Smartsurfer trennt die Verbindung

#16 @Grid Reaper
Hast du schon <eScan< geladen ?
http://www.mwti.net/antivirus/free_utilities.asp

die Datei in den Ordner "c:\Bases" (wichtig !) entpacken.
Dann die "kavupd.exe" (Update) ausführen und den Scanner im abgesicherten Modus mit der "mwavscan.exe" starten. Alle Häkchen setzen und "Scan clean" klicken.

Poste, was der Scanner findet (infiziert)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Wie komme ich in den abgesicherten Modus und was ist "mwavscan.com"?

#18 Hi @Grid Reaper

abgesicherter Modus:
http://www.bsi.de/av/texte/winsave.htm

Wenn du den Scanner <eScan< laedst, dann entpacke ihn in C:\base
Dann suchst du eine <kavupd.exe< und klickst drauf.
nun oeffnet sich ein DOS-Fenster und der Scanner laedt die Updates, du musst nur abwarten bis es fertig ist.

Dann gehst du laut Anweisung in den abgesicherten Modus, also F8 beim Hochfahren druecken und suchst eine <mwavscan.exe<
Damit oeffnest du den Scanner.
Setze alle Haeckchen und <Scan clean" klicken<

Dann berichte hier, ob das Tool was gefunden hat.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Shit!
Ich hab ja ne sche... aufm PC ( gehabt ):

File C:\WINNT\system32\drivers\svchost.exe infected by "Worm.Win32.Welchia.b" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\spongebob.ANANAS\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\7AD87711.exe infected by "Backdoor.SdBot.kn" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\05BA5D17 infected by "Backdoor.SdBot.kn" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\05DE2AF0 infected by "Backdoor.Agobot.qh" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\0C5651D2.exe infected by "Worm.Win32.Welchia.b" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\3BB347B3.exe infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\419E07D5.zip infected by "I-Worm.NetSky.b" Virus. Action Taken: File Deleted.

File C:\Recycled\Dc1\2.bin\MY2NS.EXE infected by "not-a-virus:AdvWare.Toolbar.MyWay.b" Virus. Action Taken: File Renamed.

File C:\Recycled\Dc1\2.bin\NPMYWAY.DLL infected by "not-a-virus:AdvWare.Toolbar.MyWay.e" Virus. Action Taken: File Renamed.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.11.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.010103.full 3.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.12.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\fms.2003-06-15.zip tagged as not-a-virus:RiskWare.Dialer.Stardialer. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\esf.2003-08-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\esf.2003-08-01.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.010103.full 3\s2k.hacking.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.11\s2k.hacking.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.12\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

File D:\'n paar sachen\CS\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Downloadz\Parkinso.exe infected by "not-virus:Joke.Win16.Aloap" Virus. Action Taken: File Renamed.

File D:\Downloadz\hit_me.exe infected by "not-virus:Joke.Win32.Stript" Virus. Action Taken: File Renamed.

File D:\Downloadz\lichtknopf.zip tagged as not-a-virus:Simulator.Win16.Click. No Action Taken.


für die blöden smeylies ;-)

#20 Hallo @Grid Reaper
Der Dialer hat ganze Arbeit geleistet...ich hoffe nur, dass deine Telefonrechnung nicht zu hoch ist.
Lies das erst mal, ehe du was loescht:
http://www.dialerschutz.de/home/home.html
http://www.dialerschutz.de/home/Geschadigte/geschadigte.html


Loesche manuell:

D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.11.zip
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.010103.full 3.zip
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.12.zip
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\esf.2003-08-15.zip
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\esf.2003-08-01.zip
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\fms.2003-06-15.zip
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.010103.full 3\s2k.hacking.exe
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.11\s2k.hacking.exe
D:\'n paar sachen\Ser*hier nicht!*\Ser*hier nicht!*2000UPDATES\dtg.12\s2k.update.exe

Dann scanne noch mal mit der mwav.exe im abgesicherten Modus.

mfg
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#21 naja, telenfonrechnung geht noch;
krieg bald dsl. auf sowas hat so ein Dialer aber kein einfluss oder?
erst mal thx für die hilfe ;-)

#22 Du machst dir über Dialer gedanken, obwohl dein System durchzogen von Malware ist und somit nicht mehr dir gehört.
**kopfschüttelnd**
http://oschad.de/wiki/index.php/Kompromittierung

Bemühe Google und lese nach was diese Würmer/Trojaner mit Backdoor Funktionalität können:

Backdoor.SdBot.kn
Backdoor.Agobot.qh
TrojanSpy.Win32.Small.q
Worm.Win32.Welchia.b
I-Worm.NetSky.b
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#23 D.h. ich kann mein ganzes System erstmal platt machen?
na dann...hatte ich sowieso schon länger vor^^

#24 Hallo Grid Reaper,

Zitat

D.h. ich kann mein ganzes System erstmal platt machen?

