Trojaner-Board - Immer noch dabei und mittendrin

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Immer noch dabei und mittendrin (https://www.trojaner-board.de/15317-immer-noch-dabei-mittendrin.html)

Immer noch dabei und mittendrin

Hallo,

hab bereits einiges ausprobiert und somit div. infizierte Datein löschen können.
Die Programme adaware und fsecure und escan können keinen Befall mehr feststellen
Ich habe aber immer noch das Problem, dass about:blank auf meinem System rumwurschtelt. Denn es besetzt zwar nicht mehr meine Start-Seite bei IE (habe jetzt Firefox!). Sondern es befindet sich als "leere Seite" beim Drücken dieses Buttons ( zu finden unter Internetoptionen)
Und das gleiche gilt sogar für meinen Firefox-Browser,den ich später auf euren Rat hin runtergeladen habe.

Könnt ihr euch das mal bitte ansehen. Vielen Dank!

Im mwav-log ( natürlich im abges. Modus erstellt ) habe ich nach "infected" suchen lassen:

Mon Feb 28 17:55:17 2005 => File C:\WINDOWS\System32\fdgned.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

wo sitzt denn nun der Hase im Pfeffer, any idea?

Merci

Gabriell

Im abgesicherten Modus erhalte ich folgendes LF:

Logfile of HijackThis v1.99.1
Scan saved at 08:35:47, on 11.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Vedo\LOKALE~1\Temp\Temporäres Verzeichnis 18 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Startprogramm für Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDF1505E-B680-483C-A6DD-2275ABCF7C1A}: NameServer = 213.191.92.86 213.191.74.19
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

Hallo, Gabriell,
bitte das Logfile nicht im abgesicherten Modus erstellen, da laufen ja nicht alle Porzesse.
Also nochmal im Normal-Modus erstellen und posten.
cacatoa

Hi Cacatoa,

Bin wogh mit eScan durcheinander gekommen! Hier mein LF im NICHT abges. Mod.:

Logfile of HijackThis v1.99.1
Scan saved at 14:18:27, on 13.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\WINDOWS\system32\mshta.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Vedo\LOKALE~1\Temp\Temporäres Verzeichnis 21 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Startprogramm für Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDF1505E-B680-483C-A6DD-2275ABCF7C1A}: NameServer = 213.191.92.86 213.191.74.19
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

Also, wenn du als Startseite eine leere Seite festlegst, dann ist das doch in Ordnung.
Dein Logfile ist ebenso o.k.
Die von eScan gefundene Datei löschst Du im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Mit HJT kannst du noch folgende unnötige Sachen fixen:
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

Die Vaio-Sachen (updater etc.) kannst Du deaktivieren, wenn du sie nicht dauernd nutzt.
Anschließend noch ein eScan, um festzustellen, ob alles weg ist.
cacatoa

Zitat:

Ich habe aber immer noch das Problem, dass about:blank auf meinem System rumwurschtelt. Denn es besetzt zwar nicht mehr meine Start-Seite bei IE (habe jetzt Firefox!). Sondern es befindet sich als "leere Seite" beim Drücken dieses Buttons ( zu finden unter Internetoptionen)

Das ist unbedenklich und soll auch so sein.

Hallo Cacatoa,

ich bin nicht ganz sicher, ob du weisst, was ich meine, vielleicht kann ich mich auch nicht richtig ausdrücken:

Wenn ich bei IE auf Internetoptionen gehe, findet sich auf dieser Registerkarte unter "Allgemein" die Buttons "Aktuelle Seite" , "Standard" und leere Seite", die man ja mit einer URL belegen kann. Und wenn ich auf Button "leere Seite" drücke, erscheint da in der Zeile about:blank, was ich nicht weg bekomme. Und das gleiche gilt für meinen neuen Feuerfuchs-Browser.
Deshalb finde ich das etwas ungewöhnlich!

Übrigens, die von dir angegebenen 023 er lassen sich nicht fixen. Dachte mir auch die zu entfernen als ich die automatische Auswertung durchgegangen war.
Und noch was; die von eScan gefundene Datei kann ich nicht finden. Habe im Windows Explorer die beiden entsprechenden Einstellung (wie im Board empfohlen) durchgeführt - versteckteDatein/ UnterDatein!
Wo versteckt sich diese dann?

Gruss Gabriell

Nachtrag:
Ja may, wenns so sein soll, nehem ich es mal hin. Aber komisch ist es schon.

Zitat:

ich bin nicht ganz sicher, ob du weisst, was ich meine, vielleicht kann ich mich auch nicht richtig ausdrücken...Deshalb finde ich das etwas ungewöhnlich!

Wir verstehen dich schon, aber dies ist nunmal so.

