Hi Leute,

ich hatte am letzten Wochenende so ein richtig schönen Vireneinfall im PC. Habe mit Spybot, Antivir u. Spydoctor schon einiges wieder aufgeräumt, aber ein paar "Fehlfunktionen" sind geblieben. Zum einen startet mein Mediaplayer "Classic" nicht mehr und zum anderen hat sich die Startseite xysearch.biz eingenistet.
In diesem zusammenhang interessiert es mich, wie sich das mit den cab-Archiven verhält. Antivir XP hat nämlich im Protokoll folgendes aufgelistet (Auszug):

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
bi.cab
ArchiveType: CAB (Microsoft)
--> bi.inf
--> bi.dll
[FUND!] Ist das Trojanische Pferd TR/BiSpy.DLL.B
bi.inf

…

Belt.cab
ArchiveType: CAB (Microsoft)
--> Belt.inf
--> Belt.exe
[FUND!] Ist das Trojanische Pferd TR/Stubby
--> Belt.ini
Belt.inf



C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI44F5.tmp
twaintec.cab
ArchiveType: CAB (Microsoft)
--> twaintec.inf
--> twaintec.dll
[FUND!] Ist das Trojanische Pferd TR/Krepper.C
--> preInsTT.exe
[FUND!] Enthält Signatur des PMS/Dldr.Krepper.1-Programmes
twaintec.inf



C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI3B83.tmp
twaintec.cab
ArchiveType: CAB (Microsoft)
--> twaintec.inf
twaintec.inf



C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0388M0Q9
................
0006_cracks[1].cab
ArchiveType: CAB (Microsoft)
--> ISTactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.gen
--> ISTactivex.inf

Da Antivir die befallenen Archive nicht löscht, überlege ich, ob ich dies per Hand mache, da ich glaube, dass die entsprechenden Viren (od. was das auch immer für Plagegeister sind) von dort immer wieder aktiv werden. Allerdings traue ich mich nicht so richtig, da ich nicht weiß, ob windows diese Archive braucht.

Kann mir jemand mal was zu den Funden, deren Auswirkungen und zu den cab - Archiven etwas sagen???

Ach ja, mein BS W2k prof. SP4, Browser IE 6 Sp1

Schon mal ein Danke an alle, die mir eventuell helfen.

Gruß

Spocky

EDIT:

Hi nochmal,

im Zusammenhang mit den unerwünschten Startseiten wird immer nach dem log von HijackThis gefragt. Habe mal das Proggy laufen lassen. Hier die Logdatei:

Logfile of HijackThis v1.98.2
Scan saved at 10:53:09, on 27.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Netpumper\NetPumper\NetPumperIEProxy.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\NCLAUNCH.EXe
C:\Programme\PrintKey2000\Printkey2000.exe
D:\Neuer Ordner (2)\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Ami Mouse Optical] C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Netpumper\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with NetPumper - C:\Netpumper\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9916AE38-4A62-4154-8436-2E5BCF9CB429}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8492B15-E2D2-4D36-B021-909B9F0B153E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - (no file)
O20 - AppInit_DLLs: C:\WINNT\system32\wdmdm.dll

Hoffe, dass jemand erkennt, wo der Eintrag ist, der immer die lästige Startseite aufruft.

Danke u. einen schönen Tag noch

Gruß

Spocky

Hi,
Du hast jede Menge unbekanntes Zeugs drauf, das geprüft werden muß.
Du gehst als Admin ins Netz, das ist schlecht.
Du solltest Dir mal clearprog 1.4.0 final runterladen, starten und auf "alles löschen" clicken, dann sind die temp und temp.Internet files weg, die Du unten aufgelistet hast.
Lass dann antivir nochmal laufen, dann siehtst Du es. Rest später.

Hi cacatoa,

sorry, war übers Wochenende nicht da, daher erst jetzt meine Reaktion.

Also - habe das von Dir angegebene Proggy gesaugt und ausgeführt. Und dann habe ich AntiVir XP aktualisiert und laufen lassen - keine FUNDE.

Abgesehen davon, dass ich mich bei allen Foren neu anmelden musste - meine "Liebe Startseite xysearch.biz" ist immer noch da.

