Trojaner, Datei gelöscht, scheint aber noch aktiv
 

Hallo
Ich hab also nen Trojaner, das weiß ich weil mein Freund ihn mir draufgehaun hat. Er speichert jeden Tastenanschlag, das kann ich auch hörn. (Rattert halt nach jedem Buchstaben.)
Nun ist der Kerl weg, aber das Ding scheinbar noch da, denn wennich strg alt N drücke geht noch immer die PW abfrage auf.
Ich hab die Dateien alle gelöscht die ich im Ordner Wanzen ( wie einfallsreich..) gefunden hatte.
Scheint nichts genutzt zu haben. Der Antivirguard findet nix.
Hab versucht highjackthis zu installiern, aber der läuft nicht. Ich öffne die hjt.exe, dann geht für den Bruchteil einer Sekunde ein Fenster auf, und Ende.
Ich hab Win98first.

Sorry, mehr Angaben kann ich nicht machen fürcht ich, ich hab wirklich so garkeinen Plan!

Das L.

Hi, was is das denn für ne schräge story? :balla: Versuchs mit HJT mal im abgesicherten Modus (beim Neustart F8), denn ohne das logfile siehts trüb aus. Was für ein Trojaner? Gruß

Huhu
Na das geht ja fix hier *freu*
Wieso schräg? Nur halt dürftig was die Infos angeht... ich hab halt keine Ahnung von sowas.
Die Dateien hießen spyagent monitor oder so ähnlich, ich habs ja leider einfach unbedacht gelöscht, sonst könnt ich da mehr zu sagen, sryyy!
beim neustart F8 also, und dann komm ich gleich nochmal.
Danke bis dahin :-)

Vielleicht bekommst Du nen Output von Autoruns. Das wäre zumindest mal etwas.

http://www.sysinternals.com/Utilities/Autoruns.html

das hat geklappt!! :-D
Warum geht der im abgesicherten Modus!?
Wie auch immer, hier also der HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 22:23:10, on 21.09.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Yahoo!
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\Tools\GetRight\xx2gr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [Real Spy Monitor] "C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe"
O4 - HKLM\..\Run: [Srv32Win] C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://de.yahoo.com
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB

der autoruns ( danke mighty!) erzählt mir einiges von dem ich nix versteh, erzählt mir aber auch was vom real spy monitor...!?
dahinter steht dann: File not found: C Programme winrar formats rsm winrsm.exe

Baaahnhof...:headbang:

klick

Fixe (Häkchen setzen) im abgesicherten Modus mit HJT folgende EinträgeSuche C:\PROGRAMME\WINRAR\FORMATS\RSM und lösche den Ordner samt Inhalt. Sollte es probleme geben, nutze die Killbox (delete on reboot)
Lade dir ewido, update, scanne und poste das log von ewido. Wenn HJT wieder funktioniert, poste bitte auch ein neues HJT-log und berichte, ob noch was rattert. Ein Blick in autoruns kann auch nicht schaden.

Gute Nacht

Häkchen gesetzt, aber sonst ging nix:
Die Datei in Programme winrar ist nicht da. ( ist das gut?)
Ewido geht nich, weil ich nicht win2000 hab sondern halt nur 98...
Also das PW-Abfragefenster geht noch immer auf, und es rattert auch noch.
Aber das muß wohl, hab ja noch nichts weiter gelöscht.
Noch irgendeine rettende Idee!?
Schlaf sacht
Gut Nacht :-)

uuuuuupss mein Fehler

poste mal ein Log von silentrunners

Du bist ja doch noch wach :-) !?

folgende Fehlermeldung trat auf:

http://img177.imageshack.us/my.php?image=fehlermeldunglm4.png

Ja, bin noch wach, entgegen meiner guten Vorsätze. Funktioniert der link nicht? Hast du das script ausgeführt?

ojee, nu bin ich dran schuld wenn Du morgen nicht ausgeschlafen bist...
ob ich damit leben kann..!?
andererseits gehe ich mal davon aus dass Du schon groß bist ;-)

da steht halt ich soll ziel speichern unter... habbich, unn dann klick ichs an und kriege halt die Fehlermeldung ( die ich nich versteh ). Kannst Du sie lesen!?

Hey!? DANKE :-)

Hast Du das geladen und installiert?

http://www.microsoft.com/downloads/d...displaylang=en

Jetz ja.
hilft aber nicht, nu hab ich 13 Dateien auffem Desktop aber die Fehlemeldung kommt trotzdem.