Zitat:

Der Internet Explorer öffnet nach jedem Aufruf automatisch die so genannte Startseite und beansprucht dadurch unnötige Verbindungszeit. Um das Laden zu beschleunigen, sollten Sie den Aufruf der Startseite unterbinden. Sie erledigen das unter „Extras/Internetoptionen“ auf der Registerkarte „Allgemein“. Klicken Sie dort auf die Schaltflächen „Leere Seite“ und „OK“.

Quelle: http://www.internet-magazin.de/praxi...pg&artikel=197
Anschliessend steht im Adressfeld des IE's about:blank.
Die O23 Einträge brauchst du nicht fixen.

Hallo Cidre,

Jupp, na da bin ich beruhigt. Dann haben mir eure Hinweise, auch die aus anderen Threads, sehr geholfen.

eScan spuckt auch noch das aus:
Im mwav-log ( natürlich im abges. Modus erstellt ) habe ich nach "infected" suchen lassen:

Mon Feb 28 17:55:17 2005 => File C:\WINDOWS\System32\fdgned.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Zitat:

C:\WINDOWS\System32\fdgned.dll infected by "Trojan.Win32.StartPage.ix

Diese Datei solltest du löschen.

Les dir mal die Links unter 'Lesenswerte Lektüre...', siehe Signatur, durch.

Hallo Cidre,

es hat mich bisher sooo viel Zeit gekostet, den Gegner zu bekämpfen, dass ich mir auf jeden Fall alle empfohlenen Seiten zur Sicherheit des PC durcharbeiten werde.
An dieser Stelle vielen lieben Dank dafür, dass ihr euch die Mühe gemacht habt, mir bisher zu helfen. Wenn ich sehe, wieviele Leidensgenossen sich hier Rat holen von euch... Hut ab!

ich habe eScan (abges. Mod/Deaktivierung) durchlaufen lassen. Es hat keine infizierten Datein gefunden. Doch bei Eingabe von "infected" im Log kam zum Vorschein:

Mon Feb 28 17:57:04 2005 => File C:\DOKUME~1\Vedo\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken

Den Ordner gibt es aber nicht. Habe im Windows Ex gesucht (mit Erweiterungen. Und selbst nachgesehen :crazy: Ich vermutete, dass AdWare den Ordner in die Karantäne genommen hatte, oder so. Jedenfalls schien AdWare was damit zu tun gehabt zu haben, da habe ich das Programm einfach gelöscht. Müsste jetzt eigentlich weg sein. Lasse jetzt nochmals eScan seine Arbeit tun. Mal sehen, was kommt...

Gruss Gabriell

Zitat:

C:\DOKUME~1\Vedo\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage

Diese Einstellungen [1] hast du schon vorgenommen?

[1] Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Zitat:

Jedenfalls schien AdWare was damit zu tun gehabt zu haben, da habe ich das Programm einfach gelöscht.

Musste zwar nicht sein, dass du Ad-Aware deinstallierst...

Hi,

habe in der Zwischenzeit eScan nochmals nach Deinstallieren von AdWare (im abges. Mod) durchlaufen lassen.

Das LogFile findet, wenn ich nach "infected" suchen lasse, folgendes:

Mon Feb 28 17:55:17 2005 => File C:\WINDOWS\System32\fdgned.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Zitat:

Zitat von Cidre

Zum Löschen habe ich ja genau das beachtet. Diese Datei
C:\WINDOWS\System32\fdgned.dll
kann nicht gefunden werden. Ist das nicht merkwürdig? Oder liegt das Problem bei eScan?
(Ich gestehe nämlich, dass ich den Anweisungen, die DAtei in c:\bases zu entpacken nicht folgen konnte, weil beim Downloaden automatisch entpackt wird. Habe auch kavpud.exe nicht gefunden.)
Aber dafür vorhin eScan neu runtergeladen. Somit gehe ich davon aus, dass ich die neueste Version von eScan zum Scannen genutzt habe!?

Du musst ein Zip-Programm zum Entzippen nutzen, und nicht die *.exe automatisch ausführen.

BTW: Wenn dein Browser die exe automatisch ausführt, dann ist er imho kaputt.

Versuch mal, die Datei im abgesicherten Modus zu löschen!

Gruß :daumenhoc
Yopie

Zitat:

Aber dafür vorhin eScan neu runtergeladen. Somit gehe ich davon aus, dass ich die neueste Version von eScan zum Scannen genutzt habe!?

Man sollte davon ausgehen können.

Versuch mal folgendes:
Lade KillBox und kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\System32\fdgned.dll -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die folgenden Fragen jeweils mit JA beantworten und dein System wird neu gestartet.

Zitat:

Zitat von Yopie

Du musst ein Zip-Programm zum Entzippen nutzen,

Ja Yopie, das geht von allein, ratz fatz. Jetzt mal auf Doof gefragt:
"ein Ordner, der entzippt werden muss, hat doch einen Reissverschluss, und ein entzippter ne Klammer, gell?" Jetzt nich Lachen!!!

