EScan bringt einiges zum Vorschein. Hilfe beim entfernen?

IMortiI · 20.10.2005, 14:47

Sers TB Com

Habe heute einfach mal wieder routinemäßig alles aufs neueste Update gebracht und mal wieder durchlaufen lassen. und 'natürlich' leider wieder was gefunden...

Hier mal folgend: HiJackThis Log und Escan Auswertung

Logfile of HijackThis v1.99.1
Scan saved at 15:43:11, on 20.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Lager\Tools\hjthis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128783923015
O17 - HKLM\System\CCS\Services\Tcpip\..\{E16EC0B6-C05D-4C89-A345-7FCF164BF03F}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe

Der unbekannte Prozess (automatische Auswertung) InetKb.exe ist mir bekannt.

So nun der eigentlich fiese Log

Escan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 14:02:05 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:11 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Oct 20 14:12:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Oct 20 15:29:58 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 15:03:11 2005 => File D:\Lager\Tools\kf141.zip tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.
Thu Oct 20 15:03:13 2005 => File D:\Lager\Tools\Microsoft Key Finder - XP - Office.exe tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 14:02:05 2005 => Offending file found: C:\DOKUME~1\Morti\LOKALE~1\Temp\insthelp.dll
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Eigene Dateien\nba live 2005\settings\settings.dat
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temp\insthelp.dll
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\41aruhat\adswrapper[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\41aruhat\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\8bsvuvqf\adsend[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\ejwv6tcf\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\irqz8deb\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\41aruhat\adswrapper[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\41aruhat\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\8bsvuvqf\adsend[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\ejwv6tcf\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\irqz8deb\common[1].js
Thu Oct 20 14:02:11 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 15:29:58 2005 => Total Virus(es) Found: 16
Thu Oct 20 15:29:58 2005 => Total Errors: 8
Thu Oct 20 15:29:58 2005 => Time Elapsed: 01:27:40
Thu Oct 20 15:29:58 2005 => Total Objects Scanned: 69288
Thu Oct 20 14:00:24 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 15:29:58 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 15:36:20 2005 => Virus Database Date: 2005/10/20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Da ist ja dann doch einiges zusammen gekommen. AdAware hatte von dem ganzen Spyware kram leider nichts entdeckt...

Könnte mir jemand von euch helfen das Zeug vollständig zu entfernen? Wäre euch sehr dankbar.

MfG Morti

~~~
Edit: Jotti Online Scan

Datei: iun6002.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)

EScan bringt einiges zum Vorschein. Hilfe beim entfernen?

Log-Analyse und Auswertung: EScan bringt einiges zum Vorschein. Hilfe beim entfernen?

EScan bringt einiges zum Vorschein. Hilfe beim entfernen?

Ähnliche Themen: EScan bringt einiges zum Vorschein. Hilfe beim entfernen?