Wie gehts den nun weiter?????? Und noch diese Fragen, die mich so beschäftigen:

Weshalb soll man eSearch im abgesicherten Modus laufen lassen?
Warum ist es schlecht, wenn ich als Admin ins I-Net gehe?

Hoffe, dass Du bald Zeit hast, dich mit mir und meinem Prob weiter zu beschäftigen.

Bis dann

Gruß

Spocky

Zuallererst solltest du dein System updaten:

www.windowsupdate.com

Wenn das geschehen ist poste einen neuen Log

Keine Funde, weil du mit clearprog deine Temporary Internet Files gelöscht hast (da befand sich die Malware)
Im abgesicherten Modus, weil da nur die Anwendungen geladen werden, die für Windows zwingend notwendig sind.
Wenn du nur mit einem eingeschränkten Benutzerkonto surfst kann Malware auf deinem Systen nicht soviel Schaden anrichten (z.B. können keine Systemdaten verändert werden).

Stell bitte mal ein aktuelles HJT-Logfile rein, dann sehen wir weiter.
cacatoa

Hi Leute,

Danke erst mal für die Antworten zuvor. Im folgenden mein neustes HJT Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:10:27, on 29.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Netpumper\NetPumper\NetPumperIEProxy.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\NCLAUNCH.EXe
C:\Programme\PrintKey2000\Printkey2000.exe
D:\Neuer Ordner (2)\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Ami Mouse Optical] C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Netpumper\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with NetPumper - C:\Netpumper\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9916AE38-4A62-4154-8436-2E5BCF9CB429}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8492B15-E2D2-4D36-B021-909B9F0B153E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - (no file)
O20 - AppInit_DLLs: C:\WINNT\system32\wdmdm.dll



Und hier das Ergebnis des vor 1 Stunde beendeten Scans mit eScan im abgesicherten Modus:

Mon Nov 29 16:49:02 2004 => File C:\WINNT\system32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:49:38 2004 => File C:\WINNT\httpfilter2.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:49:45 2004 => File C:\WINNT\httpfilter.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:49:46 2004 => File C:\WINNT\sysdll.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:52:22 2004 => File C:\WINNT\system32\setup_incred_10.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:52:24 2004 => File C:\WINNT\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:52:27 2004 => File C:\WINNT\system32\clfmon.exe infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:52:28 2004 => File C:\WINNT\system32\winln.exe infected by "TrojanDownloader.Win32.Agent.dr" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:56:41 2004 => File C:\WINNT\system32\setup_incred_10.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:56:42 2004 => File C:\WINNT\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:56:43 2004 => File C:\WINNT\system32\clfmon.exe infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:56:44 2004 => File C:\WINNT\system32\winln.exe infected by "TrojanDownloader.Win32.Agent.dr" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:03:45 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\1014061.exe infected by "Trojan.Win32.Dialer.bn" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:03:47 2004 => File C:\WINNT\Downloaded Program Files\1014061.exe infected by "Trojan.Win32.Dialer.bn" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:06:04 2004 => File C:\WINNT\httpfilter2.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:06:14 2004 => File C:\WINNT\httpfilter.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:06:17 2004 => File C:\WINNT\sysdll.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:06:20 2004 => File C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O56JSHEN\dll2[1].bin infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:07:29 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temprad54A94.tmp.com infected by "Trojan.Win32.StartPage.de" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:32:31 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Nov 29 17:32:56 2004 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Infected\*.*

Mon Nov 29 17:35:10 2004 => File C:\LVEWNK~1.EXE.1 infected by "TrojanDownloader.Win32.Agent.ds" Virus. Action Taken: No Action Taken.

Mon Nov 29 17:35:28 2004 => File C:\Program Files\Xtray\xtray_link.exe infected by "Trojan.Win32.VB.jl" Virus. Action Taken: No Action Taken.

Mon Nov 29 18:33:17 2004 => File E:\Persönliche Dateien\lustiges\rumor.exe infected by "not-virus:Joke.Win32.Stupen.c" Virus. Action Taken: No Action Taken.

