Ist nun alles clean??

OberChecker1 · 14.09.2007, 11:30

Moin Leute,

hab hier nen Rechner vom Kumpel. Er hatte mal AntiVir von Avria drüberlaufen lassen, und eine menge Einträge von wegen Trojanern usw. bekommen.

Nun habe ich die aktuelle Version von Kaspersky 7.0 IN-Security, sowie Ad-Aware SE drüberlaufen lassen.
Beide Programme haben zunächst viele Einträge gefunden, die ich dann bereinigt habe.
Nach einem Neu-Start habe ich dann beide Programme erneut laufen lassen, und nichts gefunden.

Lass ich allerdings den E-Scan von Kaspersky drüberlaufen, fängt dieser wieder an zu meckern.
z.B.
- SaveNow Adware
- Smatfinder Adware
- und viele Einträge "Verweis auf ungültiges Objekt"
Es werden jeweils keine Maßnahmen durchgeführt

Es wäre nett, wenn jemand von Euch mal meinen HiJack Log ansehen könnte.

Ist der Rechner nun sauber, oder nicht?
Bzw. welche Maßnahmen würdet Ihr vorschlagen?

Danke für Eure Hilfe,
Gruß Micha

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:18, on 14.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~2\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{464C008D-9601-4436-89AB-A5B2CB9B7B89}: NameServer = 195.50.140.114,195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{464C008D-9601-4436-89AB-A5B2CB9B7B89}: NameServer = 195.50.140.114,195.50.140.252
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5146 bytes

Cleriker · 14.09.2007, 11:42

Hi,

is natürlich jetzt schwierig, alle deine Ausführungen
nachvollziehen zu können. Im Logfile ist erst mal nix
weiter zu sehen. Sei doch bitte so nett und reiche
auch den escan ein. Vieles wird wahrscheinlich
Fehlalarm sein.

mfg Cleriker

OberChecker1 · 14.09.2007, 12:30

Hallo Cleriker,

vielen Dank für die schnelle Antwort.

Mit der Übertragung dies Escan-Protokolls habe ich ein paar Schwierigkeiten:
Es hat über 4800 Seiten und ist 14MB groß.
Das kann ich also leider nicht posten und auch nicht als Anhang einfügen.
Deswegen mal hier die ersten und letzten paar Zeilen.
Vielleicht kannst Du damit ja schon was anfangen?
Oder kannst Du mir vllt. sagen, was ich sonst machen sollte?

Danke, nochmal , Micha

Thu Sep 13 16:11:06 2007 => **********************************************************
Thu Sep 13 16:11:06 2007 => eScan AntiVirus Toolkit Utility.
Thu Sep 13 16:11:06 2007 => Copyright (c) 2003-2006, MicroWorld Technologies Inc.
Thu Sep 13 16:11:06 2007 => **********************************************************
Thu Sep 13 16:11:06 2007 => Source: C:\DOKUME~1\POWERU~1\EIGENE~1\AVTOOL~1\KARSPE~1\mwav.exe
Thu Sep 13 16:11:06 2007 => Version 9.4.2
Thu Sep 13 16:11:06 2007 => Protokolldatei: C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\MWAV.LOG
Thu Sep 13 16:11:06 2007 => MWAV Registered: FALSE.
Thu Sep 13 16:11:06 2007 => User Account: Poweruser (Administrator Mode)
Thu Sep 13 16:11:06 2007 => OS Type: Windows Workstation
Thu Sep 13 16:11:06 2007 => OS: Windows XP
Thu Sep 13 16:11:06 2007 => Ver: Service Pack 2 (Build 2600)
Thu Sep 13 16:11:06 2007 => Windows Root Folder: C:\WINDOWS
Thu Sep 13 16:11:06 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Thu Sep 13 16:11:06 2007 => DHCP NameServer: 192.168.1.1
Thu Sep 13 16:11:06 2007 => Interface0 NameServer: 195.50.140.114,195.50.140.252
Thu Sep 13 16:11:06 2007 => Interface0 DHCPNameServer: 192.168.1.1
Thu Sep 13 16:11:06 2007 => Local Fixed Drives: c:\,d:\
Thu Sep 13 16:11:06 2007 => MWAV Mode: Only Scan files.

