Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: surfaccuracy loswerden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.11.2005, 16:23   #1
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo,
seit etwa einer Woche kämpfe ich mit diversen ätzenden "Programmen", die ich mir bei meiner ersten und letzten Verwendung von IE gefangen habe. Spybot meldet jedes mal ich hätte Surfaccuracy und entfernt es dann, allerdings ist nach einem Neustart alles wieder beim alten - IE popups tauchen auf oder IE meldet obwohl von mir nicht gestartet Fehlermeldungen.
Norton Antivirus meldet genau wie adaware von lavasoft übrigens nichts.

Ich hoffe, ihr könnt mir weiterhelfen:
Hier mein HijackThis logfile (nach entfernen von surfaccuracy mit spybot):

C:\WINNT\System32\NALWIN32.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\LION\lion.exe
C:\WINNT\System32\dpmw32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PhilFak.Net\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LION] C:\Programme\LION\lion.exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2461B0-B997-442C-87E3-6B9AAC293DA0}: NameServer = 134.99.24.129,134.99.24.133
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\cGV0ZXJzZW4\command.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: FireDaemon Service: Ms32dll (Ms32dll) - Unknown owner - c:\winnt\system32\vmn32\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: MSVC5 (MSVC5) - Unknown owner - c:\winnt\system32\vmn32\FireDaemon.EXE (file missing)
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Microsoft Protocol Extensions (raidSS) - Unknown owner - C:\WINNT\system32\raidss.exe
O23 - Service: raidnserver (raidsu) - Unknown owner - C:\WINNT\system32\os2\raidcommon\com1\dmp\raid-sms.exe (file missing)
O23 - Service: FireDaemon Service: SVHST (SVHST) - Unknown owner - c:\winnt\system32\vmn32\FireDaemon.EXE (file missing)
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINNT\System32\wm.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

Danke!!!

Alt 15.11.2005, 16:38   #2
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Noch zur Ergänzung,
ich habe gerade mal mein System mit xoftspy gescannt, dabei werden folgende Dinge gefunden:

ISTBar
Default Windows Setting (...windows\currentversion\thememangager\themeactive\0:@:0)
Claria/Gain/Gator/Dashbar
ZestyFind
Bargain Buddy Bundle

Wie werde ich die los?

Zusätzlich habe ich nun schon zweimal bemerkt, dass an meiner Tastatur der NUM-Schalter umgelegt wurde, ohne dass ich das bewusst getan habe, kann das auch der Effekt eines dieser Programme sein?

Vielen Dank, niewiederIE
__________________


Alt 15.11.2005, 16:39   #3
Rene-gad
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



@niewiederIE
Mache bitte Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
Wenn du HJT-Post noch Mal posten möchtest, gebe bitte auch die Systeminformationen an.
__________________

Alt 15.11.2005, 16:40   #4
Wildone
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo,
erstmal solltest du das gesammte Log posten einschließlich dem Kopf.
beende mal folgende Prozesse im Taskmanager:
C:\WINNT\System32\NALWIN32.EXE
C:\WINNT\system32\raidss.exe
überprüfe die zugehörigen Dateien(Dateien richtig suchen) hier und poste das Ergebnis.

[EDIT]
Mach das was Rene-gad vorschlägt, und vergiß mein Posting

[/EDIT]
Grüße Wildone

Alt 15.11.2005, 16:56   #5
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo Wildone,

danke für die schnelle Reaktion.
Schade, deine zweite Antwort habe ich zu spät gelesen, aber bei der Überprüfung ist auch nichts aufgefallen.
Ich werde jetzt rene-gads Anweisungen befolgen.

Danke, niewiederIE


Alt 15.11.2005, 17:26   #6
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo Rene-gad,

bevor ich mich jetzt gleich in den abgesicherten Modus begeben werde, noch zwei Fragen zu deinen Anweisungen:
1.) Wie finde ich die Infected-Ordner der Antivirenprogramme, ich habe jetzt mal alle in Quarantäne befindlichen Dateien gelöscht, muss ich noch mehr tun?
2.) Was ist RTFM? Die Versionsinformation?

Danke, niewiederIE

PS: gibt es eigentlich eine Möglichkeit, wie man den IE vollständig abschalten bzw. deinstallieren kann? Ich habe ihn bereits vor Jahren aus den optionalen Windowskomponenten entfernt, aber irgendwie ist der Explorer ja auch immer ein abgespeckter IE, oder?

