|
EScan bringt einiges zum Vorschein. Hilfe beim entfernen? Sers TB Com Habe heute einfach mal wieder routinemäßig alles aufs neueste Update gebracht und mal wieder durchlaufen lassen. und 'natürlich' leider wieder was gefunden... Hier mal folgend: HiJackThis Log und Escan Auswertung Logfile of HijackThis v1.99.1 Scan saved at 15:43:11, on 20.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Netropa\InetKb\Inetkb.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\Lager\Tools\hjthis\HijackThis.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128783923015 O17 - HKLM\System\CCS\Services\Tcpip\..\{E16EC0B6-C05D-4C89-A345-7FCF164BF03F}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe Der unbekannte Prozess (automatische Auswertung) InetKb.exe ist mir bekannt. So nun der eigentlich fiese Log :) Escan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 14:02:05 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Thu Oct 20 14:02:11 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken. Thu Oct 20 14:12:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Thu Oct 20 15:29:58 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 15:03:11 2005 => File D:\Lager\Tools\kf141.zip tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken. Thu Oct 20 15:03:13 2005 => File D:\Lager\Tools\Microsoft Key Finder - XP - Office.exe tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 14:02:05 2005 => Offending file found: C:\DOKUME~1\Morti\LOKALE~1\Temp\insthelp.dll Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Eigene Dateien\nba live 2005\settings\settings.dat Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temp\insthelp.dll Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\41aruhat\adswrapper[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\41aruhat\common[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\8bsvuvqf\adsend[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\ejwv6tcf\common[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\irqz8deb\common[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\41aruhat\adswrapper[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\41aruhat\common[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\8bsvuvqf\adsend[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\ejwv6tcf\common[1].js Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\irqz8deb\common[1].js Thu Oct 20 14:02:11 2005 => Offending file found: C:\WINDOWS\iun6002.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 15:29:58 2005 => Total Virus(es) Found: 16 Thu Oct 20 15:29:58 2005 => Total Errors: 8 Thu Oct 20 15:29:58 2005 => Time Elapsed: 01:27:40 Thu Oct 20 15:29:58 2005 => Total Objects Scanned: 69288 Thu Oct 20 14:00:24 2005 => Virus Database Date: 2005/10/20 Thu Oct 20 15:29:58 2005 => Virus Database Date: 2005/10/20 Thu Oct 20 15:36:20 2005 => Virus Database Date: 2005/10/20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Da ist ja dann doch einiges zusammen gekommen. AdAware hatte von dem ganzen Spyware kram leider nichts entdeckt... Könnte mir jemand von euch helfen das Zeug vollständig zu entfernen? Wäre euch sehr dankbar. MfG Morti ~~~ Edit: Jotti Online Scan Datei: iun6002.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) |
Lade und update Spybot und lasse das Programm laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ |
