Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Was ist das? - "City Face.exe" bzw. "Admin Window" (https://www.trojaner-board.de/17422-city-face-exe-bzw-admin-window.html)

onetwomore 04.05.2005 18:35
Was ist das? - "City Face.exe" bzw. "Admin Window"
 
Hallo zusammen,

ich hoffe, dass mir jemand helfen kann: Habe eben zufällig einen verdächtigen Eintrag in meinen Startup-Einträgen gefunden. Die Datei heißt "City Face.exe" und ist lokalisiert im Anwendungsdaten-Ordner (genauer: Im Ordner "Coal Road First") unter Dokumente & Einstellungen. Wurde immer mit gestartet und ist ca. 240 kb groß. Adaware hat sich nicht dran gestört, googlen brachte nix zu Tage. Im StartUp-Manager hat sie den Namen "Admin Window".

Jemand eine Idee, bzw. einen Vorschlag, welchen Virenscanner ich mir auf die Platte hauen könnte, um sicher zu gehen?

Danke & Gruß
Chris

cronos 04.05.2005 18:38
Dann lass dir Datei mal hier scannen.Teile uns das Ergebnis mit.
Erstelle zusätzlich noch einen Log mittels Hijackthis :


www.hjt.klaffke.de

und poste diesen hier im Forum.

Edit: 2tem Link ein .de hinzugefügt-sorry

onetwomore 04.05.2005 18:45
Hallo Cronos,

danke für deine schnelle Antwort - hier das Ergebnis des Online-Scans:

Datei: City face.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
Bitte warten...

AntiVir
TR/Dldr.Swizzor.CO gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Swizzor gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Swizzor.co gefunden
mks_vir
Win32.4 gefunden (mögliche Variante)
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Lop.E gefunden
VBA32
Keine Viren gefunden

Dein anderer Link funktioniert so leider nicht ;-)

Was ist das für ein Ding? Schlimm? Woher? Weg damit?

Fragen über Fragen - ich freu mich über deine Antwort!

Grüße
Chris

cronos 04.05.2005 18:47
Zweiter Link funktioniert jetzt wieder.
Poste bitte noch den Log.

onetwomore 04.05.2005 18:51
Hi Cronos,

hier der/das/die/dem Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:49:55, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\SaphirII.W2K\SAPHIRSB.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AIM95\aim.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\Programme\OpinionBar\MyIEMonitor.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099495052400
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/r...allCabinet.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1CD8392-5F8D-4163-B5DF-12923620FB79}: NameServer = 195.50.140.252 145.253.2.174
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Saphir_StandbyXP - HST High Soft Tech GmbH - C:\SaphirII.W2K\SAPHIRSB.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Kannst du damit was anfangen?

Grüße
Christian

cronos 04.05.2005 18:59
1. Es wäre nett, die eben hochgeladene Datei noch bei www.malwareupload.com hochzuladen, da noch nicht alle AV-Hersteller diesen Schädling erkennen.
2. Gehe auch zu deiner eigenen Sicherheit wie folgt vor:

Lade dir Escan: http://www.trojaner-info.de/hijacker/escan

Halte dich bite genau an die o.g. Anleitung.
Führe Escan im abgesicherten Modus aus.
Teile uns danach mit, was gefunden wurde.Dazu:

