Zitat:

Zitat von Mocca

ein zoo, hm? ist denn der zoo jetzt weg? hat escan tatsächlich schon mal das gröbste beseitigt?

Im Zoo hat zumindest ein Artensterben eingesetzt. Sollte eScan nicht wirklich alles erwischt haben, kann es sein, dass ein Virus wieder aktiv ist bzw ein anderer unbekannter noch sein Unwesen treibt.

Also:

Erstelle nochmal ein HJT-Log und poste dieses. Dann schauen wir mal, ob zumindest oberflächlich alles in Ordnung ist.
Danach bitte nochmal eScan laufen lassen damit wir sehen, ob von den bereits entfernten Viechern nicht wieder etwas zum Leben erweckt wurde.

so. mußte überstunden arbeiten und gleich nachher wieder aufstehen ... gäääähn

bitteschön. hier der hjt log von heute. nicht im safe mode ausgeführt. wäre das besser? dann mach ich gleich nachher noch einen. oder besser morgen früh.

habe escan laufen lassen und jetzt weiß ich ganz genau, welche 3 dateien die trojaner sind. die sind leider, leider meine eigene schuld. escan hat sie wohl gelöscht und ich hoffe, sie kommen nicht wieder.
muß nur noch die registry scannen und werd alles morgen früh posten.

(ein popup fragt mich grad schon wieder ob ich nicht vielleicht doch noch den drive cleaner installieren möchte, d h daß da immer noch spyware ist. "ErrorSafeCorporation" soll ich da zulassen. schönen dank auch. natürlich nicht.)

wie dem auch sei. what else? oh ja: das log file:

Logfile of HijackThis v1.99.1
Scan saved at 23:23:19, on 09.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Norton Ghost\Agent\GhostTray.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Web\Webshots\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

sag mir nicht, daß der zoo wieder eine arche noah geworden ist

mein rechner hat sich soweit erstmal prima hochgefahren, braucht aber immer noch ewigkeiten bspweise zum öffnen des arbeitsplatzes. aber ich will mal nicht ungeduldig sein, eins nach dem anderen.

Mocca

Zitat:

sag mir nicht, daß der zoo wieder eine arche noah geworden ist

Im HJT-Log sehe ich nur noch Hank und Joe, die zwei Pennerbrüder. wir versuchen es mal mit Killbox - Pocket KillBox. Nimm die folgenden zwei Dateien gemäß Anleitung (erst vollständig! lesen, dann rumfrickeln) in die Liste auf:

C:\WINDOWS\system32\Netverchk.exe
C:\WINDOWS\System32\dfwseehj.dll

Wichtig ist, dass die Dateien in einem Rutsch gelöscht werden. Du musst also nach dem Auswählen der ersten Datei und Klick auf das rote Kreuz, die folgende Abfrage nach einem Neustart verneinen, dann die zweite Datei angeben, auf das rote Kreuz klicken und dann erst die Frage nach einem Neustart mit "ja" beantworten.
Im Anschluss daran, ein neues HJT-Log erstellen.

hier noch der escan:

Wed Jan 10 09:20:40 2007 => Checking Module Usage Entries...
Wed Jan 10 09:20:40 2007 => Checking User Trusted External App Entries...
Wed Jan 10 09:20:40 2007 => Checking Shared DLL Entries...
Wed Jan 10 09:20:43 2007 => Checking App Path Entries...
Wed Jan 10 09:20:44 2007 => Checking Installer Entries...
Wed Jan 10 09:20:47 2007 => Checking Shared Tools Entries...
Wed Jan 10 09:20:47 2007 => Checking File Extension Entries...
Wed Jan 10 09:20:47 2007 => Checking Application Cache Entries...

