Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Vorher vs. nachher. Auffälligkeiten? (https://www.trojaner-board.de/29111-vorher-vs-nachher-auffaelligkeiten.html)

Iowa 09.05.2006 13:06
Vorher vs. nachher. Auffälligkeiten?
 
Hallo!
Hab mir nen Trojaner gefangen und versucht zu bereiningen. Vielleicht schaut ihr Euch nochmal das vorher / nachher - log an.
Sind noch ein paar andere Einträge, wo ich mir nicht so sicher bin was das eigentlich ist. Rot hab ich gefixed, fett bin ich mir nicht sicher was das soll. Ach so ... es war wohl der yaemu.exe. Hatte den regedit eintrag schon vor dem ersten log gelöscht und auch die datei im system32-ordner.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:48:21, on 09.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\totalcmd651\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\hijack\HijackThis-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Syslog] C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - h**p://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {558714D6-8AC5-11D2-BCB7-00A024A866A5} (ScreenShot Control) - h**ps://katalog.stbib-koeln.de/Components/screenshot.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122461357968
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/TJoACydEm_Uy3e88Hwm6jQ1/vod/dmd/WMDownload.cab
O16 - DPF: {DA606A1F-A615-4734-96DD-8C84312D50D5} (SilentPrinter Class) - h**ps://katalog.stbib-koeln.de/Components/PrintHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E0E5728-FB20-4BB4-9ADB-D24DC83B1833}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD92F9E-C26F-4F6A-8949-AF0306BDB964}: NameServer = 85.255.115.68,85.255.112.118
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Autodesk - Unknown owner - C:\Programme\Autodesk Network License Manager\Lmgrd.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

NAch der Säuberung:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:02:30, on 09.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\totalcmd651\TOTALCMD.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijack\HijackThis-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Syslog] C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - h**p://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {558714D6-8AC5-11D2-BCB7-00A024A866A5} (ScreenShot Control) - h**ps://katalog.stbib-koeln.de/Components/screenshot.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122461357968
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/TJoACydEm_Uy3e88Hwm6jQ1/vod/dmd/WMDownload.cab
O16 - DPF: {DA606A1F-A615-4734-96DD-8C84312D50D5} (SilentPrinter Class) - h**ps://katalog.stbib-koeln.de/Components/PrintHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E0E5728-FB20-4BB4-9ADB-D24DC83B1833}: NameServer = 192.168.*.* <---- Mein Router!
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Autodesk - Unknown owner - C:\Programme\Autodesk Network License Manager\Lmgrd.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Danke fürs drüberschaun!
Iowa

cosinus 09.05.2006 13:18
Zitat:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Der kann noch raus. Welcher Trojaner (Name, Fundort) wurde Dir denn angezeigt?

felix1 09.05.2006 13:24
Ich denke nicht, dass das alles war. Unserem allseits beliebten ukrainischen Provider kommt man bestimmt nicht mit bloßem Fixen mit HJT bei.
Führe das mal aus und poste das Ergebnis: Blacklight.

Iowa 09.05.2006 13:46
Also ich habe mir das blacklight beta file runtergeladen und nach hidden files suchen lassen. hat aber nix gefunden!

felix1 09.05.2006 14:00
Sei froh. Mache trotzdem mal noch den escan genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492

Iowa 09.05.2006 16:52
würde ich ja gerne tun ... aber wenn ich die exe entpacke gibt es da kein kavupd.exe und wenn ich die esupdate.exe starte bekomme ich folgendes in die log-datei gehauen:
Zitat:
[ESUPDATE] [0x00000b80] 09/05/2006 17:47:48:953 :ERROR!!! Unable to Get eScan Install Directory from win.ini
Was nun?

cosinus 09.05.2006 17:39
Ich glaube Felix hat Dir versehentlich eine veraltete Anleitung verlinkt.
Schau dir mal diese an.
Bei den neueren eScan (MWAV) Versionen gibt es nämlich keine kavupd.exe mehr, das Update der Signaturen erfolgt aus dem Programm heraus.
Beachte die Anleitung genau, wesentlich Eckpunkte sind:
- Die heruntergeladene Datei MWAV.EXE nach C:\BASES_X entpacken
- Programmsprache in Englisch (damit Hauis FIND.BAT hinhaut)

