijackThis v1.97.7
Scan saved at 17:28:25, on 19.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Outpost Firewall] C:\DOKUME~1\Marcel\Desktop\UTELLA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SpyBlocker] C:\Programme\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E2F8CE-CDE0-4548-B997-7C9220BCF5A6}: NameServer = 195.93.90.134



leider habe ich immernoch ein paar probleme mit meinem pc, deren ursache ich nicht kenne. ab und zu kommen werbe pop-ups durch. sie laufen über internet explorer. ich habe da echt keine ahnung, wie ich die wegbekomme. zudem zeigt mein rechner immer häufiger den fehler "laufzeitfehler" auf. ich weiß nichts damit anzufangen.

kann mir jemand da helfen? und ist der obige log okay, oder soll ich noch was ändern, fixen, löschen?

 

danke. ihr habt mir schon sehr weitergeholfen.
falls jemand in der obigen liste etwas entdeckt, was ich dringend löschen sollte... bitte posten.

ich habe übrigens windows xp home

 

Dass die jqqftng zu Windows gehört, wage ich mal sehr stark zu bezweifeln
zu syshost.exe

zu runexplorer.exe

runexpolrer dürft wohl ähnlich Auswirkungen haben.

 

jqqftng.exe ... da steht bei mir unter eigenschaften folgendes:

dateiversion: 5.1.2600.0
beschreibung: Eine DLL-Datei als Anwendung ausführen
copyright: © Microsoft Corporation. Alle Rechte vorbehalten.

(ich kenne keinen, der diese datei hat)

bei den versioneninformationen steht:

dateiversion: 5.1.2600.0 (xpclient.010817-1148)
firma: Microsoft Corporation
interner name: rundll
originaldateiname: RUNDLL.EXE

zusätzlich habe ich noch folgendes gefunden:
JQQFTNG.EXE-1B255BF0.pf

ich kenne mich da echt nicht aus.
ist das ganze jetzt okay, oder sollte es runter?

 

ersteinmal danke für die schnelle antworten.
habe dann erneut das ganze gemacht. poste dann mal die sache komplett. wäre nett, wenn jemand sagen könnte, was ich da löschen muss.

Logfile of HijackThis v1.97.7
Scan saved at 19:41:09, on 18.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Steganos Security Suite 4\sde.exe
C:\Programme\Steganos Security Suite 4\steganos4.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\HijackThis.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pathosfm.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.pathosfm.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Outpost Firewall] C:\DOKUME~1\Marcel\Desktop\UTELLA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SpyBlocker] C:\Programme\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [jqqftng] "C:\WINDOWS\System32\jqqftng.exe" Init 1
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SDE] "C:\Programme\Steganos Security Suite 4\sde.exe" /booting
O4 - HKCU\..\Run: [SSS] "C:\Programme\Steganos Security Suite 4\steganos4.exe" /booting
O4 - HKCU\..\Run: [syspath] C:\WINDOWS\System32\syshost.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [service] C:\WINDOWS\System32\runexpolrer.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E2F8CE-CDE0-4548-B997-7C9220BCF5A6}: NameServer = 195.93.74.134

 

Geh nach dieser Anleitung vor und dann klappt es
HiJackThis

 

hm. ehrlich gesagt habe ich keine ahnung was da fehlen könnte. computer waren noch nie so meine welt. habe hijack this durchgeführt und konnte mit den dateien nichts anfangen.
blöde frage, aber wo finde ich die ganze logdatei?

ich habe windows xp

 

@ pathosFM

Poste doch bitte die ganze Log Datei hier rein, sonst wird es schwierig dir zu helfen.

z.B. der Wurm Sober kopiert sich in die syshost.exe.

Hast du dich da verschrieben oder stimmen die Einträge doch so wie sie dastehen:

Widows???

 

kann mir einer sagen, was sich hinter folgenden dateien verbirgt?

04 - HKLM\..\Run: [jqqftng] "C:WIDOWS\System32\jqqftng.exe" Init 1

04 - HKCU\..\Run: [syspath] C:WIDOWS\System32\syshost.exe

04 - HKCU\..\Run: [service] C:WIDOWS\System32\runexpolrer.exe