Wed Jan 10 09:20:47 2007 => ***** Überprüfe spezielle ITW Viren *****
Wed Jan 10 09:20:47 2007 => Überprüfe auf Welchia Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf LovGate Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf CodeRed Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf OpaServ Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Sobig.e Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Winupie Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Swen Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf JS.Fortnight Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Novarg Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Pagabot Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Parite.b Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Parite.a Virus...
Wed Jan 10 09:20:47 2007 => Überprüfe auf Adware.SeekSeek Virus...

Wed Jan 10 09:20:47 2007 => ***** Scan vollständig. *****

Wed Jan 10 09:20:47 2007 => Gescannte Dateien: 18381
Wed Jan 10 09:20:47 2007 => Gefundene Viren: 0
Wed Jan 10 09:20:47 2007 => Anzahl der desinfizierten Dateien: 0
Wed Jan 10 09:20:47 2007 => Umbenannte Dateien: 0
Wed Jan 10 09:20:47 2007 => Anzahl der gelöschten Dateien: 0
Wed Jan 10 09:20:47 2007 => Anzahl Fehler: 5
Wed Jan 10 09:20:47 2007 => Dauer des Scans bisher: 00:02:14
Wed Jan 10 09:20:47 2007 => Virus-Datenbank Datum: 1/9/2007
Wed Jan 10 09:20:47 2007 => Virus-Datenbank Zähler: 257159

Wed Jan 10 09:20:47 2007 => Scan vollständig.

keine viren oder trojaner gefunden.
das merkwürdige ist aber, daß heute früh der explorer wieder nicht von alleine starten wollte. hm. muß ich das verstehen?

Zitat:

Zitat von MightyMarc

Im Anschluss daran, ein neues HJT-Log erstellen.

Das der Explorer nicht starten will, könnte uns in die Situation bringen, mal etwas Sisyphus zu spielen. Zuerst aber bitte das HJT-Log. Inzwischen kannst Du schon mal das Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler herunterladen.

hier nun zuerst das, was in "registry und speicher" von escan gefunden wurde:


Wed Jan 10 21:50:38 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Wed Jan 10 21:50:38 2007 => Loading Spyware Signatures from new External Database (Size: 200150).
Wed Jan 10 21:50:46 2007 => Indexed Spyware Databases Successfully Created...

Wed Jan 10 21:50:49 2007 => System found infected with toolbar888 Browser Hijacker ({569304ba-83ed-4cff-ac26-be3e482f7208})! Action taken: Einträge entfernt.
Wed Jan 10 21:50:49 2007 => Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:51 2007 => System found infected with toolbar888 Browser Hijacker ({c6f2214e-0b54-45a9-b90d-7dd4ba45ed0b})! Action taken: Einträge entfernt.
Wed Jan 10 21:50:51 2007 => Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:52 2007 => Deleting Registry Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper !!!
Wed Jan 10 21:50:53 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:53 2007 => Deleting Registry Key: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper !!!
Wed Jan 10 21:50:53 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:53 2007 => Deleting Registry Key: HKLM\Software\magnet
Wed Jan 10 21:50:53 2007 => Offending Key found: HKLM\Software\magnet !!!
Wed Jan 10 21:50:53 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:54 2007 => Deleting Registry Key: HKCU\Software\smartshopper
Wed Jan 10 21:50:54 2007 => Offending Key found: HKCU\Software\smartshopper !!!
Wed Jan 10 21:50:54 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:55 2007 => Deleting Registry Key: HKCU\\magnet
Wed Jan 10 21:50:55 2007 => Offending Key found: HKCU\\magnet !!!
Wed Jan 10 21:50:55 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:50:59 2007 => Offending Folder found: C:\WINDOWS\System32\smartshopper
Wed Jan 10 21:50:59 2007 => Deltree of Folder C:\WINDOWS\System32\smartshopper...
Wed Jan 10 21:51:00 2007 => Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:27 2007 => Checking CLSID Reference Entries...
Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwAuthorizedApplication" verweist auf das ungültige Objekt "{EC9846B3-2762-4A6B-A214-6ACB603462D2}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwMgr" verweist auf das ungültige Objekt "{304CE942-6E39-40D8-943A-B913C40C9CD4}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:30 2007 => Entry "HKCR\HNetCfg.FwOpenPort" verweist auf das ungültige Objekt "{0CA545C6-37AD-4A6C-BF92-9F7610067EF5}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:31 2007 => Entry "HKCR\MSIDXS" verweist auf das ungültige Objekt "{F9AE8980-7E52-11d0-8964-00C04FD611D7}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Wed Jan 10 21:51:31 2007 => Entry "HKCR\MSIDXS ErrorLookup" verweist auf das ungültige Objekt "{F9AE8981-7E52-11d0-8964-00C04FD611D7}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