Alt 15.11.2005, 17:35   #7
Wildone
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo,
Zitat:
2.) Was ist RTFM? Die Versionsinformation?
klick damit sollte 1.) auch beantwortet sein.
Zitat:
PS: gibt es eigentlich eine Möglichkeit, wie man den IE vollständig abschalten bzw. deinstallieren kann? Ich habe ihn bereits vor Jahren aus den optionalen Windowskomponenten entfernt, aber irgendwie ist der Explorer ja auch immer ein abgespeckter IE, oder?
Eine ganz schlechte Idee, wie willst du dein Betriebssystem ohne IE updaten. Und warum willst du ihn zwanghaft entfernen, du kannst ihn doch einfach nicht verwenden.


Grüße Wildone

Alt 16.11.2005, 16:13   #8
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo rene-gad!

Erstmal danke für die Erklärung von RTFM, ich hätte selber kurz suchen sollen. Der Scan mit eScan hat 17 Stunden gedauert und war offensichtlich mehr als notwendig, leider. Hier also mein Scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:45:01 2005 => File C:\WINNT\system32\raidss.exe infected by "Trojan.Win32.Stealther" Virus! Action Taken: No Action Taken.
Tue Nov 15 18:45:10 2005 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Tue Nov 15 18:45:10 2005 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Tue Nov 15 18:45:11 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.
Tue Nov 15 18:45:15 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Nov 15 18:45:17 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 18:45:17 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 18:45:18 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Tue Nov 15 18:47:09 2005 => Total Disinfected Files: 0
Tue Nov 15 19:20:44 2005 => File C:\WINNT\system32\raidss.exe infected by "Trojan.Win32.Stealther" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:20:51 2005 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Tue Nov 15 19:20:52 2005 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Tue Nov 15 19:20:53 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.
Tue Nov 15 19:20:56 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Nov 15 19:20:58 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 19:20:58 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 19:20:59 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Tue Nov 15 19:22:37 2005 => File C:\WINNT\System32\mmset500.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:24:13 2005 => File C:\WINNT\System32\work.exe infected by "Backdoor.Win32.HacDef.q" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:34:45 2005 => File C:\drsmartload.exe infected by "Trojan-Downloader.Win32.VB.ri" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:36:40 2005 => File C:\mte3ndi6odoxng.exe infected by "Trojan-Downloader.Win32.Small.buy" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:49:38 2005 => File C:\Programme\Intiktex\ace.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:52:10 2005 => File C:\Programme\Intiktex\msrgxpr5.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:52:10 2005 => File C:\Programme\Intiktex\WinGenerics.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:52:10 2005 => File C:\Programme\Intiktex\wstlehlp.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:23:34 2005 => File C:\Programme\Shockwave.com\Zuma\run.exe infected by "Trojan-Downloader.Win32.Adload.j" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:28:32 2005 => File C:\regular_plugin.exe infected by "Trojan-Downloader.Win32.INService.ja" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:56:16 2005 => File C:\WINNT\system32\mmset500.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:59:21 2005 => File C:\WINNT\system32\work.exe infected by "Backdoor.Win32.HacDef.q" Virus! Action Taken: No Action Taken.
Tue Nov 15 21:55:33 2005 => File D:\aktuelles backup\backup_19_07_02.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Tue Nov 15 23:56:04 2005 => File D:\aktuelles backup\Mail.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 01:01:50 2005 => File D:\Anwendungsdateien\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\ebay infected by "Trojan-Spy.HTML.Bayfraud.hn" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:03:29 2005 => File D:\Anwendungsdateien\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:06:11 2005 => File D:\Anwendungsdateien\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\Trash infected by "Trojan-Spy.HTML.Bankfraud.jf" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:15:46 2005 => File D:\backup_19_07_02.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:23:34 2005 => File D:\cd_brennen.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:11:46 2005 => File D:\programme\Netscape.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:19:02 2005 => File D:\temp\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Müll infected by "Trojan-Proxy.Win32.Webber.10.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:21:55 2005 => File D:\temp\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:59:33 2005 => File D:\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\ebay infected by "Trojan-Spy.HTML.Bayfraud.hn" Virus! Action Taken: No Action Taken.
Wed Nov 16 06:00:25 2005 => File D:\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 06:03:08 2005 => File D:\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\Trash infected by "Trojan-Spy.HTML.Bankfraud.jf" Virus! Action Taken: No Action Taken.
Wed Nov 16 06:08:38 2005 => File D:\***\Mail\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 10:34:12 2005 => File X:\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 10:49:20 2005 => File X:\mozilla.rar infected by "Trojan-Proxy.Win32.Webber.10.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:05:11 2005 => File Y:\Mozilla.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:15:08 2005 => File Y:\Profiles\Mail.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:15:23 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\ebay infected by "Trojan-Spy.HTML.Bayfraud.g" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:26:25 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Müll infected by "Trojan-Proxy.Win32.Webber.10.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:37:05 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:39:44 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\Trash infected by "Email-Worm.Win32.NetSky.c" Virus! Action Taken: No Action Taken.