Ooh, MM hat die Übersicht :party:

*gerettet werden will*
:balla:

hmm, kenne mich mit Win98 leider überhaupt nicht aus. Versuche dies: http://www.microsoft.com/downloads/d...displaylang=en

edit: oder hier

2. edit: Bevor wir uns am silentrunners festbeißen, mache einen Onlinescan mit Ewido (geht nur mit dem Internet Explorer) und poste das log.

Ist es das was Du haben möchtest?
"Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe"" [file not found]
"Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE" [null data]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]
"SchedulingAgent" = "mstask.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{31FF080D-12A3-439A-A2EF-4BA95A3148E8}\(Default) = (no title provided)
-> {HKLM...CLSID} = "bho2gr Class"
\InProcServer32\(Default) = "C:\Programme\Tools\GetRight\xx2gr.dll" ["Headlight Software, Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX" ["("]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{f802f260-519b-11d1-bb5d-0060974c6013}" = "ICQ Shell Extension"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\PROGRAMME\REAL\REALPLAYER\RPSHELL.DLL" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRAMME\OPENOFFICE.ORG1.1.5\PROGRAM\SHLXTHDL.DLL" ["Sun Microsystems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
ICQMenu\(Default) = "{f802f260-519b-11d1-bb5d-0060974c6013}"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShell.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\TOOLS\PACKER\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Eigene Dateien\CREA\higrue\blau_hellblasen.jpg"


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"FRU Task #Hewlett-Packard#hp psc 1100 series#1115472366" -> launches: "C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1115472366"" ["0"]
"Wartung - Programme defragmentieren" -> launches: "C:\WINDOWS\DEFRAG.EXE /SAGERUN:0" [MS]
"Wartung - ScanDisk" -> launches: "C:\WINDOWS\SCANDSKW.EXE /SAGERUN:0 /ALL /N" [MS]
"Wartung - Datenträgerbereinigung" -> launches: "C:\WINDOWS\CLEANMGR.EXE /SAGERUN:0" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll" ["Sun Microsystems, Inc."]

So, um halb 2 ist meine Nacht zuende, und mir fallen jetzt definitiv die Augen zu.

Ich hab die Häkchen in den 3 Kästchen im abgesicherten Modus gesetzt. Hab dann wieder normal gestartet.


Die Datei die ich suchen sollte war nicht da und auch nirgendwo sonst.

Dann hab ich ja jetzt eben den log gepostet. HJT geht im normalbetrieb immernoch nicht an.
Es rattert noch und die PW Abfrage geht auch noch an.
Bei mir geht heut abend nix mehr an, nur rattern tuts schon im Hirn.:balla:

Ich danke euch, und lese dann morgen wieder rein.

*heia*

Yep. Manchmal is man bekloppt und sieht den Wald vor lauter Bäumen nicht :headbang:. Ich dachte, Spyagent gehört zu Steganos :headbang:. Muß dich nicht weiter interessieren...
Jedenfalls deinstalliere Spyagent (schau mal unter Start - Einstellungen - Systemsteuerung- Software).

Lasse dir alle versteckten Dateien anzeigen und gehe sicher, dass die Ordner
C:\PROGRAMME\WINRAR\FORMATS\RSM
C:\PROGRAMME\WINRAR\FORMATS\SAS

leer sind. Lösche ggf. den Rest.

Öffne den Registryeditor (Start-Ausführen-regedit-enter) und hangel die zu dem Schlüssel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

entferne die Einträge
Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe
und sofern vorhanden
"Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE "

Führe ccleaner aus. Berichte, was rattert und erstelle ein neues HJT-log. Gruß

ich habe einen SA und einen SAS ordner in Formats.
Da is ohne Ende zeug drin.
ua: noserver.exe ; spyanywhere.exe ( das im Sa Ordner)
SAS: deploy.exe nostealth.exe; spyagent4.exe; spyRename.exe;

Beide Ordner leermachen? komplett? einfach löschen?

aber versteckte dateien anzeigen is schon eingestellt und das häkchen vor systemdateien ausblenden is auch schon weg gewesen.

schlaf schön

besser wäre, spyagent zunächst über die systemsteuerung - software zu deinstallieren.Lösche die Reste nach einem Neustart manuell. Wenn das nicht funktioniert, lösche die Ordner SA, SAS, nutze notfalls die Killbox. Was befindet sich den sonst noch in dem ominösen Ordner Winrar/Formats?

inner systemsteuerung is nix drin!

wart, ich lad eben 2 screenshots hoch von den Ordnern
http://img86.imageshack.us/img86/9149/sasok9.png
http://img178.imageshack.us/img178/6349/sabm5.png

und der vollständigkeit halber noch eins von dm formats ordner:
http://img165.imageshack.us/img165/914/formatskb9.png

So, ich hab mal nach Spyagent gegoogelt und du darfst deinem Ex beste Grüße von mir bestellen, er ist ein A..... Offenbar läßt sich das Ding nicht ohne weiteres entfernen. Also lösche die Ordner mit der Killbox (delete on reboot) und entferne die genannten Regitryeinträge. Führe ccleaner aus, mache danach einen Onlinescan mit ewido (IE nutzen!). Poste das log. Sollte HJT funktionieren, weißte ja, was du zu tun hast.

