not-a-virus:AdWare.SearchPage
 

Moin ans Board,

habe mir nach mehr als 6 Jahren zum ersten Mal überhaupt einen Virus, in diesem Fall wohl eher einen Trojaner eingefangen, der sich im Frontpage Ordner für meine Webseite in insgesamt 158 Dateien eingenistet hat.

Ich habe heute die neuesten Virensignaturen von GDATA heruntergeladen und während eines nachfolgenden Systemchecks folgten dann die Meldungen.

Da ich mit Viren und anderem Zeugs nun überhaupt keine Erfahrung habe und ich in Sachen PC keine Kapazität bin (habe eher kaum Ahnung), wäre ich dankbar, wenn mir einer in verständlichen Worten mitteilen könnte, was das für ein "Untier" ist, welche Funktion das Ding hat, welchen Folgen das für mich und meinen PC haben kann und wie ich es wieder loswerden kann (wenn es geht, ohne die Dateien zu löschen).

Danke Euch schon mal im Voraus!

Glück auf aus Marl!

Hein

@Nusskohlenhauer
Generell hilft google.de : http://www.mac-net.com/533088.page
Wenn du dir nicht vertraust: http://www.trojaner-board.de/showthread.php?t=17493
BTW:Entschuldige eine dumme Frage: du erstellst die Web-Seiten und
Wie passt das zusammen?

Moin Rene-gad,

danke für die Antwort. Mal schauen, was ich daraus machen kann. Falls etwas nicht klappen sollte (weil ich der englischen Sprache nicht so mächtig bin oder ähnliches...), darf ich mich hoffentlich wieder hier melden...

Und was Deine "dumme Frage" angeht: "Frontpage" ist an sich, wie Du ja bestimmt wissen wirst, sehr bedienerfreundlich und damit mehr oder weniger idiotensicher, so daß selbst so Unwissende wie ich damit klar kommen. Sobald es aber um Dinge geht, die mein Betriebssystem betreffen oder umfangreichere Benutzerprogramme (z.B. "Adobe Photoshop" oder ähnliches) oder auch php-Programmierung, bin ich schnell mit meinem Latein am Ende. Da kriege ich, wie wir Bergleute zu sagen pflegen, "Kohleschiss inne Hose" aus Angst vor Fehlern, die mehr kaputtmachen statt zu helfen. Aber mit dem Problem stehe ich nicht alleine da (glaube ich jedenfalls)...

Hast Du eine Ahnung über die Funktion des angesprochenen Trojaners?

Nochmal Glück auf!

Hein

@Nusskohlenhauer
Es ist ein Hijacker, der leitet den Internet Explorer, der man normalerweise nur für Windows-Updates benutzen darf, auf bestimmte Seiten um. Ich gehe davon aus, dass du Alles umgekehrt machst: Du lässt dein Windows nicht mit Updates vernaschen und surfst mit dem IE, oder ;).

Also: ich bin Deinen Anweisungen gefolgt und habe folgendes Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:07:11, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.der-foerderturm.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119943457546
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1119943188843
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C9EDC0E-F154-448F-A910-1142827396C4}: NameServer = 205.188.146.145
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

wie geht´s jetzt weiter?

Glück auf nach Marl, ;)

Wenn Dein Virenscanner 'aus heiterem Himmel' urplötzlich 158 Datein als infiziert meldet, solltest Du unter Umständen auch einen Fehlalarm in Betracht ziehen. Es sei denn, der Scanner hätte zum ersten Mal die Dateien überprüft.

Ich bitte Dich, eine dieser bemängelten Dateien einmal auf dieser Seite online zu überprüfen und uns das Prüfergebnis mitzuteilen.

Glück auf, Lutz!

Danke für den Tip!

Ich habe wahllos mal drei verschiedene Dateien scannen lassen und, Oh Wunder, es wurden tatsächlich keine Viren gefunden.

Kann ich jetzt davon ausgehen, daß es sich tatsächlich um einen Fehlalarm handelt? Habe gar nicht gewußt, daß es sowas auch gibt...

Gruß

Hein

Mit dem 'davon ausgehen' ist das immer so eine Sache. Wobei im Moment vieles dafür spricht!

Ich würde an Deiner Stelle eine der bemängelten Dateien an den Hersteller des Virenscanners einsenden. Die verdächtige Datei sollte zunächst mit Hilfe eines Packprogrammes, wie z.B. WinRar in ein Archiv gepackt und mit einem Passwort versehen werden. Die eMail sollte eine kurze Problembeschreibung, das erwähnte Passwort und logischerweise den Anhang beinhalten.

Leider muss ich gestehen, dass mir die entsprechende Mailadresse bei GData nicht präsent ist. Solltest Du aus dem Progamm bzw. dem Handbuch keine Informationen hierzu beziehen können, sollte es zur Not folgende Adresse tun: info@gdata.de

Vielleicht hat aber auch einer der anderen Boardies eine entsprechende Mailadresse parat?!?

Leider gibt es so etwas immer wieder. Der Code Deiner Webseiten muss nur einem Virus, Trojaner, ... 'ähneln' und schon ist's passiert.