Wed Nov 16 13:16:42 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:44:54 2005 => File C:\WINNT\cGV0ZXJzZW4\command.exe tagged as "not-a-virus:AdWare.Win32.CommAd.a". Action Taken: No Action Taken.
Tue Nov 15 18:45:40 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Tue Nov 15 19:20:38 2005 => File C:\WINNT\cGV0ZXJzZW4\command.exe tagged as "not-a-virus:AdWare.Win32.CommAd.a". Action Taken: No Action Taken.
Tue Nov 15 19:21:19 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Tue Nov 15 19:23:17 2005 => File C:\WINNT\System32\pnc.exe tagged as not-a-virus:RemoteAdmin.Win32.NetCat. No Action Taken.
Tue Nov 15 19:23:19 2005 => File C:\WINNT\System32\psexec.exe tagged as not-a-virus:RiskTool.Win32.PsExec.13. No Action Taken.
Tue Nov 15 19:23:58 2005 => File C:\WINNT\System32\vcmd.exe tagged as not-a-virus:RemoteAdmin.Win32.SrvCmd. No Action Taken.
Tue Nov 15 19:24:04 2005 => File C:\WINNT\System32\winhelper.exe tagged as not-a-virus:RiskTool.Win32.HideWindows. No Action Taken.
Tue Nov 15 19:34:48 2005 => Scanning File C:\fsa\fsa\Examples\GerdemannVannoord99\tagged_examples
Tue Nov 15 19:36:06 2005 => File C:\installer.exe tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Tue Nov 15 20:34:29 2005 => File C:\WINNT\cGV0ZXJzZW4\asappsrv.dll tagged as "not-a-virus:AdWare.Win32.CommAd.a". Action Taken: No Action Taken.
Tue Nov 15 20:40:24 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Tue Nov 15 20:46:05 2005 => File C:\WINNT\system32\.helpfiles\sp12.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.25.l. No Action Taken.
Tue Nov 15 20:57:39 2005 => File C:\WINNT\system32\pnc.exe tagged as not-a-virus:RemoteAdmin.Win32.NetCat. No Action Taken.
Tue Nov 15 20:57:41 2005 => File C:\WINNT\system32\psexec.exe tagged as not-a-virus:RiskTool.Win32.PsExec.13. No Action Taken.
Tue Nov 15 20:58:53 2005 => File C:\WINNT\system32\vcmd.exe tagged as not-a-virus:RemoteAdmin.Win32.SrvCmd. No Action Taken.
Tue Nov 15 20:59:12 2005 => File C:\WINNT\system32\winhelper.exe tagged as not-a-virus:RiskTool.Win32.HideWindows. No Action Taken.
Tue Nov 15 21:57:23 2005 => File D:\aktuelles backup\backup_c\backup_c.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 22:22:40 2005 => File D:\aktuelles backup\backup_cdrom\install.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 22:57:01 2005 => File D:\aktuelles backup\backup_d_11_9_01.rar tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
Tue Nov 15 23:23:23 2005 => File D:\aktuelles backup\d_25_4_01.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 23:39:27 2005 => File D:\aktuelles backup\festplatte_D.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 23:42:53 2005 => File D:\aktuelles backup\install.rar tagged as "not-a-virus:AdWare.Win32.Aureate". Action Taken: No Action Taken.
Wed Nov 16 02:44:46 2005 => File D:\install\install2.rar tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
Wed Nov 16 02:54:47 2005 => File D:\install\InternetTools\Up_Downloadtools\CuteFtp\cute4032.exe tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
Wed Nov 16 02:54:48 2005 => File D:\install\InternetTools\Up_Downloadtools\Getright\getrt42b.exe tagged as "not-a-virus:AdWare.Win32.Aureate.a". Action Taken: No Action Taken.
Wed Nov 16 03:24:49 2005 => File D:\install\shareware\GetRight\getrt400.exe tagged as "not-a-virus:AdWare.Win32.Aureate". Action Taken: No Action Taken.
Wed Nov 16 03:24:50 2005 => File D:\install\shareware\GetRight\getrt411.exe tagged as "not-a-virus:AdWare.Win32.Aureate.a". Action Taken: No Action Taken.
Wed Nov 16 03:41:55 2005 => File D:\install\Wörterbücher und anderes\babylon\babylon30.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Wed Nov 16 03:41:57 2005 => File D:\install\Wörterbücher und anderes\babylon\babylon31.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Wed Nov 16 03:57:35 2005 => File D:\papa\CuteFtp\cute4032.exe tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:45:10 2005 => Offending file found: C:\installer.exe
Tue Nov 15 18:45:10 2005 => Offending file found: C:\WINNT\gpinstall.exe
Tue Nov 15 18:45:11 2005 => Offending file found: C:\WINNT\System32\instsrv.exe
Tue Nov 15 18:45:15 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\winedt\config\restore\settings.dat
Tue Nov 15 18:45:17 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 18:45:17 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 18:45:18 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Tue Nov 15 19:20:51 2005 => Offending file found: C:\installer.exe
Tue Nov 15 19:20:52 2005 => Offending file found: C:\WINNT\gpinstall.exe
Tue Nov 15 19:20:53 2005 => Offending file found: C:\WINNT\System32\instsrv.exe
Tue Nov 15 19:20:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\winedt\config\restore\settings.dat
Tue Nov 15 19:20:58 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 19:20:58 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 19:20:59 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:47:09 2005 => Total Virus(es) Found: 10
Wed Nov 16 13:16:42 2005 => Total Virus(es) Found: 70
Tue Nov 15 18:47:09 2005 => Total Errors: 300
Wed Nov 16 13:16:42 2005 => Total Errors: 312
Tue Nov 15 18:47:09 2005 => Time Elapsed: 00:07:17
Wed Nov 16 13:16:42 2005 => Time Elapsed: 17:10:33
Tue Nov 15 18:47:09 2005 => Total Objects Scanned: 23856
Wed Nov 16 13:16:42 2005 => Total Objects Scanned: 223115
Tue Nov 15 18:22:33 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 18:39:01 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 18:47:09 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 18:47:12 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 19:15:20 2005 => Virus Database Date: 2005/11/15
Wed Nov 16 13:16:35 2005 => Virus Database Date: 2005/11/15
Wed Nov 16 13:17:54 2005 => Virus Database Date: 2005/11/15
Wed Nov 16 13:29:46 2005 => Virus Database Date: 2005/11/15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Einige der Viren liegen in gepackten backups meiner emails, bzw in email-Foldern, von denen ich weiß, daß da gefährliche Malware liegen kann. Die Viren auf C: geben mir allerdings schon zu denken. Besteht eine Möglichkeit, daß ich noch 2 Monate mit meinem System weiterarbeiten kann, ohne es komplett neu installieren zu müssen?

