Home » Spyware & Browser Hijacker Support Forum » ALTNET und ISEARCH in eSCAN lassen sich nicht löschen » Themenansicht
ALTNET und ISEARCH in eSCAN lassen sich nicht löschen |
|
|---|---|
|
24.07.2005, 20:13
...neu hier
Beiträge: 2 |
|
 
|
|
|
25.07.2005, 01:55
Member
 Beiträge: 4730 |
#2
Das sieht eigentlich alles in Ordnung aus, auch wenn es sehr viel ist, was Du da laufen hast. Auf die automatische Auswertung kannst Du nicht immer setzen, oder erachtest Du die Internetseite des Rechenzentrums der Leibniz-Uni in München als böse?
Was spricht dagegen, alle wichtigen Dateien zu sichern und Windows neu aufzusetzen? Nachtrag: Wegen der Malware: Schau doch mal, in welchem Ordner sich die Dateien befinden. Und? Kommt Dir eine Idee? Genau! Einfach mal im IE die Temporären Internetdateien löschen  __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 25.07.2005 um 01:58 Uhr von blueslayah editiert.
|
|
|
|
|
25.07.2005, 09:27
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo blueslayah,
vielen Dank für die schnelle Antwort. Du bist mit dem Löschen der temp-Dateien absolut richtig gelegen. Nach dem ich alle temp-Dateien gelöscht habe, ist die isearch-Virusmeldung von eScan weg. Bleibt nur noch altnet. Dazu habe ich aber gelesen, dass es sich dabei um Reste einer Kazaa Installation handeln könnte und dass es ungefählich wäre. Was meinst Du dazu? Das System neu aufzusetzten scheitert momentan an der Zeit. Ich schreibe jetzt eine Arbeit fertig und dass dauert noch ein Paar Wochen. Ich sehe schon, ein Paar Prozesse rauszuschmeissen wäre gar nicht schlecht. Beste Grüße PS. Die LRZ Seite ist sicherlich nicht böse. |
|
|
|
|
25.07.2005, 10:54
Member
Beiträge: 4730 |
#4
Das altnet Dingens sollte keine Gefahr mehr darstellen.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- »
- »
- » Altnet Trojaner: eScan Ergebnisse
- »
- »
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
im Oktober 2004 habe ich die lsass.exe Meldung gehabt, nach der der Rechner heruntergefahren wurde. Das Problem konnte aber behoben werden.
Da ich im Mai 2005 das System nicht mehr auf einer externen Festplatte sichern konnte, habe ich die Festplatten auf Fehler überprüft, wobei auch was repariert wurde.
Danach ist komischer Weise das Problem mit lsass.exe und dem Runterfahren zeitweise wieder da gewesen.
Ausserdem habe ich folgende Auffälligkeiten auf dem Rechner:
1. Beim Anmelden kommt hin und wieder die Meldung "Das Sichrheitsprotokoll ist voll. Es können sich nur Administratoren anmelden"
2. Hin und wieder hat das An- bzw. Abmelden ewig lange gedauert und am Ende nicht funktioniert
3. Sytemsicherung auf einer externen Festplatte ist nach wie vor nicht möglich
Ich habe bis jetzt alles mit folgenden Programmen überprüft:
HijackThis
http://www.hijackthis.de/downloads/hijackthis_199.zip
CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware:
http://www.lavasoft.de/support/download/
Spybot S&D:
http://www.safer-networking.org/de/download/index.html
eScan: (Anleitung zu eScan)
http://www.mwti.net/antivirus/free_utilities.asp
Alles ist jetzt sauber bis auf die eScan Meldung:
--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------
1: Sun Jul 24 16:18:51 2005 => System found infected with isearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.
2: Sun Jul 24 16:22:31 2005 => Scanning File C:\DOKUME~1\RP8D58~1.BAU\LOKALE~1\TEMPOR~1\Content.IE5\Q9G72165\infected6xz[1].gif [**]
3: Sun Jul 24 16:26:39 2005 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\*.*
4: Sun Jul 24 16:36:16 2005 => Scanning File C:\Dokumente und Einstellungen\rp.BAUKO\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9G72165\infected6xz[1].gif [**]
--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------
1: Sun Jul 24 16:33:00 2005 => Scanning File C:\Dokumente und Einstellungen\rp.BAUKO\Eigene Dateien\09_sicherheit\virentest_050722\MWAV_viren_log_tagged_050722.txt [**]
2: Sun Jul 24 16:45:32 2005 => Scanning File C:\Programme\Adobe\InDesign 2.0\Plug-ins\Filters\Tagged Text Attributes.apln
3: Sun Jul 24 16:45:32 2005 => Scanning File C:\Programme\Adobe\InDesign 2.0\Plug-ins\Filters\Tagged Text Export Filter.apln
4: Sun Jul 24 16:45:32 2005 => Scanning File C:\Programme\Adobe\InDesign 2.0\Plug-ins\Filters\Tagged Text Import Filter.apln
--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------
1: Sun Jul 24 16:17:52 2005 => ERROR!!! Invalid Entry C:\WINDOWS\system32\PsaSrv.exe in SYSTEM\CurrentControlSet\Services\PsaSrv...
2: Sun Jul 24 16:18:54 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken.
3: Sun Jul 24 16:18:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
...
--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------
Sun Jul 24 17:46:29 2005 => Total Objects Scanned: 232065
Sun Jul 24 17:46:29 2005 => Total Virus(es) Found: 2
Sun Jul 24 17:46:29 2005 => Total Errors: 913
Sun Jul 24 17:46:29 2005 => Virus Database Date: 2005/07/24
Sun Jul 24 17:46:29 2005 => Virus Database Count: 139655
Anbei als Info Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20:05:42, on 24.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\UltimateZip 2.7\uzqkst.exe
c:\Programme\LRZ VPN Client\vpngui.exe
c:\Programme\LRZ VPN Client\ipseclog.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.m-net.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.lrz-muenchen.de:8080;ftp=ftpproxy1.lrz-muenchen.de:8083;socks=socks.lrz-muenchen.de:1080;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = lrz-muenchen.de;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bauko.bauwesen.tu-muenchen.de
O17 - HKLM\Software\..\Telephony: DomainName = bauko.bauwesen.tu-muenchen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{31CBE331-8AC4-4606-9D2C-75B03EE7C0BE}: NameServer = 212.18.0.5,212.18.3.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AAD74FD-40B8-4BDA-AB2D-BF8ABD9F45E7}: Domain = vpn.lrz-muenchen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AAD74FD-40B8-4BDA-AB2D-BF8ABD9F45E7}: NameServer = 10.156.33.53,129.187.16.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA62ED6E-3FFD-432B-8331-7AC2AD278BFF}: NameServer = 194.25.2.129,217.5.115.77
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bauko.bauwesen.tu-muenchen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.lrz-muenchen.de,bauko.bauwesen.tu-muenchen.de,bauwesen.tu-muenchen.de,tu-muenchen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bauko.bauwesen.tu-muenchen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.lrz-muenchen.de,bauko.bauwesen.tu-muenchen.de,bauwesen.tu-muenchen.de,tu-muenchen.de
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
Der Eintrag wurde durch die automatische Auswertung als böse erkannt, lässt sich aber nicht fixen:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = lrz-muenchen.de;
Es ist ein bisschen viel auf ein mal geworden. Aber ich komme einfach nicht weiter, obwohl ich swchon das ganze Wochenende an der Kiste verbracht habe.
Vielen Dank im Voraus!
Robert