Immediate Help needed! ISRVS, Edmond.exe
 

Hallo an alle da draußen,

so - nachdem ich vor ein paar Monaten ein starkes Trojaner-Problem hatte der meinen Rechner lahmlegte besorgte ich mir eine bessere Abwehr.

Ich nutze neben den Windows-Standarddingen Kapersky und Zone Alarm Pro.

Nun habe ich nach heutigen Kasperky-Scan einen neuen Trojaner entdeckt. Das Problem: er läßt sich nicht löschen:

"...kann nicht gelöscht werden. Der Zugriff wurde verweigert" :koch:


Als ich das letzte mal meinen Computer reparieren lies - da ich selber von diesen Vorgängen absolut keine Ahnung habe - kostete mich dies einige hunderter...

Also - könnt ihr mir so helfen?

Folgende Infos:

Datei sitzt unter Windows - Name: isrvs

diese Daten enthält die Datei:

icons
desktop.exe
edmond.exe
ffisearch.exe
isearch.xpi
mfiltis.dll
msdbhk.dll


Isearch fährt bei jedem Start automatisch hoch - läßt sich auch bei "Software" nich löschen...


Ergebenden Dank! ;)

Hallo Phil-Blader,

poste bitte ein HJT logfile
direktdownload
anleitung

mfG
Sword

PS: Das wollte ich immer schon mal machen ^^

ist das ok so?


Logfile of HijackThis v1.99.1
Scan saved at 12:48:47, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\system32\EP3STA.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX01.546\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunOnce: [Desktop Search Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [Bonus Sites Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [iSearch Toolbar Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/036093cec7c7a3c...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{727CC897-7051-4485-86F1-CE4E79354586}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

falsches Thema, mist :)

ähm ja, jetzt warte am besten auf einen Profi der dir hilft aber die hier finde ich mal sehr verdächtig. Sagt dir diese .exe etwas?

O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE

Ok - vielen Dank erstmal...

jetzt hoffe ich daß einem solchen Profi mein Thread ins Auge fällt ;)

Wie ich im abgesicherten Modus umgehe weiß ich bislang nicht.

Erfordert eine Eingabe während des Hochfahrens, richtig?


nein- diese exe sagt mir leider nichts :(


:heulen: :heulen: :heulen:

Das kann ich dir ja einstweilen schonmal erklären.

Start - Ausführen - msconfig in die Textzeile schreiben - Enter - Die Kartei BOOT.INI anwählen - einen Haken bei /SAFEBOOT machen - Neu Starten

Das machst du wenn ein "Profi" die Log begutachtet hat, ich habe zwar ein paar Vermutungen schon was du löschen solltest nur bin NOCH zu unerfahren um sie sicher löschen zu lassen. Mal sehen ob sich meine Vermutungen bestätigen :)

Außerdem solltest du bevor du Einträge löschst auch die Systemwiederherstellung deaktivieren. gehe wie folgt vor:+

Rechtsklick Arbeitsplatz - Eigenschaften - Systemwiederherstellung - Systemwiederherstellung deaktivieren den Haken setzen

Dies solltest du nach dem löschen der Einträge wieder rückgängig machen.

Wenn du den Abgesicherten Modus beenden willst dann mach im Abgesicherten Modus die selben Schritte bis: BOOT.INI Kartei anwählen und nimm den Haken bei /SAFEBOOT wieder weg!

mfG

Hallo @Phil-Blader,

fixe zunächst mal diese Einträge im abgesicherten Modus :
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

Lösche, wenn noch vorhanden, diesen Ordner:
C:\WINDOWS\isrvs

Führe sicherheitshalber auch noch dies aus und poste dann nochmal ein aktuelles HJT Log-File:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Super - vielen Dank bis hierher!

Jetzt suche ich noch nach den Profis die den Swordian fein ergänzen ;) ;)


P.S.: ich nutze nicht IE sondern Firefox...

(keine Ahnung ob das Relevanz hat)

da hast du ihn ja deinen Profi!

meine Vermutungen haben sich bestätigt (zum Teil) ich hätte:

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

die hier auch fixen lassen! War mir nur nicht sicher ob in dem Ordner ALLE Dateien verseucht waren!

@ cidre:
kann ich alle Einträge mit (no file), bzw. (file missing) löschen lassen?

mfG

Das ist eine sehr gute Idee @ Phil. Internet Explorer ist zu Zeiten so vieler Viren einfach zu gefährlich

Mit Firefox hast du eine gute Wahl getroffen. :daumenhoc
Dennoch sollte der IE und das System up to date gehalten werden, aber dazu später mehr.

Im Prinzip, JA.
Zu beachten wäre allerdings, dass einige O23 Einträge auch den Anhang "file missing" zeigen, obwohl sie als laufender Prozess angezeigt werden, siehe http://www.trojaner-board.de/showpos...36&postcount=5.

Okay danke :)

ich beobachte in letzter Zeit euch Profis hier bei der Arbeit, will auch so ein "Trojaner-Board" Helfer werden :party:

mfG
Sword

so - damit ich euch richtig verstehe:

Leider kann ich im abgesicherten Modus keine Internet aufrufen - wie sill ich dann den logfile-scan starten?

Systemwiederhersterstellung ist schon deaktiviert...

die weitere Reihenfolge wäre dann ensprechend:

- abges. Modus starten
- logfilescan durchführen - dazu brauche ich doch Internet um den Link zu aktivieren?
- einträge wie von cidre beschrieben fixen durch häkchen setzen
- ordner isrvs löschen
- jetzt escan ausführen? aber wie? - dazu brache ich wieder Internet für den LInk, oder?-
- dann mwav.log im Ordner C:\bases öffnen und die "tagged" treffer hier posten...

Du brauchst für den Scan mit HijackThis doch keine I-Net verbindung. Das hast du doch schon am PC und kannst checken lassen.

Reihenfolge:

-(im normalen Modus noch) Sys.wdhst. deaktivieren
-abgesicherten Modus (/SAFEBOOT)
-Die HijackThis Datei Starten
-Die Einträge die cidre gesagt hat fixen
-wieder Start - Ausführen - msconfig ... Haken bei /SAFEBOOT wieder weg
-Neu Starten
-Systemwiederherstellung wieder anmachen und hoffen dass es funktioniert!

mfG

Du sollst auch keine Internetverbindung im abgesicherten Modus herstellen!

Nochmal:
1. Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp
2. abgesicherter Modus
3. Einträge fixen und Ordner löschen
4. mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
5. Neustart
6. neues HJT Log-File und die Virus Log Information [1] von eScan posten

[1] Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

ok - soweit alles verstanden...

beim versuch das update kavupd zu laden kommt allerdings die fehlmeldung daß keine verbindung hergestellt werden kann...

hmm.. naja...

ich schätze das das update aber nicht das notwendigste ist?


wenn dem so ist würde ich jetzt mit dem Vorgang beginnen...

Du solltest schon mit den aktuellsten Signaturen arbeiten.

Ich habe grad selbst versucht eScan zu aktualisieren. Beim 1. Mal hatte ich die gleiche Meldung, beim 2. Versuch hat es funktioniert. Also öfter probieren.
Im Gegensatz zum Virenscanner von Kaspersky sucht dieser 'Updater' nur bei einer einizgen ftp-Seite nach Updates. Diese Seite kann schon mal überlastet sein.

so schritte ausgeführt!


hier nun das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:22:39, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\system32\EP3STA.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\MINILOG.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX00.610\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunOnce: [Desktop Search Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [Bonus Sites Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [iSearch Toolbar Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/036093cec7c7a3c...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{727CC897-7051-4485-86F1-CE4E79354586}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





hier die tagged/infectedFile C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.-Dateien von Escan:

File C:\Programme\DivX\DivX Player 2.1\uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\Microsoft Games\FS2002\Scenery\Cadiz\setup\gendel32.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.