Mon Nov 29 18:34:32 2004 => File E:\Eigene Systemdateien\DivX.Pro.v5.1.Incl.Keygen-SSG\DivX.Pro.v5.1.Incl.Keygen-SSG\DivX.Pro.v5.10.Final.Retail.Keygen-ECLiPSE.exe infected by "TrojanDropper.Win32.ExeBundle.2x.a" Virus. Action Taken: No Action Taken.

Mon Nov 29 19:08:36 2004 => Total Files Scanned: 82931
Mon Nov 29 19:08:36 2004 => Total Virus(es) Found: 99
Mon Nov 29 19:08:36 2004 => Total Disinfected Files: 0

Wollte schon als nächsten Frage die Frage nach dem Strick stellen, aber mal wirklich - hab ich ne Chance, das System wieder sauber zu bekommen??? Hatte eigentlich nicht vor, mein BS neu zu installieren.

Gruß

Spocky

Hallo Spocky,

Zitat:

Mon Nov 29 17:32:56 2004 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Infected\*.*

Du hast also KAV auf Deinem System? Und dennoch findet der eScan

Zitat:

Mon Nov 29 19:08:36 2004 => Total Virus(es) Found: 99

Das verstehe ich nicht. KAV nie angewandt oder nie geupdatet?

@ Spocky, keinen Strick, das ist es nicht wert. Aber formatieren halte ich durchaus für angebracht. Vielleicht kannst Du Dich gründlich hier einlesen: Lutz' Empfehlung zur Datensicherung und Cidre's Rat.

Auch diese beiden Links zu lesen, empfiehlt sich: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

Hi Shadowdance,

Zitat:

Zitat von Shadowdance

Hallo Spocky,

Du hast also KAV auf Deinem System? Und dennoch findet der eScan Total Virus(es) Found: 99 ? Das verstehe ich nicht. KAV nie angewandt oder nie geupdatet?

tja, wie soll ich sagen - mh - ist ne gesaugte "Testversion", die nie richtig gelaufen ist. Da hat sich nach der Installation der Rechner beim hochfahren aufgehängt. Blieb immer nur reset als Ausweg. Habe das Proggy im abgesicherten Modus dann gelöscht - anscheinend aber nicht vollständig.

Möchte noch anmerken, dass ich neu formatieren als letzten Ausweg wissen will. Mein BS läuft jetzt mehr als 2 Jahre ohne Probleme - so stabil hatte ich noch keines - und wenn ich an all die installierten Proggys und Tools denke, wollte eigentlich meinen Weihnachtsurlaub anders verbringen, als alles wieder aufzuspielen.

Lassen sich denn die blöden Virenfunde nicht löschen??? Vielleicht sollte ich mir ne ältere Version von eScan besorgen, wo das Löschen noch automatisch ging?!?

Oder gibt es andere Tools? Und was ist mit dem Logfile von HTJ? Gibt es da nix zu fixen, was schon mal ein paar Probleme beseitigt?

So, nun aber erst mal aufs Ohr gehauen.

Gruß

Spocky - der momentan doch recht betrübt ist

Servus Spocky,

ich hoffe, ich habe Dir zu einigem nachdenken verholfen? Ein System auf dem sich derart viel Malware befindet, kann man nicht als sicher bezeichnen sondern als kompromittiert. Du solltest das Formatieren im Auge behalten. Der Weihnachtsurlaub eignet sich hervorragend dafür: Du hast Zeit, Ruhe, niemand stört Dich ... aber da ich ein gewisses Verständnis habe für Leute, die jede Menge Proggies auf dem System haben, die sie noch brauchen .. ein weiterer Vorschlag, aber nur unter der Bedingung, dass Du die beigefügte Lektüre durcharbeitest:

lade Dir eine zweite Version des eScan runter. Es handelt sich hierbei um eine Version des eScan, die Malware löscht. Dazu musst Du allerdings den bereits vorhandenen Ordner "bases" auf C ("C:\bases") umbenennen, in "C:\bases_nodelete". Dazu gibt es eine Anleitung, schau mal hier: Dateien/Ordner umbenennen. Diesen eScan kannst Du dann nicht mehr updaten, da der Ordner-Name nicht so lautet, wie er lauten sollte. Aber zwei eScan-Versionen musst Du ja auch nicht updaten.