PS: Vielleicht hat MightyMarc noch einen Vorschlag, der weniger umständlich ist.

@Linaaahh: Ja, lösche den gesamten Ordner Formats.

Äh nein. Es wäre schon schön wenn das Ding so einfach verschwindet. Beim letzten Beziehungsdrama das hier im Forum endete, kamen böse Rootkittechniken zum Einsatz.
Und so umständlich ist das ja gar nicht. Killbox und die zwei Autostarteinträge sind ja in 3 min entfernt (regdelnull wäre vllt noch interessant).

Hallo,

hier findest Du die Verzeichnisse die von dem Preogramm benutzt werden.
Generell solltet Du nach der entferung alle Zugangsdaten ändern.
Je nachdem, wie und ob Du weiter gegen den Installator vorgehen willst, solltest Du an dem System aber keine Änderungen vornehmen, sondern ihn so belassen und an die entsprechenden Behörden weitergeben.

Gruß

Schrulli

erstaunlich, sonst ist er in keinster Weise gründlich gewesen, aber nungut.
die killbox läuft ncih...
F8?

Ja, versuch's mal. Suche nach folgenden Dateien und packe sie, sofern sie zu finden sind, noch mit in die Killbox:

KeyCaptor.exe
NoStealth.exe
kcopts.dat
NTInvisible.dll
SystemSA32.dll
unvise32.exe
spysplash.dat

So langsam habe ich an dem Vorhaben meine Zweifel. Spyagnet scheint nicht weit von Rootkittechniken entfernt zu sein Quelle: http://c-ko.blogspot.com/2006/05/einfhrung-in-icesword-process.html

@Linaaahh: Wäre ein Neuaufsetzen deines Systems sehr schmerzhaft? Daten kannst du vorher sichern. Sämtliche Passwörter und Zugangsdaten mußt du ändern.

Och komm. Das Ding ist so panne, dass es schon mit HJT lokalisierbar ist. Ein Bereinigungsversuch tut nicht weh.

Also gut, aber die Verantwortung übernimmst du! :D
Schon bei dem, was Symantec ausspuckt, wird mir übel.

Ich bin nicht einmal in der Lage für mich selbst Verantwortung zu übernehmen.

Mon dieu, da steht nun wirklich nichts erschreckendes. Drei Keys und ein paar krumme Dateien, das war's. Schau Dir mal eine entsprechende Seite für Symantecprodukte an, da wird Dir übel.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kannich ncih finden, was issen hklm? unn das mitter regedit raff ich ma ganichmehr.
killbox habbich gemacht in F8. das aber auch alles. ccleaner geht ncih ( vielleich weil regedit nich gemacht is!??)

Leute, ihr macht mir angst!

neu aufspieln war schon doof, kannich nämlich nich allein ( *fraubin* ) und da der Kerl ja jetz weg is...

( und es rattert noch und die PW abfrage geht auch noch auf)

HKLM steht für "hkey_local_machine"

Mache folgendes:

start > ausführen > regedit (oder regedit32?)

Dort navigierst Du zu dem entsprechenden Ort (HKLM\blablabla...) und löschst die Einträge (rechtes Fenster, Icon markieren, rechter Mausklick, löschen):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Real Spy Monitor" = ""C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe""
"Srv32Win" = "C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE "

Ach was. Wir sind so drollig, das glaubst Du gar nicht. Und wenn das heute nix mehr wird, dann halt morgen. Neuinstallation ist noch nicht vom Tisch, aber wir versuchen es erstmal anders.

[/QUOTE]

Was für Dateien hast Du jetzt gelöscht und sind die dateien wieder da?

meine Güte, das hätt ich allein im Leben ncih gefunden!!
Is weg, und jetz!?

ich hatte den ganzen formats ordner ( in programme winrar) gelöscht, is komplett wieder da!
*heul*
nee, für drollig würdich freaks die ihre nacht damit verbringen hilflosen frauen zu helfen nich unbedingt halten *g*

Hast du den formats-Ordner mit der Killbox gelöscht?

