Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Was ist das? - "City Face.exe" bzw. "Admin Window" (https://www.trojaner-board.de/17422-city-face-exe-bzw-admin-window.html)

onetwomore 04.05.2005 18:35
Was ist das? - "City Face.exe" bzw. "Admin Window"
 
Hallo zusammen,

ich hoffe, dass mir jemand helfen kann: Habe eben zufällig einen verdächtigen Eintrag in meinen Startup-Einträgen gefunden. Die Datei heißt "City Face.exe" und ist lokalisiert im Anwendungsdaten-Ordner (genauer: Im Ordner "Coal Road First") unter Dokumente & Einstellungen. Wurde immer mit gestartet und ist ca. 240 kb groß. Adaware hat sich nicht dran gestört, googlen brachte nix zu Tage. Im StartUp-Manager hat sie den Namen "Admin Window".

Jemand eine Idee, bzw. einen Vorschlag, welchen Virenscanner ich mir auf die Platte hauen könnte, um sicher zu gehen?

Danke & Gruß
Chris

cronos 04.05.2005 18:38
Dann lass dir Datei mal hier scannen.Teile uns das Ergebnis mit.
Erstelle zusätzlich noch einen Log mittels Hijackthis :


www.hjt.klaffke.de

und poste diesen hier im Forum.

Edit: 2tem Link ein .de hinzugefügt-sorry

onetwomore 04.05.2005 18:45
Hallo Cronos,

danke für deine schnelle Antwort - hier das Ergebnis des Online-Scans:

Datei: City face.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
Bitte warten...

AntiVir
TR/Dldr.Swizzor.CO gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Swizzor gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Swizzor.co gefunden
mks_vir
Win32.4 gefunden (mögliche Variante)
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Lop.E gefunden
VBA32
Keine Viren gefunden

Dein anderer Link funktioniert so leider nicht ;-)

Was ist das für ein Ding? Schlimm? Woher? Weg damit?

Fragen über Fragen - ich freu mich über deine Antwort!

Grüße
Chris

cronos 04.05.2005 18:47
Zweiter Link funktioniert jetzt wieder.
Poste bitte noch den Log.

onetwomore 04.05.2005 18:51
Hi Cronos,

hier der/das/die/dem Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:49:55, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\SaphirII.W2K\SAPHIRSB.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AIM95\aim.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\Programme\OpinionBar\MyIEMonitor.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099495052400
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/r...allCabinet.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1CD8392-5F8D-4163-B5DF-12923620FB79}: NameServer = 195.50.140.252 145.253.2.174
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Saphir_StandbyXP - HST High Soft Tech GmbH - C:\SaphirII.W2K\SAPHIRSB.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Kannst du damit was anfangen?

Grüße
Christian

cronos 04.05.2005 18:59
1. Es wäre nett, die eben hochgeladene Datei noch bei www.malwareupload.com hochzuladen, da noch nicht alle AV-Hersteller diesen Schädling erkennen.
2. Gehe auch zu deiner eigenen Sicherheit wie folgt vor:

Lade dir Escan: http://www.trojaner-info.de/hijacker/escan

Halte dich bite genau an die o.g. Anleitung.
Führe Escan im abgesicherten Modus aus.
Teile uns danach mit, was gefunden wurde.Dazu:

Zitat:
Zitat von haui45
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

onetwomore 04.05.2005 21:00
Hallo,

schwere Geburt, et voilà:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:46:25 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\bxklbwsv.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:32 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\iyvitpuy.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:40 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\oxhquazu.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:45 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\twzadczl.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:48:19 2005 => File C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\COAL ROAD FIRST\City face.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:49:26 2005 => File C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-4514e5ea-5968f5ed.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:00 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\bxklbwsv.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:07 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\iyvitpuy.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:14 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\oxhquazu.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:19 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\twzadczl.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:10:51 2005 => File C:\Programme\NetPumper\ZM\minime.exe infected by "Trojan-Downloader.Win32.Swizzor.cx" Virus. Action Taken: No Action Taken.
Wed May 04 21:31:16 2005 => Total Disinfected Files: 0
Wed May 04 21:36:04 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:43:55 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed May 04 20:50:19 2005 => File C:\Dokumente und Einstellungen\Christian\Desktop\Programme\Spiele\Civilization\port scanner.exe tagged as not-a-virus:NetTool.Scanner.Scan.12. No Action Taken.
Wed May 04 21:31:15 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 21:31:16 2005 => Total Virus(es) Found: 19
Wed May 04 21:36:04 2005 => Total Virus(es) Found: 0
Wed May 04 21:31:16 2005 => Total Errors: 4
Wed May 04 21:36:04 2005 => Total Errors: 0
Wed May 04 21:31:16 2005 => Time Elapsed: 00:48:43
Wed May 04 21:36:04 2005 => Time Elapsed: 00:00:03
Wed May 04 21:31:16 2005 => Total Objects Scanned: 62359
Wed May 04 21:36:04 2005 => Total Objects Scanned: 33
Wed May 04 20:42:03 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:31:16 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:35:25 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:36:03 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:36:06 2005 => Virus Database Date: 2005/05/04

Habe offensichtliche Notviruses aus der Liste entfernt. Aber woher habe ich mir das Drecksteil nun eingefangen? Vermute ich richtig: Netpumper?

Grüße & Vielen Dank für deine Hilfe!

Christian

cronos 05.05.2005 13:44
Erstelle nun erneut einen Log mittels Hijackthis und poste diesen hier.

cronos 05.05.2005 13:45
Auch die temporären Internetdateien gelöscht?

onetwomore 05.05.2005 16:57
Logfile of HijackThis v1.99.1
Scan saved at 17:52:19, on 05.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\SaphirII.W2K\SAPHIRSB.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\Programme\OpinionBar\MyIEMonitor.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099495052400
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/r...allCabinet.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1CD8392-5F8D-4163-B5DF-12923620FB79}: NameServer = 195.50.140.252 145.253.2.174
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Saphir_StandbyXP - HST High Soft Tech GmbH - C:\SaphirII.W2K\SAPHIRSB.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Interessant: btxppanel.dll ist immer noch aktiv, wurde von escan aber nicht gefunden. Im abgesicherten Modus löschen?

Grüße
Chris

P.S.: Temporäre Dateien habe ich allesamt in die Tonne getreten.

onetwomore 06.05.2005 12:40
Hallo Cronos,

ich warte sehnsüchtig auf deine Antwort ;-)

Grüße
Chris

cronos 06.05.2005 15:15
Das warten hat sich gelohnt ;)

Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-deaktivieren.de

Fixe mittels Hijackthis folgende Einträge:

O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\Programme\OpinionBar\MyIEMonitor.dll
O4 - Global Startup: BTTray.lnk = ?
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/...tallCabinet.CAB
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

Lösche:
C:\WINDOWS\system32\btxppanel.dll
C:\Programme\OpinionBar

Erstelle zur Nachkontrolle einen neuen Log, kannst evtl. mit Escan noch mal checken, ob was gefunden wird

onetwomore 06.05.2005 21:49
Lieber Cronos,

vielen Dank für die xte Hilfestellung - aber eine Frage: Opinionbar möchte ich eigentlich gar nicht löschen, und ich bin mir ziemlich sicher, dass da nichts schlechtes dran ist. Trotzdem löschen?

Und: War Netpumper schuld?

Grüße & nochmal Danke
Christian

onetwomore 08.05.2005 20:14
Onetwomore an Cronos: öchöm.. ;-)

cronos 08.05.2005 20:55
Wenn du dir Opinionbar wissentlich installiert hast, dann lass es drauf.
Netpumper enthält Spyware


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19