Danke für deine Hilfe,
niewiederIE

Alt 16.11.2005, 16:26   #9
Rene-gad
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



@niewiederIE
Zitat:
Hallo rene-gad!
Erstmal danke für die Erklärung von RTFM
Nur gerechtigkeitshalber: Dein Dank sollte Wildone adressiert werden
Zitat:
Der Scan mit eScan hat 17 Stunden gedauert und war offensichtlich mehr als notwendig, leider.
Tja...
Zitat:
Besteht eine Möglichkeit, daß ich noch 2 Monate mit meinem System weiterarbeiten kann, ohne es komplett neu installieren zu müssen?
Du musst damit rechnen, dass dein Rechner nicht nur dein mehr: Backdoors & Co. machen dein System von Dritten zugänglich, ergo: alles, was du tust, kann von Jemandem genutz werden. Info
Deine persönlichen Daten, wie DOC, XLS, JPG usw. kannst du auf einer CD oder einer anderen Partition sichern. Du kannst auch das Backup-Tool benutzen. Die gesicherten Daten müssen aber vor der Wiederherstellung auf Viren gecheckt werden.
Gehe bitte haargenau der Anleitung aus meiner Signatur nach.

Alt 16.11.2005, 17:01   #10
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo,

ich habe jetzt erstmal eine relativ radikale Löschung aller Dateien vorgenommen, die infiziert sind. Ich werde gleich noch einmal einen Scan starten. Wenn es irgendwie klappt, werde ich das Neuaufsetzen des Systems wirklich noch hinausschieben, in zwei Monaten bekomme ich einen neuen Rechner und dieser hier wird dann sowieso komplett neu formatiert.

