Trojaner-Board - 35 Viren

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 35 Viren (https://www.trojaner-board.de/20985-35-viren.html)

Nabends Leute,

habe ein riesen Probelm. 35 Viren und jede Menge Errors hat escan entdeckt. Ich weiss, normalerweise gibs da nur eine Lösung und die ist: format c:
allderings habe ich nur eine besch*** Wiederherstellungs-CD von meine Betriebssystem und möchte ungern auf Updates verzichten....wenn ihr versteht.

So könnte mir jemand einen dummen Tipp geben, wie ich am besten aus dieser Miserie wieder rauskomme? Das Logfile von escan ist so unendlich lang, dass ich es hier nicht posten kann, kann nur sagen, dass hinter jedem Fund ein "No Action Taken" steht, was auch immer das bedeuten mag. Aber das Log von HJK kann ich liefern:

Logfile of HijackThis v1.99.1
Scan saved at 21:02:55, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Bases_X\mwavscan.com
C:\Bases_X\kavss.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Eraser] C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Alen Dzaferi\Eraser\eraser.exe -hide
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098777460890
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Problem??? Lösung??? :nixda:

Wenn Du den escan schon gemacht hast, dann poste doch gleich mal das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 19 19:08:01 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Aug 19 19:08:16 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Fri Aug 19 19:17:39 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-227f7880.zip infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken.
Fri Aug 19 20:55:32 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 19 20:33:24 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP39\A0018833.exe tagged as "not-a-virus:AdWare.Gator.3102". Action Taken: No Action Taken.
Fri Aug 19 20:33:45 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP42\A0019089.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Fri Aug 19 20:33:45 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP42\A0019090.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019095.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019096.exe tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019097.exe tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019099.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019100.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019101.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019104.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:47 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019105.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:48 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019106.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:48 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019115.exe tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:33:48 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019117.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Fri Aug 19 20:33:48 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP43\A0019119.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:35:06 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP57\A0019942.exe tagged as "not-a-virus:AdWare.Gator.3102". Action Taken: No Action Taken.
Fri Aug 19 20:35:35 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP66\A0021293.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken.
Fri Aug 19 20:35:35 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP66\A0021294.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022073.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022074.exe tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022075.exe tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022077.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022078.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022079.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022082.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:41 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022083.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:42 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022084.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:42 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022093.exe tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
Fri Aug 19 20:36:42 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022095.dll tagged as "not-a-virus:AdWare.Gator.5017". Action Taken: No Action Taken.
Fri Aug 19 20:36:42 2005 => File C:\System Volume Information\_restore{8955D563-09BE-41D4-B12A-B7BC509EB07C}\RP77\A0022097.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 19 19:02:02 2005 => Offending Folder found: C:\PROGRA~1\myway
Fri Aug 19 19:08:16 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Fri Aug 19 20:55:32 2005 => Total Virus(es) Found: 35
Fri Aug 19 20:55:32 2005 => Total Errors: 696
Fri Aug 19 20:55:32 2005 => Time Elapsed: 01:58:31
Fri Aug 19 20:55:32 2005 => Total Objects Scanned: 86462
Fri Aug 19 18:56:51 2005 => Virus Database Date: 2005/08/19
Fri Aug 19 20:55:32 2005 => Virus Database Date: 2005/08/19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
Danach deaktiviere die Systemwiederherstellung und starte den PC neu.
Schalte die Systemwiederherstellung wieder ein.
Dann lösche die Datei mwav.log im Verzeichnis c:\bases_x und wiederhole den escan. Log-File posten. Gleichzeitig neues HJT, auch posten.
Denke daran: Beim escan abgesicherter Modus

@Derril
update spybot,
installiere AdAware und update es
http://www.lavasoft.de/

lasse diese datei C:\WINDOWS\iun6002.exe
hier online überprüfen http://virusscan.jotti.org/de/
und poste das ergebnis

deaktiviere der systemwiederherstellung
und wechsle in den abgesicherten modus

lasse spybot und danach Adaware scannen, lösche was sie vorschlagen.
lösche danach manuell:
alle dateien in C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\ANWENDUNGSDATEN\SUN\JAVA\DEPLOYMENT\CACHE\JAVAPI\V1.0\JAR
C:\WINDOWS\iun6002.exe
waol.exe
starte danach neu, aktiviere die systemwiederherstellung,
poste die ergebnisse von jotti und ein neues HJT logfile

chaosman

spybot und ad-aware haben nix gefunden
mit cleanup habe ich gelöscht was zu löschen war
C:\WINDOWS\iun6002.exe habe ich gelöscht
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\ANWENDUNGSDATEN\SUN\JAVA\DEPLO YMENT\CACHE\JAVAPI\V1.0\JAR ---- konnte ich nicht finden
waol.exe --- konnte ich nicht finden (waren auch keine versteckten dateien oder so)

die onlineprüfung der datei hat folgendes ergebnis geliefert:

Auslastung: 0% 100%
Datei: iun6002.exe Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
-
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

das neue log von HJK:

Logfile of HijackThis v1.99.1
Scan saved at 23:36:13, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Eraser] C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Alen Dzaferi\Eraser\eraser.exe -hide
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ++tp://v5.windowsupdate.microsoft/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?109877746089
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

um escan noch mal druchzulaufen ist es mir jetzt zu spät, mache ich morgen dann und poste das neuste. bedanke mich schon mal jetzt im voraus.