Zitat:
Zitat von haui45
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

onetwomore 04.05.2005 21:00
Hallo,

schwere Geburt, et voilà:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:46:25 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\bxklbwsv.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:32 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\iyvitpuy.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:40 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\oxhquazu.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:45 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\twzadczl.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:48:19 2005 => File C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\COAL ROAD FIRST\City face.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 20:49:26 2005 => File C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-4514e5ea-5968f5ed.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:00 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\bxklbwsv.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:07 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\iyvitpuy.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:14 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\oxhquazu.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:01:19 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\twzadczl.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.
Wed May 04 21:10:51 2005 => File C:\Programme\NetPumper\ZM\minime.exe infected by "Trojan-Downloader.Win32.Swizzor.cx" Virus. Action Taken: No Action Taken.
Wed May 04 21:31:16 2005 => Total Disinfected Files: 0
Wed May 04 21:36:04 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:43:55 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed May 04 20:50:19 2005 => File C:\Dokumente und Einstellungen\Christian\Desktop\Programme\Spiele\Civilization\port scanner.exe tagged as not-a-virus:NetTool.Scanner.Scan.12. No Action Taken.
Wed May 04 21:31:15 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 21:31:16 2005 => Total Virus(es) Found: 19
Wed May 04 21:36:04 2005 => Total Virus(es) Found: 0
Wed May 04 21:31:16 2005 => Total Errors: 4
Wed May 04 21:36:04 2005 => Total Errors: 0
Wed May 04 21:31:16 2005 => Time Elapsed: 00:48:43
Wed May 04 21:36:04 2005 => Time Elapsed: 00:00:03
Wed May 04 21:31:16 2005 => Total Objects Scanned: 62359
Wed May 04 21:36:04 2005 => Total Objects Scanned: 33
Wed May 04 20:42:03 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:31:16 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:35:25 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:36:03 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:36:06 2005 => Virus Database Date: 2005/05/04

Habe offensichtliche Notviruses aus der Liste entfernt. Aber woher habe ich mir das Drecksteil nun eingefangen? Vermute ich richtig: Netpumper?

Grüße & Vielen Dank für deine Hilfe!

Christian

cronos 05.05.2005 13:44
Erstelle nun erneut einen Log mittels Hijackthis und poste diesen hier.

cronos 05.05.2005 13:45
Auch die temporären Internetdateien gelöscht?

onetwomore 05.05.2005 16:57
Logfile of HijackThis v1.99.1
Scan saved at 17:52:19, on 05.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\SaphirII.W2K\SAPHIRSB.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\Programme\OpinionBar\MyIEMonitor.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099495052400
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/r...allCabinet.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1CD8392-5F8D-4163-B5DF-12923620FB79}: NameServer = 195.50.140.252 145.253.2.174
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Saphir_StandbyXP - HST High Soft Tech GmbH - C:\SaphirII.W2K\SAPHIRSB.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Interessant: btxppanel.dll ist immer noch aktiv, wurde von escan aber nicht gefunden. Im abgesicherten Modus löschen?

Grüße
Chris

P.S.: Temporäre Dateien habe ich allesamt in die Tonne getreten.

onetwomore 06.05.2005 12:40
Hallo Cronos,

ich warte sehnsüchtig auf deine Antwort ;-)

Grüße
Chris

cronos 06.05.2005 15:15
Das warten hat sich gelohnt ;)

Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-deaktivieren.de

Fixe mittels Hijackthis folgende Einträge:

O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\Programme\OpinionBar\MyIEMonitor.dll
O4 - Global Startup: BTTray.lnk = ?
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/...tallCabinet.CAB
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

Lösche:
C:\WINDOWS\system32\btxppanel.dll
C:\Programme\OpinionBar

Erstelle zur Nachkontrolle einen neuen Log, kannst evtl. mit Escan noch mal checken, ob was gefunden wird

onetwomore 06.05.2005 21:49
Lieber Cronos,

vielen Dank für die xte Hilfestellung - aber eine Frage: Opinionbar möchte ich eigentlich gar nicht löschen, und ich bin mir ziemlich sicher, dass da nichts schlechtes dran ist. Trotzdem löschen?

Und: War Netpumper schuld?

Grüße & nochmal Danke
Christian

onetwomore 08.05.2005 20:14
Onetwomore an Cronos: öchöm.. ;-)

cronos 08.05.2005 20:55
Wenn du dir Opinionbar wissentlich installiert hast, dann lass es drauf.
Netpumper enthält Spyware


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131