Thu Sep 13 16:11:06 2007 => ********** Files created/modified in last fortnight in Windows Folder **********
Thu Sep 13 16:11:06 2007 => C:\WINDOWS\system32\PerfStringBackup.INI (827682), 13-Sep-2007
Thu Sep 13 16:11:06 2007 => ************************************************************************************

Thu Sep 13 16:11:07 2007 => Letztes Datum der MWAV Dateien: 11 Sep 2007 09:14:2.
Thu Sep 13 16:11:13 2007 => AV Bibliothek wird geladen...
Thu Sep 13 16:11:13 2007 => MWAV doing self scanning...
Thu Sep 13 16:11:13 2007 => Scanne Datei C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\getvlist.exe
Thu Sep 13 16:11:13 2007 => Scanne Datei C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\main.avi
Thu Sep 13 16:11:13 2007 => Scanne Datei C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\virus.avi
Thu Sep 13 16:11:13 2007 => Scanne Datei C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\ScanningProcess.exe
Thu Sep 13 16:11:13 2007 => Scanne Datei C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\kave.dll
Thu Sep 13 16:11:13 2007 => Scanne Datei C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\prloader.dll
Thu Sep 13 16:11:13 2007 => MWAV files are clean.
Thu Sep 13 16:11:17 2007 => Virus-Datenbank Datum: 9/11/2007
Thu Sep 13 16:11:17 2007 => Virus-Datenbank Zähler: 413010

Thu Sep 13 16:11:34 2007 => **********************************************************
Thu Sep 13 16:11:34 2007 => eScan AntiVirus Toolkit Utility.
Thu Sep 13 16:11:34 2007 => Copyright (c) 2003-2006, MicroWorld Technologies Inc.
Thu Sep 13 16:11:34 2007 =>
Thu Sep 13 16:11:34 2007 => Support: support@mwti.net
Thu Sep 13 16:11:34 2007 => Web: h**P://www.mwti.net
Thu Sep 13 16:11:34 2007 => **********************************************************
Thu Sep 13 16:11:34 2007 => Version 9.4.2
Thu Sep 13 16:11:34 2007 => Protokolldatei: C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\MWAV.LOG
Thu Sep 13 16:11:34 2007 => User Account: Poweruser
Thu Sep 13 16:11:34 2007 => Windows Root Folder: C:\WINDOWS
Thu Sep 13 16:11:34 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Thu Sep 13 16:11:34 2007 => OS: Windows XP
Thu Sep 13 16:11:34 2007 => Ver: Service Pack 2 (Build 2600)
Thu Sep 13 16:11:34 2007 => Letztes Datum der MWAV Dateien: 11 Sep 2007 09:14:2.

Fri Sep 14 12:59:50 2007 => ***** Scan vollständig. *****

Fri Sep 14 12:59:50 2007 => Gescannte Dateien: 27662
Fri Sep 14 12:59:50 2007 => Gefundene Viren: 6
Fri Sep 14 12:59:50 2007 => Anzahl der desinfizierten Dateien: 0
Fri Sep 14 12:59:50 2007 => Umbenannte Dateien: 0
Fri Sep 14 12:59:50 2007 => Anzahl der gelöschten Dateien: 0
Fri Sep 14 12:59:50 2007 => Anzahl Fehler: 165
Fri Sep 14 12:59:50 2007 => Dauer des Scans bisher: 00:01:34
Fri Sep 14 12:59:50 2007 => Virus-Datenbank Datum: 9/11/2007
Fri Sep 14 12:59:50 2007 => Virus-Datenbank Zähler: 413010

Fri Sep 14 12:59:50 2007 => Scan vollständig.

Cleriker · 14.09.2007, 13:19

Nee, kann ich nicht wirklich

Ist das gleiche, als wenn du
sagst, der hat gescannt und irgendwas gefunden.