Wenn Du das getan hast, kommen wir hierzu:

lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" nocheinmal das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Eine der beiden eScan-Versionen kannst Du vom System entfernen. TIP: nimm den, der nicht löscht, wirf den gesamten Ordner "C:\bases_nodelete" mit Inhalt in den Papierkorb. Der löschende eScan ist eine ältere Version des eScan, der online geupdatet werden kann und dann über die aktuellen Signaturen verfügt. Die neuen Versionen des eScan löschen in der freeware-Version nicht mehr automatisch, leider. Die ältere Version ist zwar nicht aus dem Verkehr gezogen, aber schwer zu finden ;-)

Pflichtlektüre:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

Shadowdance

Hi Shadowdance,

vielen Dank erst mal für Deinen ausführlichen Post. Da die darin enthaltenen Links u.a. doch eine Menge zum Lesen beinhalten, werde ich wohl heute nicht mehr dazu kommen, einen neuen eScan mit entsprechendem Logfile durchzuführen. Wenn ich dahingehend soweit bin, werde ich einen entsprechenden neuen Post erstellen (kann aber auch erst Freitag werden, bitte einfach mal bis dahin zwischendurch reinschauen in diesen Thread -Danke)

Habe übrigens erst mal ein Systemupdate bei www.windowsupdate.com gemacht. Hat alles gut funktioniert. Allerdings hatte ich gehofft, das mein IE 5 automatisch auf den IE 6 SP2 upgedatet wird. HJT behauptet aber nach einem Scan, das ich immernoch IE 5 SP1 habe. Wo bekommt man denn einen IE 6?

Und noch ne Frage zum Schluss (bevor ich mich zur Ruhe begebe - 5:00 Uhr ist die Nacht für mich schon wieder zu Ende):

eScan listet doch die infizierten Dateien auf - kann man die Viren in den aufgelisteten Dateien nicht u.a. dadurch eliminieren, in dem man diese mit nicht infizierten Versionen dieser Dateien (z.B. von einer InstallationsCD oder einem nicht infizierten PC) überschreibt (wenn nötig auch im Dosmodus)?

So, nun aber erst mal ab in die "Kiste".

Sage erst mal Guten Nacht

Spocky - der noch Hoffnung hat

P.S. Was mich noch interessiert: Ist aus den Logfils von HTJ bzw. eScan (s.o. bzw. s.u. - je nach Ansichtseinstellung) irgendwie was zu sehen, was auf Backdoor schließen lässt?

Hallo Spocky

Zitat:

Zitat von Spocky

Wo bekommt man denn einen IE 6?

--> normalerweise updatet man ihn. Schau unter dem o.a. Link nach.

Zitat:

Zitat von Spocky

eScan listet doch die infizierten Dateien auf - kann man die Viren in den aufgelisteten Dateien nicht u.a. dadurch eliminieren, in dem man diese mit nicht infizierten Versionen dieser Dateien (z.B. von einer InstallationsCD oder einem nicht infizierten PC) überschreibt (wenn nötig auch im Dosmodus)?

--> die infizierten Dateien sind die Viren. Man überschreibt sie nicht, man löscht sie. Du kannst sie entweder von Hand löschen oder mit dem eScan, den ich Dir als zweites zur Verfügung gestellt habe, automatisch löschen lassen.

Zitat:

Zitat von Spocky

P.S. Was mich noch interessiert: Ist aus den Logfils von HTJ bzw. eScan (s.o. bzw. s.u. - je nach Ansichtseinstellung) irgendwie was zu sehen, was auf Backdoor schließen lässt?

--> nein, wenn ich einen Backdoor auf Deinem System gefunden hätte, dann hätte ich Dir nicht empfohlen, die auf Deinem System empfindlichen Trojaner zu löschen, sondern Dir definitiv empfohlen zu formatieren. Würmer und Trojaner mit Backdoor-Funktionalität kann man am besten dadurch entfernen, dass man sein System formatiert, alles andere ist unsicher.

