|
*gerettet werden will* :balla: |
hmm, kenne mich mit Win98 leider überhaupt nicht aus. Versuche dies: http://www.microsoft.com/downloads/d...displaylang=en edit: oder hier 2. edit: Bevor wir uns am silentrunners festbeißen, mache einen Onlinescan mit Ewido (geht nur mit dem Internet Explorer) und poste das log. |
Ist es das was Du haben möchtest? "Silent Runners.vbs", revision 48, http://www.silentrunners.org/ Operating System: Windows 98 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"] "Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe"" [file not found] "Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE" [null data] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++} "schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"] "SchedulingAgent" = "mstask.exe" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {31FF080D-12A3-439A-A2EF-4BA95A3148E8}\(Default) = (no title provided) -> {HKLM...CLSID} = "bho2gr Class" \InProcServer32\(Default) = "C:\Programme\Tools\GetRight\xx2gr.dll" ["Headlight Software, Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX" ["("] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet" -> {HKLM...CLSID} = "Nero Shell Extension Property Sheet" \InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"] "{f802f260-519b-11d1-bb5d-0060974c6013}" = "ICQ Shell Extension" -> {HKLM...CLSID} = "ICQ Shell Extension" \InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\PROGRAMME\REAL\REALPLAYER\RPSHELL.DLL" ["RealNetworks, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRAMME\OPENOFFICE.ORG1.1.5\PROGRAM\SHLXTHDL.DLL" ["Sun Microsystems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"] ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}" -> {HKLM...CLSID} = "ICQ Shell Extension" \InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data] ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}" -> {HKLM...CLSID} = "ICQ Shell Extension" \InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Eigene Dateien\CREA\higrue\blau_hellblasen.jpg" Enabled Scheduled Tasks: ------------------------ "Programmstart beschleunigen" -> launches: "walign" [MS] "FRU Task #Hewlett-Packard#hp psc 1100 series#1115472366" -> launches: "C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1115472366"" ["0"] "Wartung - Programme defragmentieren" -> launches: "C:\WINDOWS\DEFRAG.EXE /SAGERUN:0" [MS] "Wartung - ScanDisk" -> launches: "C:\WINDOWS\SCANDSKW.EXE /SAGERUN:0 /ALL /N" [MS] "Wartung - Datenträgerbereinigung" -> launches: "C:\WINDOWS\CLEANMGR.EXE /SAGERUN:0" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1 C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.5.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll" ["Sun Microsystems, Inc."] |
So, um halb 2 ist meine Nacht zuende, und mir fallen jetzt definitiv die Augen zu. Ich hab die Häkchen in den 3 Kästchen im abgesicherten Modus gesetzt. Hab dann wieder normal gestartet. Die Datei die ich suchen sollte war nicht da und auch nirgendwo sonst. Dann hab ich ja jetzt eben den log gepostet. HJT geht im normalbetrieb immernoch nicht an. Es rattert noch und die PW Abfrage geht auch noch an. Bei mir geht heut abend nix mehr an, nur rattern tuts schon im Hirn.:balla: Ich danke euch, und lese dann morgen wieder rein. *heia* |
Yep. Manchmal is man bekloppt und sieht den Wald vor lauter Bäumen nicht :headbang:. Ich dachte, Spyagent gehört zu Steganos :headbang:. Muß dich nicht weiter interessieren... Jedenfalls deinstalliere Spyagent (schau mal unter Start - Einstellungen - Systemsteuerung- Software). Lasse dir alle versteckten Dateien anzeigen und gehe sicher, dass die Ordner C:\PROGRAMME\WINRAR\FORMATS\RSM C:\PROGRAMME\WINRAR\FORMATS\SAS leer sind. Lösche ggf. den Rest. Öffne den Registryeditor (Start-Ausführen-regedit-enter) und hangel die zu dem Schlüssel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run entferne die Einträge Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe und sofern vorhanden "Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE " Führe ccleaner aus. Berichte, was rattert und erstelle ein neues HJT-log. Gruß |
ich habe einen SA und einen SAS ordner in Formats. Da is ohne Ende zeug drin. ua: noserver.exe ; spyanywhere.exe ( das im Sa Ordner) SAS: deploy.exe nostealth.exe; spyagent4.exe; spyRename.exe; Beide Ordner leermachen? komplett? einfach löschen? aber versteckte dateien anzeigen is schon eingestellt und das häkchen vor systemdateien ausblenden is auch schon weg gewesen. schlaf schön |
besser wäre, spyagent zunächst über die systemsteuerung - software zu deinstallieren.Lösche die Reste nach einem Neustart manuell. Wenn das nicht funktioniert, lösche die Ordner SA, SAS, nutze notfalls die Killbox. Was befindet sich den sonst noch in dem ominösen Ordner Winrar/Formats? |
inner systemsteuerung is nix drin! wart, ich lad eben 2 screenshots hoch von den Ordnern http://img86.imageshack.us/img86/9149/sasok9.png http://img178.imageshack.us/img178/6349/sabm5.png und der vollständigkeit halber noch eins von dm formats ordner: http://img165.imageshack.us/img165/914/formatskb9.png |
So, ich hab mal nach Spyagent gegoogelt und du darfst deinem Ex beste Grüße von mir bestellen, er ist ein A..... Offenbar läßt sich das Ding nicht ohne weiteres entfernen. Also lösche die Ordner mit der Killbox (delete on reboot) und entferne die genannten Regitryeinträge. Führe ccleaner aus, mache danach einen Onlinescan mit ewido (IE nutzen!). Poste das log. Sollte HJT funktionieren, weißte ja, was du zu tun hast. PS: Vielleicht hat MightyMarc noch einen Vorschlag, der weniger umständlich ist. @Linaaahh: Ja, lösche den gesamten Ordner Formats. |
Zitat:
Und so umständlich ist das ja gar nicht. Killbox und die zwei Autostarteinträge sind ja in 3 min entfernt (regdelnull wäre vllt noch interessant). |
Hallo, hier findest Du die Verzeichnisse die von dem Preogramm benutzt werden. Generell solltet Du nach der entferung alle Zugangsdaten ändern. Je nachdem, wie und ob Du weiter gegen den Installator vorgehen willst, solltest Du an dem System aber keine Änderungen vornehmen, sondern ihn so belassen und an die entsprechenden Behörden weitergeben. Gruß Schrulli |
erstaunlich, sonst ist er in keinster Weise gründlich gewesen, aber nungut. die killbox läuft ncih... F8? |
Zitat:
KeyCaptor.exe NoStealth.exe kcopts.dat NTInvisible.dll SystemSA32.dll unvise32.exe spysplash.dat |
So langsam habe ich an dem Vorhaben meine Zweifel. Spyagnet scheint nicht weit von Rootkittechniken entfernt zu sein Zitat:
@Linaaahh: Wäre ein Neuaufsetzen deines Systems sehr schmerzhaft? Daten kannst du vorher sichern. Sämtliche Passwörter und Zugangsdaten mußt du ändern. |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board