danach der hjt log ausgeführt:

Logfile of HijackThis v1.99.1
Scan saved at 23:02:46, on 10.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
E:\Programme\Deamon -Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
E:\Programme\Napster\napster.exe
D:\QuickTime\2\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
E:\Programme\Norton Ghost\Agent\GhostTray.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\AvpM.exe
D:\Programme\Web\Webshots\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

------------------

wollte grad ein hjt log und killbox.exe im safe mode ausführen, aber da kann ich den explorer schon gleich gar nicht länger als 2 sekunden (buchstäblich!!!) offen halten. deshalb gleich wieder zurück in den normal mode. dementsprehend kann ich auch nicht mit killbox.exe arbeiten, denn im normal mode bringt das nicht viel, oder? wenn doch, leg ich sofort los.

interessant:
meine partition c ist "auf einmal" so voll, daß ich tatsächlich erst das eine oder andere gb hinschieben muß, sonst ist für service pack 2 kein platz, fürchte ich. würde gern mit partition manager 8 arbeiten, weiß aber nicht, ob das im moment so ratsam ist. aber ohne platz

Zitat:

Zitat von Mocca

wollte grad ein hjt log und killbox.exe im safe mode ausführen, aber da kann ich den explorer schon gleich gar nicht länger als 2 sekunden (buchstäblich!!!) offen halten. deshalb gleich wieder zurück in den normal mode. dementsprehend kann ich auch nicht mit killbox.exe arbeiten, denn im normal mode bringt das nicht viel, oder? wenn doch, leg ich sofort los.

Dann leg los.
Nur mal so für's Protokoll: ich glaube wir operieren einen Hirntoten.

Zitat:

Zitat von MightyMarc

Dann leg los.
Nur mal so für's Protokoll: ich glaube wir operieren einen Hirntoten.

wie jetzt?

Zitat:

Zitat von Mocca

wie jetzt?

Ignorier das einfach.

Hallo Mocca,

erst einmal eine klare Antwort auf deine Frage, ob es möglich ist, sich vor diesem Schadcode zu schützen: Ja ist es, und meiner Meinung nach auch gar nicht so schwierig.

Wie du dein System neu aufsetzt und danach richtig absicherst, kannst du hier im Board nachlesen. Viele User haben die Anleitung in ihrer Signatur.

Nachdem dein System mit ServicePack 2 und allen aktuellen Patches installiert worden ist, ist zu empfehlen, einen aktuellen Virenscanner zu installieren und deinen E-Mail Clienten sicher konfigurieren bzw. direkt einen sicheren E-Mail Client wie z.B GcMail oder den internen von Opera zu nutzen und auf Outlook zu verzichten.

Der Browser spielt ebenfalls eine wichtige Rolle. Ich empfehle nicht den IE zu nutzen, sondern z.B auf Opera oder Firefox zu wechseln. Mit Opera ist es z.B durch den PopUp Blocker möglich, komplette Seiten unbemerkt zu sperren. Eine Regel könnte z.B. so aussehen: http://*sex*.* ; So werden Seiten, die solche PopUps verbreiten oft gar nicht angezeigt werden.

Mit dem Tool Dingens.org kannst du außerdem überflüssige Dienste deaktivieren, damit dein System nicht eine zu große Agriffsfläche bietet.