Iowa 09.05.2006 20:38
So ...
hat alles soweit geklappt.
Nur habe ich den scan nach 2 Stunden erstmal abgebrochen. Werde über Nacht nochmal laufen lassen. Hier schonmal das Log:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({30192f8d-0958-44e6-b54d-331fd39ac959})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with zeropopup Spyware/Adware ({5297e905-1dfb-4a9c-9871-a4f95fd58945})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with zeropopup Spyware/Adware ({95b92d92-8b7d-4a19-a3f1-43113b4dbcaf})! Action taken: No Action Taken.
Tue May 09 19:46:14 2006 => System found infected with smitfraud variant Browser Hijacker (start.html)! Action taken: No Action Taken.
Tue May 09 19:46:14 2006 => System found infected with smitfraud variant Browser Hijacker (homepage.htm)! Action taken: No Action Taken.
Tue May 09 19:46:16 2006 => System found infected with smitfraud variant Browser Hijacker (start.html)! Action taken: No Action Taken.
Tue May 09 19:46:17 2006 => System found infected with smitfraud variant Browser Hijacker (homepage.htm)! Action taken: No Action Taken.
Tue May 09 19:46:12 2006 => Object "egroup Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 09 19:46:13 2006 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
Tue May 09 19:46:16 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:17 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Tue May 09 19:46:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\sbsoft
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue May 09 19:46:12 2006 => Offending Key found: HKCU\Software\egdhtml !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 09 21:18:10 2006 => Total Errors: 6
Tue May 09 21:18:10 2006 => Time Elapsed: 01:32:04
Tue May 09 21:18:10 2006 => Total Objects Scanned: 37569
Tue May 09 21:18:10 2006 => Virus Database Date: 5/9/2006
Tue May 09 21:18:26 2006 => Virus Database Date: 5/9/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cosinus 09.05.2006 21:02
Also...da scheint sich noch etwas Ad-/Spyware in der Registrierung festgekrallt zu haben.
IMHO solltest Du mit einem aktuellen Spybot S&D die weg kriegen, sofern bei allen Einträge, die so aufgebaut sind
Zitat:
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})!
auch keine false-positives von eScan sind. Ansonsten sollte man diese auch manuell wegbekommen können indem man regedit.exe aufruft und die gesamte Registry nach jedem der gemeldeten Hex-Einträge durchforstet und die Einträge vorher backupt und dann entfernt. Jedenfalls hat eScan sich danach nicht mehr beschwert, als ich das mal bei einer Spyware befallenen Kiste gemacht hab. Eignet sich aber nur für erfahrene Anwender, die Registry falsch zu editieren kann böse enden. Daher v.a. bei Registrymanipulationen unbedingt vorher Backups von ihr anlegen!

Dass Du den Smitfraud hast glaube ich nicht, denn die smitfraudtypischen Dateien start.html und homepage.html befinden sich m.E. bewusst und gewollt installiert:
Zitat:
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
Tue May 09 19:46:16 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:17 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
Von daher kein Problem, schätze ich mal.

Noch ein Tipp zum Abschluss: Beim freien eScan (MWAV) kannst Du auch wahweise nur gewisse Bereich abscannen. Wenn der Scan zu lange dauert, kannst Du zuerst mal nur die Systembereiche scannen lassen, also Häkchen setzen bei Memory, Registry, Startup Folders, System Folders, Services. Häkchen bei Drive und Folder nicht setzen aber Option Scan All Files. Das reicht für eine Systemanalyse eigentlich aus.

Achso, das freie Scan erweitert seine Logdatei MWAV.LOG bei jedem Scan, also die alten Einträge bleiben erhalten. Von daher empfiehlt es sich, vor jedem neuen Scan diese Datei zu löschen oder umzubenennen. Jedenfalls war das bisher so.

Iowa 09.05.2006 21:31
Was mich immer schon mal interessiert hat ist:Was kann man eigentlich großartig falsch machen, wenn man in der reg was löscht, umschreibt. Klar, wenn man sich an Systemeinträge herantraut falsche Werte eingibt ... Aber wenn man nur nach installierter Software sucht, die eh nicht mehr auf dem Rechner ist oder halt Einträge im RUN - Schlüssel löscht kann ja nix passieren.
Ich möchte nicht sagen, dass ich ein Kenner der registry bin aber ich habe da schon immer rumgefuscht und bis jetzt ist noch nie was passiert. Ich mach natürlich auch immer vorher n backup ...

Iowa

cosinus 09.05.2006 21:48
Hab ich zwar noch nicht direkt gehört, aber ich kann mir gut vorstellen, dass wenn ein weniger gut Geübter mit Regedit werkelt und dort vllt. aus Versehen mal ein paar wichtige Schlüssel in HKLM\SYSTEM\ löscht, die Kiste dann nicht mehr so will wie sie soll :rolleyes:


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131