Mach mal bitte folgendes:
1) Fixe mit HijackThis folgende Einträge:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

2)* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

OberChecker1 · 14.09.2007, 14:17

Hallo Cleriker,

also dann, ein weiterer Schritt zum "sauberen" System, (oder zum Neu-Aufsetzten...?? )

Danke, Gruß Micha

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/11/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smartfinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with marketscore Spyware/Adware (C:\WINDOWS\system32\ldpackage.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\WINDOWS\system32\ldpackage.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\winhound
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kazaa
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\sites about !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Poweruser\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Rolf\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 68484
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 171
Dauer des Scans bisher: 00:32:22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:10:16,10
Batchende: 15:10:47,15

Cleriker · 14.09.2007, 15:05

Hi nochmal,

das meißte, wie erahnt, Fehlalarme...
Aber die beiden mal bitte bei Virustotal hochladen
(siehe Signatur)

Zitat:

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\system32\ldpackage.dll

Beim zweiten Prozess könnte es sich
sogar um diese Sammlung hier handeln,
die du wahrscheinlich (fast) komplett
entfernt hast.
Poste bitte das komplette Ergebnis, auch
wenn nichts gefunden wird.

Edit: ich würd' dir noch emfehlen, Kazzaa
komplett zu entfernen bzw. erst gar nicht
zu benutzen, bevor du hops-genommen
wirst

mfg Cleriker

OberChecker1 · 17.09.2007, 08:10

Moin Cleriker,

also ich habe jetzt mal diese beiden Dateien bei Virustotal.de gecheckt.
Habe dafür den "Trend Micro Housecall" verwendet.
(was das so von Dir gemeint?)

Der Housecall hat diese beiden Dateien nicht beanstandet.
Da der besagte Rechner aber bei mir nicht ans Netz geht, habe ich die beiden Dateien auf eine CD gepackt, und dann von meinem Rechner gescannt.
Kann das einen Unterschied machen?

Kazaa war wohl mal installaliert. Ist aber schon länger nicht mehr da.
Habe aber nun mal den angezeigten Ordner gelöscht. (Unter "Software" war nichts mehr zu finden)

Tja, meinst Du, dass dieser Rechnen nun wieder vertrauenswürdig ist?

Danke, Gruß Micha

cad · 17.09.2007, 09:14

Zitat:

Zitat von OberChecker1

Moin Cleriker,

also ich habe jetzt mal diese beiden Dateien bei Virustotal.de gecheckt.
Habe dafür den "Trend Micro Housecall" verwendet.
(was das so von Dir gemeint?)

Moin Micha,

Cleriker hat das hier gemeint->
VirusTotal - Free Online Virus and Malware Scan
Den hier kannst Du auch nehmen
Online Malware scan

Grüße cad

OberChecker1 · 17.09.2007, 10:55

Moin cad und Cleriker,

nun habe ich die beiden Dateien auch auf Virustotal.com gecheckt.

Bei der Exe kam nix,
bei der DLL folgendes:

Sunbelt 2.2.907.0 2007.09.15 Marketscore.RelevantKnowledge
Symantec 10 2007.09.17 Spyware.Marketscore

Alle anderen Scanner blieben ruhig.

Bei der DLL hatte Cleriker ja schon was vermutet.
Die Anleitung, die hier zu finden ist, bezieht sich ja aber auf Norton.
Sollte ich nun wohl auch noch Norton (testweise) installieren, um das Ding zu entfernen? (mit der dort gefundenen Beschreibung komme ich leider nicht so ganz klar)
Oder funktioniert nicht auch einfach die DLL zu löschen?

Danke noch mal, Gruß Micha

OberChecker1 · 17.09.2007, 11:09

Ohh menno,

ich habe jetzt mal im Abgesicherten Modus nochmal Kaspersky Internet Secutity 7.0 und Ad-Aware drüberlaufen lassen.
Die finden nix.

Dann noch mal a-Squared free.

Der meckert plötzlich über "Fritz und Fertig.exe" (ist wohl ein Schachprogramm):
Meldung:
"Trojan-Dropper.win32.Glue" - Hohes Risiko

Der Scan bei Virustotal bringt folgendes:

Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious

(alle anderen bleiben mal wieder ruhig).

Ja, was denn nun? Gefahr, oder nicht?
Datei einfach löschen?

Oder etwa doch System neu aufsetzten?

