PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : spyware


Gast
2010-03-02, 16:57:01
hallo, ich hab seit einigen tagen ein etwas nerviges "spyware?" problem und hoffe hier kann mir jemand sagen was das für ein programm ist bzw wie ich es entfernen kann, unter software ist es nirgends zu finden


http://img175.imageshack.us/img175/6678/xxxxf.jpg

merci

Gast
2010-03-02, 16:58:48
hijack sagt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:33, on 02.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\WINDOWS\LOGI_MWX.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\czpmtrg.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [czpmtrg] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\czpmtrg.exe" czpmtrg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\spiele\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6342 bytes

sei laut
2010-03-02, 17:09:48
"C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\czpmtrg.exe"

Die .exe findet nicht einmal google, was ein sehr schlechtes Zeichen ist.
Kannst du Windows mal neustarten und dann nochmal schauen, ob dann wieder eine exotische .exe da ist? Das Ding wird sich vermutlich verwandeln.
Edit: Bevor du das machst, kannst du die Datei auch mal bei virustotal.com hochladen und schauen, ob ein Programm was entdeckt. (natürlich nur, wenn die Datei nicht zu groß ist)

Gast
2010-03-02, 17:23:18
jo, nach einem neustart ist sie immernoch vorhanden und meine firewall erkennt diese auch und ich kann ihr den zugang blocken, dann bleibt dieser merkwürdige bunte "browser" weiss bzw zeigt keine werbung an

kannst du mir vielleicht ein programm empfehlen mit dem ich sowas entfernen kann? vielen dank schonmal

File Version :
File Description : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\czpmtrg.exe
File Path : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\czpmtrg.exe
Process ID : 0x230 (Heximal) 560 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 192.168.0.3
Local Port : 1062
Remote Name : rcm-images.amazon.com
Remote Address : 4.23.48.126
Remote Port : 80 (HTTP - World Wide Web)

Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-09-5b-5c-ae-fb
Source: 00-1d-92-25-e4-a3
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x2c1c (Correct)
Source: 192.168.0.3
Destination: 4.23.48.126
Transmission Control Protocol (TCP)
Source port: 1062
Destination port: 80
Sequence number: 3286800890
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x862b (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 09 5B 5C AE FB 00 1D : 92 25 E4 A3 08 00 45 00 | ..[\.....%....E.
0010: 00 30 29 5C 40 00 40 06 : 1C 2C C0 A8 00 03 04 17 | .0)\@.@..,......
0020: 30 7E 04 26 00 50 C3 E8 : 99 FA 00 00 00 00 70 02 | 0~.&.P........p.
0030: FF FF 2B 86 00 00 02 04 : 05 B4 01 01 04 02 67 65 | ..+...........ge
0040: 73 06 61 6D 61 7A 6F 6E : 03 63 6F 6D | s.amazon.com


das sagt meine firewall, amazon ?!

sei laut
2010-03-02, 17:30:29
Ne, nichts mit Amazon.
Das Ding nimmt Verbindung zu 4.23.48.126 auf. Die IP wird in den USA/Fflorida/Tampa lokalisiert, aber der Adressbereich gehört nicht zu Amazon. Da will sich jemand nur tarnen.

Was passiert, wenn du sie löschen willst?
Edit: Zur Not auch im abgesicherten Modus.

Gast
2010-03-02, 17:49:48
Ahso, ich hab es jetzt mal bei Hijack "gefixt" und im entsprechenden ordner alle dateien mit dem namen gelöscht (waren neben czpmtrg.exe noch czpmtrg_navps.dat , czpmtrg_nav.dat und czpmtrg.dat). Das hat anstandslos geklappt, seitdem ist der "Browser" nicht mehr aufgegangen, ich hoffe das reicht. Vielen Dank schonmal für das präzise aufspüren ;)

Ich hoffe das löschen hat gereicht.

sei laut @ gast
2010-03-02, 18:01:09
Jein, du solltest dir noch überlegen, wie du dir den Scheiß einfangen konntest. Ob du auf unseriösen Seiten warst, Schund geladen hast etc.

Sephiroth
2010-03-02, 18:12:40
Und aufhören Windows für den alltägliche Betrieb als Administrator zu bedienen. Das verhindert zwar generell keine Spyware, jedoch werden die Möglichkeiten einer systemweiten Manipulation eingeschränkt.

Gast
2010-03-02, 18:57:56
Alles klar dann werde ich das mal ändern, schon ärgerlich hab das System erst vor einer Woche neu aufgesetzt, aber bin ich wohl selbst schuld : p

Auch nach Neustarts und längerem surfen ist jetzt nichts mehr passiert, danke nochmals

nobex
2010-03-02, 20:55:21
Und aufhören Windows für den alltägliche Betrieb als Administrator zu bedienen.
Btw, dort wo das Ding lag und wo es gestartet wurde, hätte es sich auch ein einfacher User einfangen/aktivieren können. Scheint kein systemweiter Schädling gewesen zu sein.