An dem Log kann ich nichts auffälliges erkennen. Warten wir das Ergebnis vom escan mal ab.

hier das log von find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Aug 21 20:22:22 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun Aug 21 20:30:30 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-227f7880.zip infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken.
Sun Aug 21 21:35:46 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Aug 21 20:16:27 2005 => Offending Folder found: C:\PROGRA~1\myway
Sun Aug 21 21:35:46 2005 => Total Virus(es) Found: 4
Sun Aug 21 21:35:46 2005 => Total Errors: 695
Sun Aug 21 21:35:46 2005 => Time Elapsed: 01:23:15
Sun Aug 21 21:35:46 2005 => Total Objects Scanned: 73859
Sun Aug 21 20:12:15 2005 => Virus Database Date: 2005/08/19
Sun Aug 21 21:35:46 2005 => Virus Database Date: 2005/08/19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

leutchen,

habe immer noch das gleiche problem:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Aug 28 19:43:46 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun Aug 28 19:51:10 2005 => File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-227f7880.zip infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken.
Sun Aug 28 20:59:53 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Aug 28 19:42:27 2005 => Offending Folder found: C:\PROGRA~1\myway
Sun Aug 28 20:59:53 2005 => Total Virus(es) Found: 4
Sun Aug 28 20:59:53 2005 => Total Errors: 695
Sun Aug 28 20:59:53 2005 => Time Elapsed: 01:20:07
Sun Aug 28 20:59:53 2005 => Total Objects Scanned: 74332
Sun Aug 28 19:39:23 2005 => Virus Database Date: 2005/08/19
Sun Aug 28 20:59:53 2005 => Virus Database Date: 2005/08/19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

kann mir jemand helfen? soll ich da wat per hand lösche?

ad-aware und spysearch haben nix gefunden! nur e-scan hat die 4 viren und über 600 errors gemeldet :heulen:

Hallo,
lösche mal folgende Dateien/Ordner:
C:\PROGRAMME\myway
waol.exe ( Dateien suchen )
und dann noch unter Start>>Einstellungen>>Systemsteuerung>JAVA temporäre Internetdateien löschen.
Du könntest auch mal mit einem Registrybereinigungsprogramm über dein System gehen (auf eigene Gefahr), z.B mit Regseeker.

Grüße Wildone

@Wildone

wenn sich’s wirklich um cws.therealsearch handelt, sieh mal diesen Link an, den Cidre mir zu diesem Problem mal gegeben hat.

Aber es fragt sich sowieso erst mal, wo waol.exe liegt bzw. ob mal AOL installiert war/ist? Dazu diese WinTotal-Site .

Könnte sich um einen Fehlalarm handeln, denn die zu cws.therealsearch gehörigen Prozesse laufen ja nicht, soweit ich sehe. Aber die abschließende Beurteilung überlasse ich mal lieber dir/euch Foren-Helfern :)

Gruß, Laudomina

P.S.: eScan mit aktuellen Signaturen wäre natürlich von Vorteil ...

Zitat:

Zitat von Laudomina

@Wildone

wenn sich’s wirklich um cws.therealsearch handelt, sieh mal diesen Link an, den Cidre mir zu diesem Problem mal gegeben hat.

Korrekt!

Zitat:

Aber es fragt sich sowieso erst mal, wo waol.exe liegt bzw. ob mal AOL installiert war/ist? Dazu diese [URL=http://www.wintotal.de/Spyware/index.php?Filter=W]WinTotal-Site[/URL

]

Die Erfahrung zeigt, das Escan keine korrekten AOL-Dateien moniert.

Zitat:

Könnte sich um einen Fehlalarm handeln, denn die zu cws.therealsearch gehörigen Prozesse laufen ja nicht, soweit ich sehe.

Dem könnte so sein oder auch nicht!Am besten cwshredder im abgesicherten und in normalen Modus durchlaufen lassen!

Zitat:

P.S.: eScan mit aktuellen Signaturen wäre natürlich von Vorteil ...

Full ack!

Hi cronos,

Zitat:

Zitat von cronos

Die Erfahrung zeigt, das Escan keine korrekten AOL-Dateien moniert.

meine Erfahrung zeigt leider, dass eScan stets erneut cws.therealsearch (waol.exe) moniert, obwohl CWShredder & andere Tools nix finden, alle Registry-Einträge sauber sind etc. pp.

Und wenn's nicht auf AOL zu beziehen ist, liegt's dann am eScan? Aber das dürfte so pauschal wohl mal wieder nicht zu beantworten sein ;)

Gruß, Laudomina

@ Laudomina

Guter Einwand!

Dazu mal folgender Link:

http://www.nabooisland.com/publications/virenscanner

LG

cronos

okay, die scheiss myway-datei ist gelöscht, waol.exe findet er nicht:

das neue log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 21:33:24 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Mon Aug 29 22:45:23 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 22:45:23 2005 => Total Virus(es) Found: 2
Mon Aug 29 22:45:23 2005 => Total Errors: 695
Mon Aug 29 22:45:23 2005 => Time Elapsed: 01:21:34
Mon Aug 29 22:45:23 2005 => Total Objects Scanned: 74118
Mon Aug 29 21:23:38 2005 => Virus Database Date: 2005/08/29
Mon Aug 29 22:45:23 2005 => Virus Database Date: 2005/08/29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

imma noch zwei gefunden??? :heulen: