Trojaner-Board - "index[2].htm" Adware-Bedrohung gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "index[2].htm" Adware-Bedrohung gefunden (https://www.trojaner-board.de/15136-index-2-htm-adware-bedrohung-gefunden.html)

"index[2].htm" Adware-Bedrohung gefunden

Habe Norton Antivirus und Internet Security. Mit Norton Antivirus habe ich eine Adware-Bedrohung "index[2].htm" gefunden. Wollte diese dann löschen, Norton konnte diese Datei nicht löschen. :koch: Auch hat eine Suche danach nichts gebracht. :mad: Die Datei kann nicht gefunden werden. Wie werde ich dies wieder los und was ist das für eine Datei.

Hi,

Zitat:

Wie werde ich dies wieder los und was ist das für eine Datei.

HTM oder auch HTML = Hypertext Markup Language (HTML) ist ein Dokumentenformat zur Auszeichnung von Hypertext im World Wide Web. Von den Dateiendungen wirst Du mehr auf Deinem PC haben.
ich befürchte aber damit das nicht die einzige Infizierung ist, deshalb schlage ich vor scanne Dein System mal mit eScan. Beschreibung beachten!

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Danke Gigamail, ich habe noch einmal nach gesehen, die Adware ist ein Adware.CDT.
Irgendwie klappt es mit F8 nicht bei mir in den Abgesicherten Modus zu kommen. Gibr es noch einen anderen Weg bei XP.

Hallo,

hier wird ein alternativer Weg beschrieben:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

dartus

Hier ist das Ergebnis von escan, ich habe escan im abgesicherten Modus ausgeführt:

Wed Mar 09 23:24:45 2005 => Total Files Scanned: 126874
Wed Mar 09 23:24:45 2005 => Total Virus(es) Found: 4
Wed Mar 09 23:24:45 2005 => Total Disinfected Files: 0
Wed Mar 09 23:24:45 2005 => Total Files Renamed: 0
Wed Mar 09 23:24:45 2005 => Total Deleted Files: 0
Wed Mar 09 23:24:45 2005 => Total Errors: 12
Wed Mar 09 23:24:45 2005 => Time Elapsed: 06:42:59
Wed Mar 09 23:24:45 2005 => Virus Database Date: 2005/03/09
Wed Mar 09 23:24:45 2005 => Virus Database Count: 120895

Wed Mar 09 23:24:45 2005 => Scan Completed.

Wed Mar 09 23:29:39 2005 => Virus Database Date: 2005/03/09
Wed Mar 09 23:29:39 2005 => Virus Database Count: 120895

Das sind alle Dateien die Escan angezeigt hat im Virus Log

File C:\Dokumente und Einstellungen\Momo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8JAV6V8J\a072ae[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.

File F:\System Volume Information\_restore{DD474DC9-716A-442B-A46B-27D30F07C3CC}\RP65\A0007415.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

File F:\System Volume Information\_restore{DD474DC9-716A-442B-A46B-27D30F07C3CC}\RP75\A0007982.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

File F:\Verschiedenes\ig2_patch13_de.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Ich denke das alles, oder?

@ Brisel

lade Dir Clearprog setze den Haken bei alles löschen und dann ok.
Deaktiviere Deine Systemwiederherstellung neu booten Systemwiederherstellung wieder aktivieren damit sind die

Zitat:

F:\System Volume Information\_restore

weg.

Dann erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Habe Clearprog ausgeführt, alle löschen. Dann die Systemwiederherstellung deaktiviert, neu gebootet, Systemwiederherstellung wieder aktiviert. Hier nun der This Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:35:38, on 10.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Microsoft Works\WkDetect.exe
C:\PROGRA~1\MOUSES~1\bally4d.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAID Tool.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108045802468
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

also Dein Logfile sieht sauber aus
Du kannst mal noch diese beiden Dateien kostenlos auf Malware prüfen lassen siehe dazu meinen Link in der Signatur, aber ich glaube bald die sind sauber. Du
bekommst das Ergebnis dann auch per eMail ca. 1 Tag später

C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e

ansonsten sollte Dein Problem damit gelöst sein. Zur weiteren Empfehlung IE nur noch für Windowsupdate benutzen, Windows immer up to date halten und auf sichere Browser umsteigen
http://www.mozilla.org/
http://filepony.de/download-opera/

Vielen Dank, alles hat geklappt. Es sind keine Einträge mehr vorhanden, ich habe auch noch einmal mit Norton eine Prüfung vorgenommen.