Säuberungsaktion

Adriana · 01.12.2004, 21:09

Hi,

habe ich mich an eine "Säuberungsaktion" nach Anweisung gemacht. Da mir ein paar Punkte noch nicht klar sind, freu ich mich über Tipps, wie ich meinen Rechner völlig sauber bekomme.

Kaspersky:
Überprüfe ich C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe mit Kaspersky, bekomme ich folgende Info:
toau.exe - packed with UPX
toau.exe Infiziert: not-a-virus:AdWare.PurityScan.w

Im Taskmanger taucht der Prozess zwar nach dem Beenden nicht mehr auf, bleibt aber unter "Dokumente und Einstellungen" weiter bestehen.

Für C:\WINDOWS\system32\??oolsv.exe bekomme ich gar kein Ergebnis. Konnte die Datei unter "Dokumente und Einstellungen" auch nicht mehr finden. Was hat es denn mit den Fragezeichen auf sich? Ich kenne nur spoolsv.exe.

Folgendes habe ich vor den Scans gemacht:

Im Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Soll ich die Veränderungen im Windows Explorer ->"Extras/Ordner... eigentlich wieder rückgängig machen?

Als ich

c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen wollte, bekam ich die Info, dass dieser Vorgang problematisch sei, da es sich um eine Systemdatei handelt. Also was tun?

eScan
Mit eScan habe ich ein Problem mit dem update. Ich bekomme die Info, dass das Archiv veraltet ist und dass ich über www.mwti.net einen Update machen soll. Da finde ich mich aber nicht so zurecht. Das automatische Update findet nicht statt, obwohl ich den Ordner brav wie vorgegeben angelegt habe. Es hätte ja beim Download von eScan auch noch c:\bases\mwav.exe entstehen sollen, der dann den Update auslöst. Oder habe ich da etwas falsch verstanden?

Mach ich den Scan ohne das Update bekomme ich folgendes Ergebnis:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:7
c:\windows\system32\mqexdlm.srg tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\javexulm.vxd tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exdl0.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exdl1.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exul1.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\netut80ex.vxd tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\instsrv.exe tagged as not a virus:RiskWare Tool Service Runner.f.No
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Errors: 2

c:\windows\system32\angelex.exe Error invalid entry
c:\windows\system32\??oolsv.exe Scanning failure

Was ist hier zu tun? Können diese Einträge von Hand gelöscht werden?

Hier noch mein aktuelles Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:00:30, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\hijackthis_198\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099599755087
O17 - HKLM\System\CCS\Services\Tcpip\..\{678BD7E9-B413-4041-A010-A32434B56A5E}: NameServer = 217.237.151.161 217.237.151.33

Vielleicht kann man mir auch noch erklären, wieso die verschiedenen Tools zu unterschiedlichen Ergebnissen kommen? Mein Rechner läuft jetzt wieder besser, aber ich bin trotzdem irritiert über die o.a. Ergebnisse.

Vielen Dank

Adriana

cacatoa · 01.12.2004, 21:25

Hallo, Adriana

Die einstellungen im Explorer belassen; brauchst Du ja wieder mal.

Die da: C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe würde ich mal löschen.

Warum wolltest Du die:
c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen?

Zitat:

Es hätte ja beim Download von eScan auch noch c:\bases\mwav.exe entstehen sollen, der dann den Update auslöst

Nee, Du hättest den Ordner C:\bases erstellen sollen, die mwav.exe dortrein entpacken, und dann updaten (kavupd.exe), dann laufen lassen (mwav.com). Aber wenn du eh Kaspersky drauf hast (upgedated) ist der eScan überflüssig, ist ja kaspersky.

Die da: c:\windows\system32\??oolsv.exe solltest Du suchen.
Und zusammen mit der: c:\windows\system32\angelex.exe
Bei Jotti online scannen.

Den bargain buddy sollte man eingentlich im Logfile von HJT sehen; aber das ist sauber.
cacatoa

Adriana · 01.12.2004, 23:01

Hallo, Adriana

Zitat:

Die einstellungen im Explorer belassen; brauchst Du ja wieder mal.

OK

Zitat:

Die da: C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe würde ich mal löschen.

OK

Zitat:

Warum wolltest Du die:
c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen?

Sollte ich so machen und die Info ich dazu finden konnte lautet "Trojan Downloader". Hörte sich für mich nicht so gut an. Liege ich da falsch?

Zitat:

Nee, Du hättest den Ordner C:\bases erstellen sollen, die mwav.exe dortrein entpacken, und dann updaten (kavupd.exe), dann laufen lassen (mwav.com). Aber wenn du eh Kaspersky drauf hast (upgedated) ist der eScan überflüssig, ist ja kaspersky.

Tja, genau da häng ich ja schon. Also ich gehe auf die Seite von eScan und lade mir das Tool runter. Da habe ich die Wahl zwischen ausführen und speichern. Wenn ich also mvav.exe unter C:\bases speichere, ist diese Anwendung dort, aber wie geht es dann weiter? Kann nur unter den Temporären Dateien mvav.com finden. Wie kommen die verschiedenen Teile zusammen?
Kaspersky habe ich nicht auf dem Rechner. Ich habe dort nur die zwei Dateien untersuchen lassen.