File C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\mfiltis.dll infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\virus_ctor.dll infected by "not-a-virus:AdWare.ToolBar.Hotbar.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\dman25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\mfiltis.dll infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\virus_ctor.dll infected by "not-a-virus:AdWare.ToolBar.Hotbar.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\dman25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Total Files Scanned: 144973
Total Virus(es) Found: 17
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 0


was hat es mit dem "no action taken" aufsich? nicht notwenig zu erledigen oder hat es das system nicht gemacht?

also deine log ist meiner meinung nach sauber. also erstmal nix schlimmes mehr drauf. formatieren musst du glaub ich nicht mehr. Du hast doch ein isearch removaltool oder? führ das mal aus. oder hilft das nichts gegen diesen schädling?

edit: No action taken heißt dass es nichts macht. Dies macht es seit Version 4.5.1 nicht mehr (leider). Naja ich weiß nicht ob es reicht wenn du die Dateien löschst ... Du kannst es auf jeden Fall mal versuchen. Also geh in den Abgesicherten Modus wieder mit Deaktivierter Systemwiederherstellung und lösche die benannten dateien. danach nochmal eScan laufen lassen, wieder in den normalen modus und hier melden mit eScan ergebnis.

mfG

also zumindest taucht das isearch-fenster momentan nicht mehr rechts unten auf...

allerdings ist es unter systemsteuerung-softare immer noch als Anwendung zu finden....

dort kann ich es löschen aber nach Neustart taucht es dort unter software wieder auf...

auf der isearch-removal link den ich hier im Forum schon fand bringt keine Änderung...

:heulen:

hmm dann weiß ich auch nciht so genau... lösche mal die datei in der ers gefunden hat mit so wie ichs unten gesagt habe.

mfG

was, wie löchen?

per hand! :)

mfG

was lösche ich wo wie?

bitte genauer erklären!

:)

Alle Dateien die er gefunden hat beim eScan im abgesicherten Modus mit deaktivierter Systemwiederherstellung :party: im Explorer den Pfad angeben und die Datei mit Rechtsklick + Löschen entfernen. Und dann Papierkorb leeren

mfG

am besten alle dateien die mit isearch zu tun haben, richtig?

am besten auch noch die isvrs - dateien, oder?

geh ich da sicher nicht zu viel zu löschen?

und warum stand da immer "no action taken"?

weil er nur in der registrierten version löscht :) deswegen musst du das selber machen. also alle isvrs dateien die er gefunden hat und die die eScan gefunden hat :)

mfG

Start -> Ausführen -> regedit -> OK -> navigiere zu diesem Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Uninstall" -> lösche die Unterschlüssel der auf diesen Eintrag "isearch" verweist.

Wie wäre es, wenn du dich mal mit deinem System befassen würdest.

WIN Taste + F1 drücken -> Datei löschen -> lesen

calme down, cidre :) nur ruhig bleiben :) und immer freundlich sein. wenn du entspannung brauchst dann: :party: nimm ein bierchen. ansonsten: :snyper:

:)

@ Swordian

Ich bin die Ruhe in Person, glaube mir, sonst hätte mein Beitrag anders ausgesehen.;)
Das ist nur ein Denkanstoss für den TO, nicht mehr und nicht weniger.

btw:
Wenn ICH was nicht weiss, dann muss ich es ebenso nachlesen und mich damit beschäftigen, damit ich diese Wissenslücke schliessen kann.

hehe cidre :) na dann. dachte du bist genervt oder gestresst *g*

mfG
Sword

ok - danke! :) :) :)

ich weiss schon wie man löscht - nur wußte ich nicht genau was Swordian meinte...

hab jetzt alles so ausgeführt daß ich die bei escan aufgetauchten Dateien manuell gelöscht habe und den isearch wie eben emfpohlen von cidre...


jetzt wollte ich meinen kaspersky noch mal über alles schicken, aber er hat seinen reg.-schlüssel verloren, ist das normal?

den isrvs-ordner gibt es nun ja immernoch, aber der allein ist nicht schädlich, richtig? er beinhalte u.a. noch eine exe-anwendung mit dem Namen: ffisearch

diese ffsearch auf JEDEN FALL löschen! sowie den gesamten ordner! Steht unten schon alles :zzwhip: das ist nicht normal irgentwie...

warte mal eben bis cidre was sagt :)

@ Swordian

Full Ack.

