Wann kann ich sicher sein, dass mein System sauber ist?
 

Hallo,

ich hatte einige Malware, Spyware, etc. auf meinem Rechner (inzwischen: Win XP Prof, SP2, Firefox) und habe ihn so gut ich konnte mit Adaware, Spybott S&D, Microsoft AntiSpyware und eScan "gereinigt".

Kann ich mir nun sicher sein, dass ich nichts "Bösartiges" auf meinem Rechner haben, wenn alle Tools nichts mehr anzeigen?

Vielen Dank für die Hilfe
Daniel

Das kann man pauschal nicht sagen, ohne zu wissen, welche Malware Du drauf hattest (oder noch hast)...
Schreib, was eScan gefunden hat (die mwavlog ist ja noch auf dem Rechner) und poste mal ein HJT-Logfile.
cacatoa

Hallo,

erst mal Danke für die Antwort. Ich hatte leider nicht so viel Zeit, deshalb melde ich mich erst jetzt wieder.

Also hier die Ergebnisse von eScan (abgesicherter Modus, Version 4.8.7):

Sat Mar 05 13:46:51 2005 => File C:\WINDOWS\System32\msnvo.dll infected by "Trojan-Downloader.Win32.Murlo.c" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:47:02 2005 => File C:\WINDOWS\system32\rdspclips.exe infected by "HackTool.Win32.Hidd.f" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:47:03 2005 => File C:\WINDOWS\system32\sprmover.exe infected by "Trojan-Downloader.Win32.Small.agg" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:48:21 2005 => File C:\WINDOWS\system32\hdftr.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:49:43 2005 => File C:\WINDOWS\system32\sethcd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:49:48 2005 => File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.f" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:49:58 2005 => File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:50:00 2005 => File C:\WINDOWS\system32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:50:13 2005 => File C:\WINDOWS\system32\winwiz32.exe infected by "Trojan-Clicker.Win32.Agent.ce" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:50:19 2005 => File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:30:22 2005 => File C:\WINDOWS\system32\hdftr.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:31:59 2005 => File C:\WINDOWS\system32\sethcd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:18 2005 => File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.f" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:29 2005 => File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:31 2005 => File C:\WINDOWS\system32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:57 2005 => File C:\WINDOWS\system32\winwiz32.exe infected by "Trojan-Clicker.Win32.Agent.ce" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:33:03 2005 => File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.

Habe die Dateien über die "Delete at reboot"-Fkt. von HijackThis gelöscht!

Hier mein HijackThis-Logfile vor dem Löschen:

Logfile of HijackThis v1.99.0
Scan saved at 15:47:13, on 05.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Name - {2F7D5A2D-A4A3-4347-B05C-C5790CD8AC3C} - C:\WINDOWS\System32\msnvo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sprmover.exe] sprmover.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Netcounter] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{47A21B14-4665-48F3-8579-5A840C476773}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E560DFB4-8B0E-478F-8A71-FBD22A0C83DC}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F717E3AC-41FB-4909-9701-0F12B0765A54}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Habe es auf hijackthis.de überprüfen lassen und die entsprechenden Einträge gefixt. Das neue Logfile zeigt keine Auffälligkeiten mehr!

Die Datein sp.dll (wie von Lutz beschrieben) habe ich Suchen lassen, sie wurde jedoch auf dem System nicht gefunden!

Ansonsten Scans mit Norton AntiSpyware -> keine Befunde!

Ich habe mit großem Interesse die Diskussion zum Thema "Neuinstallation oder Bereinigung" gelesen. Eigentlich würde ich eher zur Neuinstallation tendieren, wenn ich einen DVD-Brenner hätte, um alle meine Daten vernünftig zu sichern.

Da stellt sich mir aber die Frage, ob Malware evtl. auch Auswirkungen auf meine Eigenen Dateien hatte? Kann nun was passieren, wenn ich die nun brenne (wenn ich einen DVD-Brenner kaufe) und auf mein "neues" System kopiere?