Das müsstest Du uns sagen, wir sitzen ja nicht vor dem Rechner. Dem "und jetzt?" entnehme ich, dass das Problem noch existiert, richtig?

Sind die Dateien jetzt wirklich weg oder sind sie wieder an Ort un Stelle? Und vor allem: hast du nur die ordner gelöscht, oder auch die dateien die ich Dir genannt hatte?

jupp ich dachte schon, im abgeicherten Modus, aber sind wiegesagt wieder komplett da

der Ordner reisst es nicht raus. Es liegt noch die ein oder andere wichtige Datei im Windowsordner (siehe Symantec-Link). Deswegen hatte ich ja auch noch ein paar dateinamen genannt, die Madame suchen sollte.

Also, das ganze nochmal, diesmal etwas präziser:

Abgesicherter Modus, Killbox:

FORMAT-Ordner

Aus dem Ordner C:\Windows folgende Dateien noch mit in die Killbox:

kcopts.dat
NTInvisible.dll
SystemSA32.dll
unvise32.exe
spysplash.dat

Mit der Suchfunktion schaust Du, ob du diese beiden dateien finden kannst und packst sie mit in die Killbox:

KeyCaptor.exe
NoStealth.exe

Delete on Reboot und im Anschluss daran die Schlüssel aus der Registry (regedit) löschen. Wenn das Ding dann immer noch da ist, wirst Du lernen wie man Windows 98 neu installiert.

mea culpa die dinger hatt ich vernachlässigt, weil ich dachte die wären alle im formats ordner, waren sie aber nich also nochmal F8, killbox Ordner und diese Dateien!?

edit: hat sich erledigt. Mein Fehler.

@Linaaahh: Ja, und schau noch mal in die Registry an besagter Stelle.

ja-haaa :-) Madame hat gesucht gerade und brav notiert ( so ganz oldschool mit kugelschreiber und PAPIER *g*) und hat se auch gefunden, im Win ordner und im Winsys ordner

Madame war schneller ;)

ach und keycaptor gibbet keinen, unn der nostealth is im formats O., ich ich geh kurz tauchen, biglei

Die Dateien sind von Version zu Version verschieden. Wir hoffen jetzt einfach mal dass wir alle relevanten erwischen.

so-hoooo, also alles gelöscht, der ccleaner analysiert gerade.
erzählt der mir dann was schlaues? oder was macht der?

Und wißt ihr was!??

ES RATTERT NICHTMEEEEHR!!!

( unn die sch* PW Abfrage geht auchnichmehr auf :-DDDDDDDD)

öhm naja, vermutlich wird er dir sagen welche Einträge seiner Meinung nach überflüssig bzw ungültig sind. Was viel mehr interessiert ist,ob das Problem noch existiert.

Edit:

nun wissen wir's

edit2:

ach ja, vergesse nicht sämtliche Passwörter (MSN Messenger, icq, Online-Banking, Email etc etc) zu ändern.

*jubelfreuhüpf*

wenns programm weg is, kommter dann noch an irgendwelche alten logs dran!??
( so er hier denn reinkommen sollte- was ich nciht glaube, aber man weiß ja nie)


den msn hab ich grad erst wiedergeholt, durftich nich...
email wechsel ich eh regelmäßig, aber online banking is scho wichtig, jupp, danke!

und bei der aktion hab ich jetzt tatsächlich und ganz allein den sch* realplay updater aussem autostart gekriegt :-)

ihr lieben, ICH DANKE EUCH!!!

Warum haut ihr euch helfend Nächte um die Ohren, und: woher zum geier wißt ihr das alles!?

Ach, und hier nochmal abschließend der HJTlog:

Logfile of HijackThis v1.99.1
Scan saved at 04:26:15, on 22.09.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\VERSATEL\VERSATEL.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Yahoo!
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\Tools\GetRight\xx2gr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...tml?p=ZNfox000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://de.yahoo.com
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Dr...Non_Member.CAB
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - http://download.ewido.net/ewidoOnlineScan.cab


sauber?

Tendentiell eher nicht. Ich gehe mal davon aus, dass die Logs im FORMAT-Ordner abgelegt wurden. Und ohne Programm wird es eh schwierig. Er wüsste vermutlich auch nicht nach was er überhaupt suchen sollte.

Eine Selbsschussanlage sollte helfen.

lol

Poste bitte noch ein aktuelles log von Hjt und wenn du die Sache noch abrunden willst, machst du einen Scan bei Kaspersky. Achte darauf, vor dem Scan des Arbeitsplatzes die erweiterten Signaturen oder wie sich das schimpft einzustellen. Sollte Kaspesky fündig werden, poste auch den Bericht. Hau mich in die Falle, und tue mir einen Gefallen, such dir nen Freund ohne Computerkenntnisse.