@ Phil-Blader

Jetzt fällt es mir erst auf, da du ja scheinbar KAV verwendest.
Warum war KAV in deinem erstem Log-File nicht als laufender Prozess aufgeführt?

@ cidre

was heißt full ack.?

mfG

das kann ich nich sagen - sorry...

ist nur seit der Behebung so - daß ich KAV nicht mehr starten kann da er nach einem Schlüssel fragt..

den habe ich nicht - das Programm hat mir damals ein Comp.-Profi installiert bei meinem ersten großen Trojaner-Problem...

@ swordian:

ich tippe auf "acknologe" - engl. für anerkennen! ;)


wenn ich sonst schon nix weiss von der I-World :huepp:

Du meinst "Acknowledge". Das bedeutet Zustimmung.

na wenn das so ist :party: :juul:

also ich muss dann leider off, hoffe dir trotzdem etwas geholfen zu haben!

mfG
Sword

ohjeee... das is natürlich peinlich... :heilig:

mir kams schon falsch vor..


natürlich: acknowledge!!! - joa - die Bedeutung ist simultan und deckungsgleich...


@ cidre: welche Gedanken hast du nun bezügl. KAV?

Zunächst einmal sollte man keine Software einsetzen deren Original man nicht besitzt, also deinstalliere KAV.
Ansonsten könntest du auf sowas ausweichen -> http://www.pcwelt.de/downloads/pcwel...ervice/101842/

Als On Access Scanner könntest du AntiVir PE und als On Demand Scanner weiterhin eScan AntiVirus verwenden.

@ cidre

ok... alles klar..

bezüglich des irsvs-ordners...

im abgesicherten modus den kompletten ordner löschen?


was hatte den nun KAV für eine Rolle bei der Sache, bzw. warum stiess dir das aufeinmal auf?

JA, du solltest meine Posts aufmerksamer durchlesen.

Wenn KAV auf einem System installiert ist, dann ist es eigentlich unsinnig, dass man eScan AntiVirus anwendet, da dieser Scanner auch bzw. ebenso die Signaturen von Kaspersky verwendet.

ja alles löschen :)

hi leute... bin schon am verzweifeln wegen dem dreck... hab mir den heut früh eingefangen und seitdem kämpfe ich dagegen...

ich hab das neueste about-buster, das neueste hijackthis und das neueste ad-aware und ich krieg (im abgesicherten modus) fast alles weg bis auf diese hier:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

und dadurch kommen dann auch immer wieder folgende neu:

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\fppq0375e.dll

gibts denn keine möglichkeit die hosts manuell richtigzustellen und dann einfach schreibzuschützen??? wenn ich unter suche nach "auto.search" oder "ieautosearch" oder "hosts" suche, dann krieg ich weder brauchbare dateien die das beinhalten, noch findet er in der registry irgendwas dazu wo ich den wert richtigstellen könnte :(

also ich kann den isrvs-ordner löschen, ich kann die start-up-einträge wirklich entfernen, etc... nur die falschen host-ips kann ich nicht richtigstellen, die sind sofort wieder falsch :headbang:

bitte, bitte helft mir, damit ich das ding wegbekomme... :heulen:

Hallo,

hast Du schon mal versucht diese Dateien bzw. Ordner im abgesicherten Modus nach dem Fixen zu löschen:

C:\WINDOWS\isrvs
C:\WINDOWS\system32\fppq0375e.dll

Papierkorb leeren.

Die Hosts-Datei befindet sich hier:
C:\windows\system32\drivers\etc\hosts

Alles was mit # gekennzeichnet ist, kann bleiben.
Ohne # sollte nur
127.0.0.1
stehen.

dartus

@ Bazino

Arbeite diesen Thread ab und danach sollte dein Problem gelöst sein.

danke für den tipp, jetzt scheint es endlich besiegt zu sein. muss aber dazusagen, dass man die dortigen anweisungen unbedingt im safe-mode machen muss, sonst nützen sie auch nichts! das steht in dem thread dort nicht dabei...

bei mir hat die mutation einen weiteren ordner erzeugt gehabt der auch nirgends erwähnt ist und zwar direkt auf c:\ einen ordner namens "!submit" der den selben inhalt hatte wie "isrvs"