Gruß, (der langsam verzweifelnde) Micha

Cleriker · 17.09.2007, 12:10

Hi du,

deine Ausführungen sind für mich zwar
etwas verwirrend, aber ich würde
folgendes vorschlagen:

* Anleitung Avenger

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete
C:\WINDOWS\system32\ldpackage.dll
....Fritz und Fertig.exe

-> trage aber den kompletten Pfad der Datei ein
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt

Anschließend poste bitte ein aktuellen escan und
sicherheitshalber einen ...

* F-Secure Blacklight – Rootkitscanner:
- hier runterladen F-Secure Blacklight
- mit F-Secure dein System nach Rootkits scannen lassen
- Poste im Anschluss das Ergebnis des Reportes
(die Datei wird im selben Ordner wie das Tool gespeichert)

mfg Cleriker

OberChecker1 · 17.09.2007, 14:03

Ok, also dann auf ein Neues...

Hier zunächst die Log-Datei von Avenger:
(Habe die LDPackage.dll sowie die Fritz und Fertig.exe gelöscht)

########################################

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bjqfvvlk

*******************

Script file located at: \??\C:\WINDOWS\system32\nubltxhx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\ldpackage.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#########################################

Als nächstes die eScan Logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/11/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smartfinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\sites about !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\POWERU~1\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Poweruser\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User2\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User3\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 58662
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 170
Dauer des Scans bisher: 00:23:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:30:48,95
Batchende: 14:31:12,26

######################################
F-Secure hat nichts gefunden, dennoch die Log-Datei:

09/17/07 14:38:58 [Info]: BlackLight Engine 1.0.64 initialized
09/17/07 14:38:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/07 14:38:59 [Note]: 7019 4
09/17/07 14:38:59 [Note]: 7005 0
09/17/07 14:39:08 [Note]: 7006 0
09/17/07 14:39:08 [Note]: 7011 780
09/17/07 14:39:52 [Note]: 7026 0
09/17/07 14:39:52 [Note]: 7026 0
09/17/07 14:39:54 [Note]: FSRAW library version 1.7.1022
09/17/07 14:55:45 [Note]: 7007 0

Noch mal vielen Dank für Eure Hilfe,
Gruß Micha

OberChecker1 · 17.09.2007, 15:05

Also ich würde nun folgendes vermuten:

1.) GPInstall.exe
--> manuell löschen

2.) SaveNow Adware und smartfinder Adware
--> würde ich gerne noch irgendwie wegbekommen. Aber wie??

3.) Registry
--> Whenusave uns Sites about
--> Keys einfach löschen? Manuell? Oder doch lieber irgendwie anders?

Wäre noch mal dankbar für weitere Tipps...!

Gruß Micha

Cleriker · 17.09.2007, 15:30

Hi,

du hast dich aber pinglich

Zitat:

1.) GPInstall.exe
--> manuell löschen

solltest du nicht löschen, gehört zu einem Installer -> klick

Zitat:

2.) SaveNow Adware und smartfinder Adware
--> würde ich gerne noch irgendwie wegbekommen. Aber wie??

Sind irgendwelche Tools von dir, von Seiten escan nur Fehlalarme

Zitat:

3.) Registry
--> Whenusave uns Sites about
--> Keys einfach löschen? Manuell? Oder doch lieber irgendwie anders?

Kannst du manuell löschen, kann aber sein, dass dann
bestimmte Tools nicht mehr funktionieren. Ich würde
als Abschlussaktion folgendes vorschlagen:

* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten

mfg Cleriker

OberChecker1 · 17.09.2007, 15:59

Hallo nochmal,

ich habe nun CCleaner installiert und drüber laufen lassen.

Habe einige Cookies und temporäre IN-Dateien gelöscht.
Es waren einige "verdächtige" Dinger dabei...

Aber was mache ich denn mit den "Windows Log Dateien"?
Da sind eine ganze Menge dabei.
Bringt das was, das mal zu posten?
Oder sollte man von der Bereinigung dieser Dateien lieber absehen?

Gruß Micha

Ist nun alles clean??

Log-Analyse und Auswertung: Ist nun alles clean??