Öhm, keine Ahnung. Aber das ist doch 'ne Exe, die Du downloadest. Und die will halt manuell in c:\bases entpackt werden, und nicht ratz-fatz automatisch ausgeführt werden. Weil "c:\bases\" wohl wichtig ist. :dummguck:

Gruß :daumenhoc
Yopie

Zitat:

Zitat von Cidre

Versuch mal folgendes:
Lade KillBox und kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\System32\fdgned.dll -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die folgenden Fragen jeweils mit JA beantworten und dein System wird neu gestartet.

Habe ich gerade gemacht und anschliessend (im Abges Mod/Deaktiv.) noch mal mit eScan durchlaufen lassen. Nach wie vor das selbe Ergebnisse, wenn ich "Infected" eingebe.....(der Feind scheint hartnäckig zu sein!)....

Du öffnest aber nicht zufällig immer wieder die alte mwav.log, oder?

Zitat:

Habe ich gerade gemacht und anschliessend (im Abges Mod/Deaktiv.) noch mal mit eScan durchlaufen lassen.

eScan nimmt mitunter 1 Std Zeit in Anspruch!
Poste am Log Ende mal diese Daten:

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

Zitat:

Zitat von Cidre

Du öffnest aber nicht zufällig immer wieder die alte mwav.log, oder?
eScan nimmt mitunter 1 Std Zeit in Anspruch!
Poste am Log Ende mal diese Daten:

Ich glaube nicht, dass es ne alte mwav.log ist, denn
Wenn eScan gescannt hat, gehe ich davon aus, dass das Log dem letzten Scan entspricht...! ?
Ach ja, dachte mir nur, dass diesmal eine Überprüfung von Folder C ausreichen würde, da ja C:\WINDOWS\System32\fdgned.dll im Visier steht. Der Scan dauert bei mir übrigens 1,5 Stunden.
Ich werde dann eScan durch allem laufen lassen.
Ich melde mich dann morgen früh und poste das Ergebnis und wünsche bis dahin eine geruhsame Nacht, Muchachos.

Sun Mar 13 23:48:13 2005 => Total Files Scanned: 207
Sun Mar 13 23:48:13 2005 => Total Virus(es) Found: 0
Sun Mar 13 23:48:13 2005 => Total Disinfected Files: 0
Sun Mar 13 23:48:13 2005 => Total Files Renamed: 0
Sun Mar 13 23:48:13 2005 => Total Deleted Files: 0
Sun Mar 13 23:48:13 2005 => Total Errors: 0
Sun Mar 13 23:48:13 2005 => Time Elapsed: 00:00:16
Sun Mar 13 23:48:13 2005 => Virus Database Date: 2005/03/11
Sun Mar 13 23:48:13 2005 => Virus Database Count: 121166

Zitat:

Ich glaube nicht, dass es ne alte mwav.log ist, denn
Wenn eScan gescannt hat, gehe ich davon aus, dass das Log dem letzten Scan entspricht...! ?

Normalerweise wird sie überschrieben, aber war nur mal ein Gedanke von mir.;)

Buonas noches

Buenos dias und moin, moin ausm frischen Hamburch!

Zitat:

Zitat von Cidre

Poste am Log Ende mal diese Daten:

Das mache ich. Und hier ist`s:

Mon Mar 14 09:58:45 2005 => Total Files Scanned: 70906
Mon Mar 14 09:58:45 2005 => Total Virus(es) Found: 0
Mon Mar 14 09:58:45 2005 => Total Disinfected Files: 0
Mon Mar 14 09:58:45 2005 => Total Files Renamed: 0
Mon Mar 14 09:58:45 2005 => Total Deleted Files: 0
Mon Mar 14 09:58:45 2005 => Total Errors: 26
Mon Mar 14 09:58:45 2005 => Time Elapsed: 01:30:40
Mon Mar 14 09:58:45 2005 => Virus Database Date: 2005/03/11
Mon Mar 14 09:58:45 2005 => Virus Database Count: 121166

Das sieht für mich soweit gut aus. Das mwav.log findet (abges. Mod./Deakt.) dennoch bei Eingabe von "infected" diesen Eintrag:

Mon Feb 28 17:57:04 2005 => File C:\DOKUME~1\Vedo\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Ich vermute dass der Gegener trickreich vorgeht. Denn diese Datei (Pfad) ist nach wie vor nicht zu finden (unter Beachtung der erweitertenWinExpl-Einstellubngen) !!

Hi, nochmal Killbox probieren!
Außerdem clearprog 1.4.1 final runterladen, alle Häkchen bei Window und IE, Einstellungen speichern (zweiter button von links) und auf "löschen" gehen. Dann wenn fertig auf beenden.
Löscht alle temp-files; nach jeder INet-Sitzung anwenden.
cacatoa