|
Hilfe: eScan findet 129 Viren! Hallo zusammen, nachdem ich heute seit längerer Zeit wiedermal eScan über mein System habe laufen lassen, hat mich fast der Schlag getroffen: 129 Viren und 452 Toital Errors wurden gefunden. Nun habe ich endgültig die Schnauze voll und werde IE gegen Firefox ersetzen und ein umfangreiches Security-Paket mit Firewall und Virenscanner installieren. Hätte ich allerdings schon viel früher machen sollen..... Könntet Ihr bitte den mit Find.bat gefilterten Logfile analysieren und mir Tipps für die Beseitigung der Viren geben? Vielen Dank an alle, die sich erbarmen mir zu helfen! Matze |
Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html MiT Spybot immunisieren. Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Leere den Quarantäneordner des Antivirenprogrammes. Installiere: http://www.ewido.net/de/download/ Poste dann das Ergebnis. Weiterhin neues HJT-log, sowie einen neuen escan. Lösche vorher im verzeichnis C:\bases_x die Datei mwav.log. |
Hallo Felix :daumenhoc , danke für Deine schnelle Antwort. Ich habe mir inzwischen die von Dir genannten Programme alle heruntergeladen. Meintest Du eigentlich CleanUp oder clearprog? War mir nicht ganz sicher, da der von dir gepostete Link (http://www.clearprog.de/) auf clearprog zeigt. Was mache ich eigentlich, nachdem Ad-aware den Scan beendet hat und die gefundenen Fehler anzeigt? Soll ich die die Quarantäne-Funktion nutzen? Leere den Quarantäneordner des Antivirenprogrammes. Welches Antivirenprogramm meinst Du damit? Welches ich auch immer installiert habe oder eines der von Dir genannten Programme? Sollten die entsprechenden Aktionen im abgesicherten Modus und mit deaktivierter Systemwiederherstellung ausgeführt werden? Danke und herzliche Grüße Matze |
Schiebe die Sachen von Ad-Adaware in die Quarantäne. Mit Quarantäneordner des Antivirenprog. meinte ich Dein von Dir installiertes. Vergesse bei Spybot nicht das Immunisieren. Abgesicherter Modus bei Spybot und Ad-adaware-> Da streiten sich die Gelehrten. Versuche es erst mal im Normalmodus. Clearprog:aplaus: Dann mache mal weiter:daumenhoc |
Hallo felix1, ich habe alle von Dir genannten Schritte vollzogen. Immerhin ist die Zahl der von eScan gefundenen Viren von 129 auf 12 gesunken. Ich habe den mvav.log wieder mit Find.bat gefiltert und das Ergebnis unten gepostet. Allerdings sind in der mvav.logi jede Menge Einträge wie diese enthalten, Thu Nov 03 20:40:59 2005 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken. Thu Nov 03 20:40:59 2005 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken. Thu Nov 03 20:41:00 2005 => Offending Key found: HKCU\Software\kazaa !!! Thu Nov 03 20:41:00 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. die aber in der gefilterten Datei nicht angezeigt werden. Wie sind diese zu behandeln? Stellen diese keine Gefahr dar? Hier also nun die gefilterte Datei: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Nov 03 20:40:59 2005 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken. Thu Nov 03 20:40:59 2005 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken. Thu Nov 03 20:41:03 2005 => System found infected with hotbar Spyware/Adware (ctor.dll)! Action taken: No Action Taken. Thu Nov 03 20:41:03 2005 => System found infected with fastfind Spyware/Adware (setup.dll)! Action taken: No Action Taken. Thu Nov 03 20:41:05 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken. Thu Nov 03 20:41:06 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Thu Nov 03 20:41:10 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Thu Nov 03 20:41:10 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken. Thu Nov 03 20:45:42 2005 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\elena\ctthq3ub.slt\Mail\pop.1und1.de\Inbox infected by "Backdoor.Win32.Dumador.dk" Virus! Action Taken: No Action Taken. Thu Nov 03 20:45:52 2005 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\elena\ctthq3ub.slt\Mail\pop.1und1.de\Trash infected by "Backdoor.Win32.Dumador.dk" Virus! Action Taken: No Action Taken. Thu Nov 03 20:54:33 2005 => Scanning File C:\Erwin\e-scan\bases\infected.txt.txt Thu Nov 03 21:30:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Nov 04 00:57:16 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Nov 03 21:01:52 2005 => File C:\Matthias\PC\new_uninstall.exe tagged as "not-a-virus:AdWare.Win32.Lop". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Nov 03 20:41:00 2005 => Offending Key found: HKCU\Software\kazaa !!! Thu Nov 03 20:41:03 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\installshield\professional\runtime\0701\intel32\ctor.dll Thu Nov 03 20:41:03 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\installshield\professional\runtime\0701\intel32\setup.dll Thu Nov 03 20:41:05 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\internet.lnk Thu Nov 03 20:41:06 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 2004\settings\settings.dat Thu Nov 03 20:41:10 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 2004\settings\settings.dat Thu Nov 03 20:41:10 2005 => Offending file found: C:\WINDOWS\iun6002.