Mit freundlichen Grüßen
David

Zitat:

Zitat von ezak

Hallo Ezak,
vielen dank für deinen beitrag,

erst einmal eine klare Antwort auf deine Frage, ob es möglich ist, sich vor diesem Schadcode zu schützen: Ja ist es, und meiner Meinung nach auch gar nicht so schwierig.

naja, ist es leider offensichtlich nicht und ja, es ist schwierig.

Wie du dein System neu aufsetzt und danach richtig absicherst, kannst du hier im Board nachlesen. Viele User haben die Anleitung in ihrer Signatur.

da mir die 5 stunden fehlen (plus die weitern stunden, um alle programme, die ich so benötige und großartig finde wieder zu installieren, ist das leider keine option )

Nachdem dein System mit ServicePack 2 und allen aktuellen Patches installiert worden ist, ist zu empfehlen, einen aktuellen Virenscanner zu installieren und deinen E-Mail Clienten sicher konfigurieren bzw. direkt einen sicheren E-Mail Client wie z.B GcMail oder den internen von Opera zu nutzen und auf Outlook zu verzichten.

ich habe noch nie mit outlook gearbeitet.

Der Browser spielt ebenfalls eine wichtige Rolle. Ich empfehle nicht den IE zu nutzen, sondern z.B auf Opera oder Firefox zu wechseln. Mit Opera ist es z.B durch den PopUp Blocker möglich, komplette Seiten unbemerkt zu sperren. Eine Regel könnte z.B. so aussehen: http://*sex*.* ; So werden Seiten, die solche PopUps verbreiten oft gar nicht angezeigt werden.

ich surfe ausschließlich mit opera. im mom muß ich nur leider darauf verzichten, da dieser browser gut was an arbeitsspeicher braucht, den ich im mom anderweitig nutzen muß

zum thema virenscanner und firewall: ich hab von beiden programmen jeweils 10 unterschiedliche benutzt in den letzten 4 jahren. mein fazit: es gibt KEIN programm, das vor viren, würmern oder trojanern schützt, wenn das zeug auf den rechner will. ich hatte schon weit früher mit dem einen oder aderen wurm oder virus u kämpfen. wie gesagt, während ich virescanner und firewall (im übrigen auch richtig konfiguriert) hatte. nenn mir ein programm: virenscanner oder firewall: you name it, i had it. was nutzt mir ein virenscanner, der mir erst (oder überhaupt nicht) sagt, daß ich mir erfolgreich ein mistviech auf den rechner gezogen hab? ich möchte gewarnt werden, wenn das ding an meinem rechner anklopft! habe eben leider noch kein einziges programm gefunden, was mich dementsprechend warnt. sobald es dieses programm gibt, bekommt es einen platz auf meinem rechner. ich hatte ziemlich lange zonealarm, aber zwischendurch gab es ein update, daß mir den rechner und den zugang zum internet sehr schwer gemacht hatte. dann ist der quatsch geflogen. was soll ich auch mit einer firewall, die mich alle 3 sekunden fragt, ob hinz und kunz auf was weiß ich network und hastenichtgesehen zugreifen darf. da kommt man ja nicht weit, ohne völlig entnervt nach 20mal klicken "allow all" einstellt und dann ist eine firewall auch quatsch, oder? ("remember my answer funzt meist auch nicht, wenn dieses blöde gefrage nach dem hochfahren wieder von vorne beginnt. wozu dann remember?)

versteh mich bitte nicht falsch!!! ich weiß, daß du deine ratschläge gut meinst. i really, really do! ich bin nur irre gefrustet, daß eben nichts meinen rechner wirklich schützt (und geschützt hat über die jahre) vielleicht sitzt auch irgendwas richtig gut versteckt auf meinem rechner, was sich immerwieder aktiviert, wenn ... ? keine ahnung. ich bin nur richtig gefrustet.