Zitat:

Die da: c:\windows\system32\??oolsv.exe solltest Du suchen.
Und zusammen mit der:
Bei Jotti online scannen.
c:\windows\system32\angelex.exe

Jotti: zu c:\windows\system32\angelex.exe und c:\windows\system32\??oolsv.exe:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Zitat:

Den bargain buddy sollte man eingentlich im Logfile von HJT sehen; aber das ist sauber.

Warum bezeichnet eScan dann die angeführten Dateien als Viren? Hab' den Scan nochmals gemacht und habe das gleiche Ergebnis erhalten. Lediglich die "Errors" sind jetzt auf c:\windows\system32\??oolsv.exe reduziert.

Hoffentlich verliert ihr nicht die Geduld mit mir. Bin in "Schädlingsbekämpfung" noch absoluter Neuling...

Danke
Adriana

Cidre · 01.12.2004, 23:43

Zitat:

Wenn ich also mvav.exe unter C:\bases speichere, ist diese Anwendung dort, aber wie geht es dann weiter?

Dann musst du die mwav.exe, mittels "hier entpacken", in diesem Ordner entpacken.

Zitat:

Kann nur unter den Temporären Dateien mvav.com finden.

Die Datei heisst nicht mwav.com sondern mwavscan.com

Die bargain Dateien solltest du löschen.

Scanne nochmals mit aktualisierten eScan und poste anschliessend die Virus Log Information.

Adriana · 02.12.2004, 01:59

Jetzt habe ich das endlich hinbekommen mit eScan. Hab' mich wohl ziemlich dämlich angestellt.

Hier das Ergebnis mit ein paar Fragen meinerseits zwischendrin:

Thu Dec 02 01:21:50 2004 =>

**********************************************************
Thu Dec 02 01:21:50 2004 => Version 4.6.9 (C:\bases\mwavscan.com)
Thu Dec 02 01:21:50 2004 => Log File: C:\bases\mwav.log
Thu Dec 02 01:21:50 2004 => Latest Date of files inside MWAV: 01 Dec

2004 07:00:52.
Thu Dec 02 01:21:53 2004 => AV Library Loaded...
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavss.exe
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\Getvlist.exe
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavss.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavssdi.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavssi.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavvlg.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\msvlclnt.dll
Thu Dec 02 01:21:54 2004 => Scanning File C:\bases\ipc.dll
Thu Dec 02 01:21:54 2004 => Scanning File C:\bases\main.avi
Thu Dec 02 01:21:54 2004 => Scanning File C:\bases\virus.avi
Thu Dec 02 01:21:54 2004 => Virus Database Date: 2004/12/01
Thu Dec 02 01:21:54 2004 => Virus Database Count: 111085
Thu Dec 02 01:22:03 2004 => AV Library Unloaded (3)... Fehlt hier etwas???
**********************************************************
2004 01:01:16.

Thu Dec 02 01:27:16 2004 => Options Selected by User:
Thu Dec 02 01:27:16 2004 => Memory Check: Enabled
Thu Dec 02 01:27:16 2004 => Registry Check: Enabled
Thu Dec 02 01:27:16 2004 => StartUp Folder Check: Enabled
Thu Dec 02 01:27:16 2004 => System Folder Check: Enabled
Thu Dec 02 01:27:16 2004 => System Area Check: Disabled
Thu Dec 02 01:27:16 2004 => Services Check: Enabled
Thu Dec 02 01:27:16 2004 => Drive Check Option Disabled
Thu Dec 02 01:27:16 2004 => Folder Check: Disabled

Hätte ich hier etwas auswählen müssen? Weil es z.T. "disabled" heißt?
++++++++++++++++++++++++++++++++++++++++++++
Thu Dec 02 01:32:32 2004 => Total Files Scanned: 2703
Thu Dec 02 01:32:32 2004 => Total Virus(es) Found: 1

C:\WINDOWS\system32\mac80ex.idf
Thu Dec 02 01:31:37 2004 => File C:\WINDOWS\system32\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

Thu Dec 02 01:32:32 2004 => Total Disinfected Files: 0
Thu Dec 02 01:32:32 2004 => Total Files Renamed: 0
Thu Dec 02 01:32:33 2004 => Total Deleted Files: 0
Thu Dec 02 01:32:33 2004 => Total Errors: 1
C:\WINDOWS\system32\??oolsv.exe
Thu Dec 02 01:28:58 2004 => Result: ERROR!!! File
C:\WINDOWS\system32\??oolsv.exe: Scanning Failure!!!
Thu Dec 02 01:28:58 2004 => ERROR!!! ScanFile fails for
C:\WINDOWS\system32\??oolsv.exe

Gibt es beim Scan, bzw. beim Löschen von Dateien (Bsp.mac80ex.idf) sonst noch etwas zu beachten (abgesicherter Modus etc.)?

Nochmals vielen Dank für eure Geduld

Adriana

cacatoa · 02.12.2004, 09:33

Ja, es fehlt was.
Du mußt vor dem Scan die Häkchen setzen, wie in der Anleitung beschrieben.
Vor allem: "Scan all local drives".

Säuberungsaktion

Log-Analyse und Auswertung: Säuberungsaktion