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 00:57:16 2005 => Total Virus(es) Found: 12 Fri Nov 04 00:57:16 2005 => Total Errors: 458 Fri Nov 04 00:57:16 2005 => Time Elapsed: 04:34:33 Fri Nov 04 00:57:16 2005 => Total Objects Scanned: 261177 Thu Nov 03 20:20:52 2005 => Virus Database Date: 2005/11/01 Fri Nov 04 00:57:16 2005 => Virus Database Date: 2005/11/01 Fri Nov 04 08:37:25 2005 => Virus Database Date: 2005/11/01 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Und, falls es noch passt, das HijackThis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:16:04, on 03.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\sstray.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\PHILIP~1\VProperty.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Tools\Spyware\HijackThis\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098451208671 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Ich hoffe, du kannst etwas damit anfangen... Vielen Dank und viele Grüße Matze |
Lade RegSeeker Sichern vor Löschen anhaken und nur die grünen Funde entfernen! Gehe mal in die Systemsteuerung->Software und entferne Dir unbekannte Programme. Auch Kazaa, ist sowieso nur ein Sicherheitsrisiko. Um den Rest wird sich noch gekümmert:lach: |
@ matze: Was hast Du alles in Deiner Mozilla Inbox? Hast du irgendwelche Dateianhänge geöffnet? Wenn nein, dann laß es auch bleiben und lösche die Inbox komplett und mach dann bitte nochmal einen eScan. Normalerweise sollte dann aber vom Dumador nichts mehr gefunden werden. Und bitte diese Datei: C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawpr oxy.exe mal bei Jotti online scannen lassen und über das Ergebnis berichten. cacatoa |
@ll Wenn ich ehrlich bin, sehe ich hier keinen Grund für eine Diskussion: 129 gemeldeten Viren + kein SP2 = ein guter Anlass, das System neu aufzuspielen und auf den aktuellen Sicherheits-Stand zu bringen. |
Hallo Cacatoa, vielen Dank für Deine Tipps. Ich habe gerade nach der Datei "Interdrawpr oxy.exe" gesucht, konnte sie aber nirgends finden. Kann es sein, dass es sich hierbei nur um einen Registry-Eintrag handelt und die dazugehörige Datei nicht mehr existiert? Falls ja, sollte ich diesen Registry-Eintrag löschen oder ist er harmlos? Ich bin bis morgen nachmittag unterwegs und werde dann die Inbox wegschmeissen und das System nochmal scannen. Bis dahin, danke! Matze |
Hallo, @Rene-gad Also das sehe ich ja ganz anders, 95% der von Escan als Viren bezeichneten Objekte sind gerade mal hauchdünn Spy/Adware und sind mit einem einfachen leeren der TIFs zu beseitigen. Ansonsten liegen noch zwei Backdoors in der Mailbox, die, wenn ungeöffnet, auch harmlos sind, und eine Lop-Verseuchte exe. Woraus sich hier eine Kompromittierung ergeben soll erschließt sich mir nicht und nur weil der User nicht auf dem aktuellsten Patchlevel ist(was allerdings zügigst nachzuholen ist!) kann man doch nicht einfach ein plattmachen empfehlen. Grüße Wildone |
@Wildone Zitat:
|
Hallo, da würde ich wohl verlieren :D Aber mal ganz ehrlich, dieses whenu/savenow Zeug ist nun wirklich nicht gefährlich, soweit ich das überblicken kann (würde es in die Tracking cookies Liga einordnen). Ich denke falls er neu aufsetzen würde, hätte er das ganze auch sehr schnell wieder auf dem Rechner. Unter anderem weil es an den Programmen liegt die er installiert, z.B. den allseits beliebte MessengerPlus3, der wohl gleich den Swizzor mitgeliefert hat: O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawpr oxy.exe Und das mal Backdoors in der Inbox liegen kann man auch durch ein Neuaufsetzen nicht verhindern. Grüße Wildone |
moin alle, seit ein paar tagen versuche ich alles über escan und seine Funde zu erfahren. den hier, von Matze, habe ich auch und der ist auch mein einziger, an dem ich mir die Zähne ausbeiße: >System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.< Und dazu wurde hier noch nichts geschrieben. Ist das vielleicht harmlos? powerstrip ist schließlich ein tuningtool für die Grafikkarte und mir nicht als schädlich bekannt. dazu kommt: ich hatte es vor einem Jahr mal ausprobiert, dann wieder deinstalliert und inzwischen auch die Festplatte neu formatiert. ich weiß nicht, wie das jetzt noch als Spy -, Adware erkannt wird. Ich erbitte Aufklärung. (mein betriebssystem: Win 98 SE) Danke und Grüße widder |
Tja, danke für die vielen Antworten. 's geht ja auch ohne euch. http://www.trojaner-board.de/images/icons/icon16.gif widder |
@widder26 Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:01 Uhr. |
Copyright ©2000-2024, Trojaner-Board