Hallo!

AntiVir hat gestern den Trojaner Tr/Spy.Delf.ago.1 auf meinem System gefunden und seiner Auskunft nach gelöscht.

Ich habe im abgesicherten Modus mit AntiVir und Stinger nochmal einen Scan durchgeführt und dabei 'DR/Softomate.AA.19' entfernt.

Hier ein Scan von HijackThis nach der Prozedur:

Logfile of HijackThis v1.99.1
Scan saved at 08:10:29, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\pdf24\PDF24Updater.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\Weiche Ware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://1/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDF24Updater.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LAN-Verbindung.lnk = ?
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Würde gerne wissen ob da noch was rumgeistert.. Ist der Scan in Ordnung?

Vielen herzlichen Dank für eure Hilfe
Flufur

Hallo Flufur.

Von Bearshare solltest du die Finger lassen da kommen Schädlinge mit..

Deinstalliere es bitte über die Systemsteuerung. Danach Deaktivierst du die Systemwiederherstellung auf allen Laufwerken und suchst wie in meiner Signatur beschrieben nach folgender Datei: " UAService7.exe " sie sollte hoffentlich nicht vorhanden sein.

Fixe dann mit HJT folgende Einträge:

* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb *
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.bearshare.com/sidebar.html?src=ssb *
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.bearshare.com/sidebar.html?src=ssb *
* R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb *
* O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) *
* O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing *

Räume gleich danach mit CCleaner auf. Starte den Rechner neu und führe einen eScan nach der Anleitung aus meiner Signatur durch..

Gruß

Undoreal

Hallo Undoreal!

vielen Dank für deine prompte Antwort!

tja, bei Bearshare hab ich nicht gut genug auf meine lieben Geschwister aufgepasst....argh ....


Was mache ich wenn die Datei UAService7.exe aber doch zu finden ist??
Sie nennt sich 'UAService7.exe.q_804E001_q und war unter:

C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/SecTaskMan

zu finden. hehe... nicht gut?

Die gehört natürlich nicht wirklich zum Security Task Manager? oder doch?

Ich habe die anderen Schritte bis auf den eScan trotzdem durchgeführt.

das Ergebnis vom eScan werde ich gleich posten.
und harre dem post der dann da kommen mag.

Gruß
Flufur

Zitat:

zu finden. hehe... nicht gut?

nein, nicht gut.

Zitat:

Die gehört natürlich nicht wirklich zum Security Task Manager? oder doch?

nein gehört sie nicht.

Lade die Datei bitte auf VT und poste das Ergebnis.

Gruß

Undo

so erstmal noch das prächtige Ergebnis des eScan........

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File D:\Software + Dokumentation\BSINSTALLDE.exe//WiseSFX Dropper//WISE0025.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{**************************}). Deleting Registry Key {*************************}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_4679034d\engine\avewin32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_468e4bd8\engine\avewin32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_46d2c5b8\engine\avewin32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Musicmatch\Musicmatch Update\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 135678
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 64
Dauer des Scans bisher: 01:19:54
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:24:18,15
Batchende: 11:24:36,79

Was soll das eigentlich heißen: Deleting Registry Key {*******}... ?
Und sollte ich den codieren oder nicht?

Man muss sich nur davor hueten, die Abwesenheit von Anomalien als Beweis fuer die Sauberkeit des Systems zu werten.--- Jürgen Schmidt @ heise.de
....wie wahr .... mir wird schlecht.
Gruß
Flufur

ausgeführt !

Datei UAService7.exe.q_804E001_q empfangen 2007.09.27 11:38:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.27.0 2007.09.27 -
AntiVir 7.6.0.15 2007.09.27 -
Authentium 4.93.8 2007.09.27 -
Avast 4.7.1043.0 2007.09.26 -
AVG 7.5.0.488 2007.09.26 -
BitDefender 7.2 2007.09.27 -
CAT-QuickHeal 9.00 2007.09.26 -
ClamAV 0.91.2 2007.09.26 -
DrWeb 4.33 2007.09.27 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5168 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.27 -
Fortinet 3.11.0.0 2007.09.27 -
F-Prot 4.3.2.48 2007.09.26 -
F-Secure 6.70.13030.0 2007.09.27 -
Ikarus T3.1.1.12 2007.09.27 -
Kaspersky 7.0.0.125 2007.09.27 -
McAfee 5128 2007.09.26 -
Microsoft 1.2803 2007.09.27 -
NOD32v2 2554 2007.09.26 -
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.27 -
Prevx1 V2 2007.09.27 -
Rising 19.42.32.00 2007.09.27 -
Sophos 4.21.0 2007.09.27 -
Sunbelt 2.2.907.0 2007.09.26 -
Symantec 10 2007.09.27 -
TheHacker 6.2.6.072 2007.09.27 -
VBA32 3.12.2.4 2007.09.26 -
VirusBuster 4.3.26:9 2007.09.26 -
Webwasher-Gateway 6.0.1 2007.09.27 -
weitere Informationen
File size: 122880 bytes
MD5: 7764d99877e27436e95e4734624c9b45
SHA1: 4b4a2838fe770abae9625e83a9ab8f86a3c05adb

Uff, das sieht doch ganz gut aus...
Wie soll ich die bei dem eScan gefundenen Dateien entfernen?

Gruß
Flufur