Allerbesten Dank und viele Grüße
Daniel

PS: Habe gerade gesehen, dass ich in meinem ersten Posting schon geschrieben habe, dass nichts mehr gefunden wurde. Stimmt wie ich nun gesehen habe leider nicht ganz!!! Sorry. :(

@karlheinz_100
Alternative: ein CD-Brenner oder eine externe Festplatte ;)
Das bestimmte Risiko besteht, natürlich, allerdings: die schlimmsten Backdoors und Troajner schreiben sich nicht zu den Office-Dokumenten und Nicht-Windows-Systemdateien zu. Manchmal gibt es Fragen mit Bild-Dateien oder Dateien mit "versteckten" Erweiterungen. Auf jedem Fall musst du alle Dateien vor oder während Zurückspielen mit einem aktuellen AV-Scanner checken.

fixe mit hijackthis diese einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)


scanne mit der neusten version von hjt

Ja, einen CD-Brenner habe ich natürlich, aber einige Dateien sind leider größer als 700MB. Als armer Student muss ich erst noch Sparen für Brenner/Festplatte. :dummguck:

Was sagts Du denn zu meinen gefundenen Dateien? Sollte ich das System neu machen oder sind die Trojaner, etc. nicht so "schlimm"?

Noch eine Frage: Habe die ganz Zeit Norton Personal Firewall und Antivirus 2004 (immer aktualisiert) im Einsatz? Sollte ich was anderes kaufen?

Danke

@The Don: JA, ich werde mir die neueste Version holen und naochmal scannen!
Wie ich unten geschrieben habe, habe ich diese Einträge schon alle gefixt.

Wie ist Deine Meinung zu meinen beiden anderen Fragen?
Danke

Jetzt verstehe ich gar nichts mehr. Habe erst eScan nochmal laufen lassen. Der einzige Fehler lag in der Backup-Datein von HijackThis.

Dann nochmal HijackThis und dann das:

Logfile of HijackThis v1.99.1
Scan saved at 20:15:52, on 05.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Netcounter] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Woher kommt die Datei qwsxp.dll immer wieder? Habe sie jetzt wieder gefixt.

Vielen Dank für jede Hilfe.

sorry hab ich falsch verstanden


versuche mal im abgesicherten modus die 4 ersten R1 einträge (fettgedruckt in deinem post) mit HJT zu fixen. system wiederherstellung zuerst ausschalten
und nach dem fixen neustarten und systemwiederherstellung einschalten.

Ja genau das habe ich gemacht. Auch mit Systemwiederherstellung uns so. Escan läuft gerade noch. MS AntiSpyware, Spybot, Adaware haben nix gefunden!

Ich hoffe das bleibt so.

Poste morgen noch ein Logfile von HijackThis.

Hast Du eine Ahnung wo die qwsxp.dll immer wieder her kommt. Ich hatte sie auch zuvor schon gefixt.

Danke

Hallo,
Aber dieses Mal solltest du das Log-File im normalen Modus erstellen und posten.
Es macht wenig Sinn, wenn du nur die Einträge fixed, du musst nachträglich auch diese Datei löschen.

Oh sorry, habe gerade nachgelesen, dass fixen die Dateien nicht entgültig löscht. Aber ich finde die Datei auch nicht mehr, obwohl alle versteckten Dateien, Systemdateien usw. angezeigt werden?

Muss ich sie vor dem fixen löschen?

Danke

Ob davor oder danach ist egal, aber sie muss in einem Aufwasch mit dem fixen im abgesicherten Modus gelöscht werden.

Eventuell gibt es diese Datei auch nicht mehr und diese wurde entweder von Dir oder von einer Sicherheitssoftware entfernt.

Ich denke eher, dass entweder Ad-Aware oder Spybot S&D mittels Immunisierung diese Registry Schlüssel wiederherstellen.
Hast du so eine Option in einen der beiden oder auch in anderen Programmen festgelegt?

Kleines Update: Norton AV hat gerade einen Virus gefunden: C:\WINDOWS\System32\opensdl.exe! Nur offene DSL Verbindung, keine Website, kein IE offen, usw. Wurde vorher nicht gefunden. Woher?

Vielen, vielen Dank für jede Hilfe!

Also ich habe sie im abgesicherten Modus gefixt, bin danach in "System32" und wollte sie löschen, habe sie aber nicht mehr gefunden. Wie gesagt, alle Dateien werden angezeigt. Auch nach Neustart im Normalmodus oder im abgesicherten Modus taucht in HJT nichts mehr auf. eScan läuft gerade mal wieder im abgesicherten Modus.