Mit dem Tool Dingens.org kannst du außerdem überflüssige Dienste deaktivieren, damit dein System nicht eine zu große Agriffsfläche bietet.

das werd ich mir gleich mal anschauen!

Mit freundlichen Grüßen
David

freundliche grüße zurück,
mocca

so. mit killbox beide files gelöscht und neuen hjt scan erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 13:47:16, on 11.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\Programme\ewido anti-spyware 4.0\guard.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\System32\GEARSec.exe
E:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\taskmgr.exe
E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamon -Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "E:\Programme\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKLM\..\Run: [EasyEraser] "E:\Programme\Easy Eraser V.1.2\Easy Eraser V.1.2.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Startup: Webshots.lnk = D:\Programme\Web\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151245052149
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151245022526
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{25DE5863-FFAF-4D94-A026-F7465DD21908}: NameServer = 192.168.0.1,213.133.99.99
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

hirntot *tz*

kümmere mich jetzt noch um den platz, dann kommt sp2 dran.

was nun?

Zitat:

Zitat von Mocca

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\dfwseehj.dll",setvm
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe

was nun?

Überprüfe bitte mit der suchfunktion ob beide Dateien noch vorhanden sind oder ob sie wirklich gelöscht wurden. Achte darauf, dass die Ordneroptionen wie folgt eingestellt sind:

http://www.trojaner-board.de/59624-a...-sichtbar.html

Falls sie nicht gelöscht wurden, solltest Du tief in Dich gehen und überlegen wie das Passwort für den Account namens "Administrator" lautet (Du wirst es brauchen).

Ordner sind schon so eingestellt, sodaß die suchfunktion die beiden dateien noch gefunden hat. "Netverchk.exe" sitzt im Windows\Prefetch, das andere im system 32.

Interessant! dieses konto mit dem namen "administrator" gibt es nur, wenn ich in den safe mode starte. sonst hab ich da nix eingerichtet, was so heißt. wüßte also auch nix von einem passwort diesbezüglich ... hä? was will mein rechner jetzt schon wieder?

ich schau nochmal nach ...

OK, vermutlich hat dieser Account kein Passwort (dies ist ausnahmsweise mal günstig).

Schnapp Dir Deine Windows XP CD und los geht's.

Vorsicht, es folgt viel Text, der aber nur wenig Info enthält (stammt von Microsoft):

* Starten der Wiederherstellungskonsole

Entweder:
Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren.
Oder:
Verwenden Sie das Dienstprogramm "Winnt32.exe" mit der Option /cmdcons, um die Windows-Wiederherstellungskonsole zum Windows-Autostartordner hinzuzufügen (Start > Ausführen > winnt32.exe /cmdcons).

* Verwenden der Befehlskonsole

Nach dem Starten der Windows-Wiederherstellungskonsole wird die folgende Meldung angezeigt:

Microsoft Windows XP(TM)-Wiederherstellungskonsole

Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen.
Geben Sie "exit" ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten.

1: C:\WINDOWS

Bei welcher Windows-Installation möchten Sie sich anmelden?
Drücken Sie die Eingabetaste, um den Vorgang abzubrechen.

Nachdem Sie die Nummer für die entsprechende Windows-Installation eingegeben haben, werden Sie zur Eingabe des Kennworts für das Administratorkonto aufgefordert (in Deinem Fall ENTER drücken).

Hinweis: Sollte die Wiederherstellungskonsole das leere Passwort nicht aktzeptieren, musst Du für dieses Konto ein Passwort vergeben und dann die Prozedur wiederholen.

So, nun kommt der eigentliche Teil. Jede Zeile musst Du mit ENTER bestätigen.

del /F C:\WINDOWS\System32\dfwseehj.dll
del /F C:\WINDOWS\system32\Netverchk.exe
exit

Danach bootest Du wieder normal Dein Windows und schaust, ob die beiden Dateien diesmal weg sind. Wenn nicht, ist noch irgendwas anderes auf dem Rechner


Sollte etwas unklar sein, frag einfach.