SD

Guten Abend @all und Hallo Shadowdance,

Habe mal mit der anderen Version von eScan ein Logfile erstellt. Leider musste ich 2 mal Anlauf nehmen, da ich beim ersten Durchlauf vergessen hatte, ein Hacken bei Drive zu machen. Somit kommen jetzt zwei Zusammenfassungen.

Wed Dec 01 18:32:42 2004 => Total Number of Files Scanned: 10156
Wed Dec 01 18:32:42 2004 => Total Number of Virus(es) Found: 31
Wed Dec 01 18:32:42 2004 => Total Number of Disinfected Files: 0
Wed Dec 01 18:32:42 2004 => Total Number of Files Renamed: 0
Wed Dec 01 18:32:42 2004 => Total Number of Deleted Files: 10
Wed Dec 01 18:32:42 2004 => Total Number of Errors: 18
Wed Dec 01 18:32:42 2004 => Time Elapsed: 00:14:37
Wed Dec 01 18:32:42 2004 => Virus Database Date: 2004/12/01
Wed Dec 01 18:32:42 2004 => Virus Database Count: 111143

Wed Dec 01 18:32:42 2004 => Scan Completed.



Wed Dec 01 21:51:44 2004 => Total Number of Files Scanned: 81243
Wed Dec 01 21:51:44 2004 => Total Number of Virus(es) Found: 88
Wed Dec 01 21:51:44 2004 => Total Number of Disinfected Files: 0
Wed Dec 01 21:51:44 2004 => Total Number of Files Renamed: 1
Wed Dec 01 21:51:44 2004 => Total Number of Deleted Files: 5
Wed Dec 01 21:51:44 2004 => Total Number of Errors: 962
Wed Dec 01 21:51:44 2004 => Time Elapsed: 03:12:48
Wed Dec 01 21:51:44 2004 => Virus Database Date: 2004/12/01
Wed Dec 01 21:51:44 2004 => Virus Database Count: 111143

Wed Dec 01 21:51:44 2004 => Scan Completed.

Und nun??? Bin mir sicher, dass mein System noch nicht sauber ist oder irre ich. Sollte wohl mal noch ein anderes Spyware Proggy als Spybot besorgen und laufen lassen. Gibt es ein besseres als Spybot? Jedes mal zeigt mir dieses Proggy nämlich was an und nach dem die Probleme "behoben" wurden, sind diese dann doch nach nem Neustart wieder da (z.B. Double Click).

Hänge noch ein neues Logfile von HJT an.

Gruß

Spocky


Logfile of HijackThis v1.98.2
Scan saved at 22:30:21, on 01.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Netpumper\NetPumper\NetPumperIEProxy.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\NOTEPAD.EXE
D:\Neuer Ordner (2)\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Ami Mouse Optical] C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Netpumper\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Download with NetPumper - C:\Netpumper\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9916AE38-4A62-4154-8436-2E5BCF9CB429}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8492B15-E2D2-4D36-B021-909B9F0B153E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - (no file)
O20 - AppInit_DLLs: C:\WINNT\system32\wdmdm.dll

@ Spocky,

zuerst will ich das Gesamtergebnis des eScan sehen. Das ist ein bißchen Arbeit für Dich, aber ich will ganz genau wissen, was Du auf Deinem System hattest. Nur dann können wir Dich entsprechend beraten. Es gibt keine bessere Methode als den eScan, vorausgesetzt unsere User schaffen es, die Anleitung zu lesen und zu befolgen.

Also bitte mach nun Folgendes:

--> Teile uns das Ergebnis des eScan mit:

Zitat:

Wed Dec 01 21:51:44 2004 => Total Number of Virus(es) Found: 88

--> 88+11=99 Treffer will ich hier in Deinem Thread sehen. "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Alles Weitere kommt später.

SD

Hi Shadowdance,

alles klar. Da die Liste aber nicht nur aus 3 Zeilen bestehen wird, bitte ich um Gedult. Wenn ichs heute nicht schaffe - nicht sauer sein.

Bis später

Spocky - der sich jetzt wohl wundkopieren wird