Das ist eine sehr gute Idee. Also auf "Immunisieren" habe ich bei Spybot zwar nicht geklickt, aber vielleicht ist eine solche Option bei Ad-Aware oder bei Spyboot im Scannen integriert.

Aber warum erstellen diese Programme böse Dateien?

Vielen Dank für Deine Hilfe! :)
Daniel

Hallo,

nachdem ich jeden Tag mit HJT gescannt habe und nichts gefunden wurde, habe ich nun folgendes Logfile bekommen:

Es geht immer wieder um die qwsxp.dll, die scheinbar auftaucht wenn ich mit Microsoft AntiSpyware oder Ad-Aware scanne.

Warum kommt das und was kann ich tun?

Vielen Dank


Logfile of HijackThis v1.99.1
Scan saved at 11:29:34, on 16.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\programme\Quick Time\qttask.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [Netcounter] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

wenn du dein system neubaust und nie online gehst!
 

moin!

dein system is nich gleich clean,nur weil du die datei im scanner gefixt hast - du solltest den bazillus auch löschen. am besten geht das, wenn du die kiste im abgesicherten modus OHNE netzwerktreiber nochmal hochfährst und per eraser die entsprechende datei killst, möglichst mit nem 35er überschreib-modus...

eraser v5.3 [von tolvanen] is einer der besten file killer/eraser, die's für umsonst zu haben gibt, leicht zu konfigurieren + funktioniert via shell extension [datei > re.mouse] auch im safe mode. kannste hier downloaden...

übrigens - spybotS&D, adAware & co. erzeugen nich die bösen files, sondern schreiben zeitgleich zu jeder durchgeführten aktion ein backup, damit bei bedarf das system in den zustand vor den ausgeführten aktionen versetzt werden kann! dafür gibt's auch die entsprechenden ordner in den jeweiligen programmverzeichnissen, die da so eindeutige namen wie BACKUP, INFECTED oda QUARANTINE haben...

und manchmal isses auch ganz angebracht, wenn du dir mal den registry editor [regedit.exe] vornimmst und mal durchstöberst. wenn das zu heftig sein sollte - jv16 powertools oda irgendein anderer empfehlenswerter registry fixer kann dir auch helfen, schlüssel zu bestimmten problemen zu finden und zu killen...

GRUSS,
BADBOI

danke für die antwort.

ich habe bereits gehört, dass ich die datei auch löschen muss. komisch ist nur, dass ich sie weder vor noch nach dem fixen finden kann. alles versteckten dateien, usw. sind sichtbar.

was bedeutet denn ein 35er überschreib-modus?

vielen dank

eraser - löschmodi
 

der 35er überschreibmodus bezieht sich auf den eraser, bei dem festgelegt werden kann, wie oft eine datei mit random data überschrieben werden soll, damit auch nich die kleinsten fragmente davon wiederherstellbar sind - zur auswahl stehen dabei einfaches löschen [überschreiben mit eins und/oda null], drei- und siebenfaches löschen [mit zufällig generierten datensätzen] und 35faches löschen [einsen/nullen und random data abwexelnd].

dass du die infizierende/infizierte datei nich finden kannst, is mir alladinx 'n rätsel. hassu mal gecheckt, ob in den quarantäneverzeichnissen deiner scanner progs irgendwas abgelegt is? oda in den backup-ordnern? durchsuch wirklich mal die registry oda lass sie cleanen, damit du was findest [oda das entsprechende prog] - weil: weg is so'n trojaner nich so einfach...!
was manchmal auch hilft, is per who-is-who der dateien/prozesse alle deine laufenden prozesse zu untersuchen und vielleicht da was zu finden, was nich ganz i.o. is, dann einfach nach der datei googeln und mehr wissen. [hier auf'm board suchen kann auch helfen, so google, wenn ich 'n paar prozesse in die suchleiste hämmer - trojaner-board.de is imma unter den antworten.]

zu deinen dateien - alle dateien und ordner, versteckte und systemdateien und endungen bekannter dateitypen anzeigen lassen - dann müsstest du eigentlich fündig werden und das holzpferd verbrennen können!

GRUSS,
BADBOI