SpyBot S&D hatte ich zuvor schon installiert, aktualisiert und durchlaufen lassen. Fand nichts bis auf einen einzigen Eintrag den ich schon entfernt hatte (vor dem EScan) ClearProg: Cookies des IE 10 Cookies 1,616 KB Cache des IE 51 Dateien 780,6 KB Verlauf des IE 19 Einträge 226 Byte URLs des IE 6 Einträge ------ AutoComplete-Einträge des IE 1 Eintrag ------ Opera-Ordner nicht gefunden ! Kein Netscape-Profile gewählt! Papierkorb 0 Dateien 0 Byte User-Temp-Verzeichnis 101 Dateien 25,10 MB System-Temp-Verzeichnis 0 Dateien 0 Byte Ausführen-Einträge im Startmenü 2 Einträge ------ Dokumente im Start-Menü 62 Einträge 46,01 KB Datei-Liste bei Öffnen/Speichern 39 Einträge ------ Datei Such-Liste 2 Einträge ------ Computer Such-Liste 1 Eintrag ------ Netzlaufwerk-Liste 1 Eintrag ------ LastKey bei Regedit 0 Einträge ------ Windows-Zwischenablage ---------- ------ Access Datei-Liste 0 Einträge ------ Excel Datei-Liste 0 Einträge ------ FrontPage Datei-Liste 0 Einträge ------ PowerPoint Datei-Liste 0 Einträge ------ Word Datei-Liste 0 Einträge ------ Publisher Datei-Liste 0 Einträge ------ Datei-Liste des Media Players 0 Einträge ------ Datei-Liste des RealPlayers 0 Einträge ------ Datei-Liste des Photo Editor 3 0 Einträge ------ Datei-Liste von MS Paint 2 Einträge ------ Datei-Liste des Acrobat Reader 0 Einträge ------ Datei-Liste von WordPad 2 Einträge ------ Datei-Liste von GetRight 0 Einträge ------ Suchbegriffe der Google Toolbar 0 Einträge ------ Datei-Liste von WinZip 0 Einträge ------ Datei-Liste von PowerArchiver 0 Einträge ------ ------------------------------------------------------------------------ Gelöschte Anzahl: 299 Einträge/Dateien Gelöschte Datenmenge: 25,91 MB (27.174.889 Byte) Sicher das nun alles weg ist? óÒ Danke für die Hilfe |
Lade Dir jetzt noch den Regseeker und führe eine Bereinigung durch: http://www.zdnet.de/downloads/prg/3/c/de0T3C-wc.html Ob das System sauber ist, kann nur ein erneuter escan zeigen. Lösche aber vorher die Datei mwav.log im Verzeichnis c:\bases_x. |
Jop ist geschehen... meine herren, hatte das des öfteren mal mit Tune Up Utilities 2006 gemacht und dachte eig. das ist ausreichend. aber das prog das du mri empfohlen hast hat trotzdem noch über 100 fehlerhafte einträge gefunden... lass grad noch mal drüberlaufen und bereinige das was da nochma gefunden wird... danach werd ich wohl nochmal nen escan machen.... |
So da hab ich dann jetzt den neuen EScan, vieles ist weg, manches immer noch da. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 17:06:32 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Thu Oct 20 17:06:33 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken. Thu Oct 20 17:10:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Thu Oct 20 17:46:52 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 17:35:46 2005 => File D:\Lager\Tools\kf141.zip tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken. Thu Oct 20 17:35:49 2005 => File D:\Lager\Tools\Microsoft Key Finder - XP - Office.exe tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 17:06:32 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Eigene Dateien\nba live 2005\settings\settings.dat Thu Oct 20 17:06:33 2005 => Offending file found: C:\WINDOWS\iun6002.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Oct 20 17:46:52 2005 => Total Virus(es) Found: 4 Thu Oct 20 17:46:52 2005 => Total Errors: 4 Thu Oct 20 17:46:52 2005 => Time Elapsed: 00:41:48 Thu Oct 20 17:46:52 2005 => Total Objects Scanned: 69669 Thu Oct 20 17:03:00 2005 => Virus Database Date: 2005/10/20 Thu Oct 20 17:46:52 2005 => Virus Database Date: 2005/10/20 Thu Oct 20 21:36:20 2005 => Virus Database Date: 2005/10/20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Die tagged Einträge sind mir bekannt, schädlch wohl nicht oder? Was macht die NBA Live Datei im offending? ;) was hat desn zu bedeuten? Und ja, die infected files. was ist damit zu tun? Hoffe auf weitere Hilfe :) |
Hab leider bisher noch nicht rausgefunden wie ich die entfernen kann -.- |
Eigentlich sollte den Spybot den Cydoor entfernen? Versuche es mal damit: http://www.vollversion.de/download/c...ller_1446.html C:\WINDOWS\iun6002.exe: Solltest Du im abgesicherten Modus löschen. Wenn es nicht geht, benutze die killbox. |
Hrm wenn ich cydoor killer starten will erscheint folgende fehlermeldung: Run-Time Error 339: Component mscomctl.ocx or one of its dependencies not correctly registered: a file is missing or invalid -.- |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board