:D Gruß

@MightyMarc: Hab ne Menge gelernt, merci!

Looool
macht sich im dritten stock mitten in der city bestimmt sehr gut *ggg*

ich glaub nichmal dasser genau wusste wasser mir da fürn fieses dingen reingehaun hat, ich glaub das war einfach nen glückstreffer.

hjt is schon drin, seite 5.

was ich jetz für erweiterte sachen noch bei kaspersky machen soll versteh ich nicht, ich danke euch!! und geh noch 2 stündchen schlafen. um halb 7 is frühstück angesagt...

dankedankedankedanke!!:party:

guts nächtle

Lina

Bedank Dich bei Schrulli. Ohne dessen Link würde Madame jetzt vermutlich Windows neu installieren.

Leute, ich hab grad spaßeshalber nochmal innen Ordner geguckt...

der formatsordner is wieder komplett da!?

( es rattert aber nichtmehr und die PW abfrage geht auch nich auf )
aber sollte das nicht weg sein!???

ach und, hab ich eben ganz vergessen: unter dem unvise32.exe im win ordner war noch eins, unvise32qt.exe ist das wichtig?

Ich auch nicht. Mache einfach mal einen Scan mit dem Dingens.

OK, dann schauen wir morgen mal genauer nach. Der FORMATS-Ordner gehört zu WinRAR, der SA und der SAS aber nicht.

ok, danke, dann bis morgen... schlaft schön ( und schön lang, ihr müsst für mcih mit schlafen! :-D )

Da haben wir ein Problem. Um 10:00 ist die Nacht vorbei. Nun denn, gute Nacht.

Mittaaaag :-)

Ich hatte etwas Sorge, dass ich irgendwie alles wiederherstellt nachem Neustart. Aber es rattert nciht und die PWAbfrage geht auch nicht auf.
Das beruhigt mich etwas.

Hallo,

Hauptsache Ihr hattet Spaß :D

Gruß

Schrulli

Hi,

ich hab wohl gestern etwas zu tief in die Flasche gekuckt, daher ist manches an mir vorbeigerauscht.
1. Dein HJT-log ist soweit i.O. Fixe noch diesen Eintrag2. Zum Formats-Ordner: gleiche den aktuellen Inhalt mit deinem screenshot ab. Wenn die Dateien übereinstimmen, dann kein Problem. Wie MightyMarc schon sagte, gehören die Dateien zu Winrar. Die Ordner SA und SAS sollten natürlich fehlen.

3. Wegen der logs von Spyagent: Schau mal unter C:\Windows\Anwendungsdaten, ob du dort noch Reste von Spyagent findest, zB Ordner AgentSS oder sacache. Spyagent speichert wohl die logs unter sys*.log (* steht für eine dreistellige Zahl, beginnend bei 001) und unter skeys*.log. Durchsuche deinen Computer danach. Wenn du beim Löschen eines logs unsicher bist oder win98 mault, frage hier imBoard zurück. Hat sich dein Freund die logs per mail schicken lassen, ist es eh zu spät, aber der Müll kann trotzdem vom Rechner.

häkchen gesetzt, logdateien im sacache ordner gefunden ( das warn ja 4000 stück!??)
war in windows all users anwendungsdateien...

Der Sa ordner und der SAS ordner sind immer noch da...

NTInvisible.dll
SystemSA32.dll
unvise32.exe
spysplash.dat sind jetzt in C:/!Killbox !?
aber die killbox is eigentlich auffem desktop?!
Sa und Sas sind immer noch da, habs grad nochmal mitter killbox versucht, erfolglos.

also ich hab jetz mal noch den adaware durchlaufen lassen unn der hat nomma 146 dinger gefunden, dann gecleaned.
weiterhin hab ich die exe dateien in SA und SAS ordner duch gleichnamige txt dateien ersetzt.
Löschen lässt es sich aber noch immer nich.

Ihr lieben, ich mach mich jetz auf unn geh noch bißl aus.

Schönes WE wünscht euch
die Lina

Ihr werdets nicht glauben, ich hab das einfach mal ganz herkömmlich gelöscht.
Ohne killbox.
den lustigen C:/!killbox ordner hab ich auch rausgeschmissen.

ich hab separat nach den genannten exedateien gesucht, keine mehr da. Neustart, alles immernoch weg.

Isses das jetzt!? oder versteckt sich das irgendwo raffiniert!?

So, nu, Linchen outa house