Kann ich, wenn der nächste Scan besser aussieht, den Scan noch einmal hier posten?

Danke für eure Hilfe.

Alt 16.11.2005, 17:44   #11
cronos
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Selbst wenn der Escan nichts mehr finden sollte, heißt das aber in diesem fall nicht, das der Rechner sauber ist, Grund ist u.a. folgender:

http://www.mathematik.uni-marburg.de...al.html#sec2.6
__________________
Only cronos endures

Alt 16.11.2005, 18:43   #12
niewiederIE
 
surfaccuracy loswerden - Standard

surfaccuracy loswerden



Hallo,
der Scan läuft natürlich noch, ich habe mich einfach mal an einem anderen Rechner im Büro eingeloggt.

Ich habe mich jetzt für folgenden Umgang mit dem Problem entschieden:
1. keine Adminrechte mehr beim normalen Arbeiten
2. nicht ins LAN oder Internet, wenn nicht unbedingt nötig
3. ich informiere die Systemadministration
4. Neuaufsetzen des Systems sobald wie möglich
5. alle KollegInnen sollten ihre Rechner mit eScan testen, damit das Microsoftnetzwerk den neuaufgesetzten Rechner nicht sofort wieder infiziert
6. wechsel der Passwörter

Einige Fragen habe ich jedoch noch:
Kann sich ein infizierter Rechner über das automatische Windowsupdate falsche, sprich malware, Programme runterladen?
Kann ein Virenprogramm von einem infiziertem Rechner aus, auf dem ich mich als Benutzer ohne Adminrechte einlogge, Dinge tun, für die eigentlich Adminrechte nötig sind?
Bei uns im Büro haben wir den Norton Antivirus Corporate Edition. Dieser findet jedoch an meinem Rechner nichts auszusetzen, während Escan eine Menge Viren findet. Ich habe inzwischen verstanden, daß Antivirenprogramme prinzipiell nicht das halten können, was sie vorgaukeln. Aber ist der Escan wirklich "besser" als der Norton?

Noch mal vielen Dank für eure Hilfe.
niewiederIE

Antwort

Themen zu surfaccuracy loswerden
adobe, antivirus, application, bho, dateien, diverse, entfernen, firefox, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, loswerden, microsoft, mozilla, mozilla firefox, neustart, pdf, popups, programme, software, symantec, system, system32, update



Ähnliche Themen: surfaccuracy loswerden


  1. GVU Trojaner loswerden
    Log-Analyse und Auswertung - 25.06.2013 (5)
  2. Spyhunter 4 loswerden
    Plagegeister aller Art und deren Bekämpfung - 25.05.2013 (2)
  3. Spyhunter 4 loswerden
    Log-Analyse und Auswertung - 17.04.2013 (5)
  4. DeltaSearch loswerden
    Plagegeister aller Art und deren Bekämpfung - 09.03.2013 (30)
  5. wie den GVU-Trojaner loswerden?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (25)
  6. W32/Ramnit.A loswerden?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2012 (12)
  7. Incredibar loswerden
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (35)
  8. GVU Trojaner loswerden
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (9)
  9. Win XP GVU 2.07 Trojaner loswerden
    Plagegeister aller Art und deren Bekämpfung - 18.08.2012 (19)
  10. Cycbot loswerden
    Plagegeister aller Art und deren Bekämpfung - 21.12.2011 (4)
  11. 007Guard , wie Loswerden ?
    Plagegeister aller Art und deren Bekämpfung - 03.10.2010 (2)
  12. ICQsearch loswerden - wie?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (24)
  13. zlob loswerden?
    Log-Analyse und Auswertung - 03.04.2008 (3)
  14. TR/Inject.ZS - wie loswerden?
    Plagegeister aller Art und deren Bekämpfung - 20.03.2008 (7)
  15. CiD entlich loswerden!!
    Log-Analyse und Auswertung - 28.02.2008 (3)
  16. SysKontroller loswerden
    Mülltonne - 12.02.2008 (0)
  17. SurfAccuracy\SAcc.exe kann nicht entfernt werden
    Log-Analyse und Auswertung - 15.02.2006 (4)

Zum Thema surfaccuracy loswerden - Hallo, seit etwa einer Woche kämpfe ich mit diversen ätzenden "Programmen", die ich mir bei meiner ersten und letzten Verwendung von IE gefangen habe. Spybot meldet jedes mal ich hätte - surfaccuracy loswerden...
Archiv
Du betrachtest: surfaccuracy loswerden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.