Das wäre für dich sicherste Lösung, bei anderer Vorgehensweise besteht immer ein Restrisiko.

Zitat

na dann...hatte ich sowieso schon länger vor^^

Eine weise Entscheidung.

Vergiss nicht nach dem Neuaufsetzen und vor der ersten Internet Verbindung dein System abzusichern, denn sonst war alles für die Katz:
http://www.ntsvcfg.de/

Edit:
Deine Passwörter solltest du ebenfalls ändern.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#25 Hi!

Ich hab mal diesen Thread ausgegraben, weil ich das gleiche Problem mit dem Smartsurfer habe...aber leider auch keine Ahnung wie ich es beheben kann.
Hier ist mein logfile, wäre nett wenn mir jemand helfen könnte...

Danke im Voraus


Logfile of HijackThis v1.99.0
Scan saved at 22:41:28, on 25.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Audioprogramme\Winamp\winampa.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: C:\WINDOWS\lbbho.dll - {1712EF58-C1D1-4318-8A59-0787DF5113AF} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Audioprogramme\Winamp\winampa.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B696BC44-8707-4A00-A4A7-6A76658D8094}: NameServer = 195.71.150.179 193.189.244.205
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#26 Hallo@Christian111

SASSER-WURM

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Lade alles Tools:
Lade den Stinger:
http://vil.nai.com/vil/stinger/
Entfernungstool:
http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en
Entfernungstool (Sasser)
von HTTP: http://www.f-secure.com/tools/f-sasser.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: C:\WINDOWS\lbbho.dll - {1712EF58-C1D1-4318-8A59-0787DF5113AF} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe --> (Sasser-Variante)

PC neustarten


# Die Internetverbindung beenden.
# Das Entfernungstool ausführen
# Windows im abgesicherten Modus neu starten.

noch mal scannen

wieder in den Normalmodus gehen

Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP:
Das ist der patch gegen den Sasser-Wurm:
Windows XP deutsch: WindowsXP-KB835732-x86-DEU.EXE
http://www.rrze.uni-erlangen.de/hilfe/security/patches.shtml

danach:
<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
Dann kopiere in die Killbox:

C:\WINDOWS\lbbho.dll
C:\Programme\MySearch\bar\1.bin\S4BAR.DLL

PC neustarten

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
lade--scannen--PC neustarten-->wieder scannen-->poste das Log vom Scann

+ das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Vielen Dank für deine Hilfe.

Hmm...ich hab eigentlich alles so gemacht wie du es geschrieben hast – und jetzt hält die Verbindung auf ein paar Minütchen länger, aber das Problem hab ich immer noch. Allerdings scheint sich der Wurm nur bemerkbar zu machen, wenn ich den SmartSufer benutze, kann das sein?

Die Würmer hab ich alle löschen können, aber irgendwo scheint sich der Sasser ja noch zu verstecken, oder? Hier ist nochmal mein Logfile von HijackThis – vielleicht hast du noch eine Idee was ich machen könnte:

(Die Spyware, die ich mit ad-aware gefunden habe, hab ich unter „Quarantäne gestellt...waren über 200 Stück...)



Logfile of HijackThis v1.99.0
Scan saved at 02:23:54, on 26.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Audioprogramme\Winamp\winampa.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Dokumente und Einstellungen\Christian Host\Desktop\stinger.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Audioprogramme\Winamp\winampa.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#28 Hallo@Christian111

Du musst die WindowsUpdates machen--> Servicepack SP2, dann wird alles besser laufen.

und checke mal deinen PC:

#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases , dann muesstest du in diesem Ordner
eine kavupd.exe finden --> klicken und (Update- in DOS) ausführen
(ist aber auch vielleicht unter Start<Ausfuehren--> %temp%

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Das Update konnte den Fehler beseitigen. Zuvor habe ich mit eScan einen "NewDotNet"-Virus (oder so ähnlich) gefunden und den gelöscht...aber es fror danach wieder ein...

Mit dem Service Pack hat sich das erledigt.

Dank dir nochmals für die Hilfe

#30 Hi !
Auch ich hab die beschriebenen Probleme mit dem Smartsurfer (trotz der neuen version 3.0 ide ich natürlich gleich gesaugt hab)...

So wie ich das mitbekommen habe, habe ich auch gleich alle die programme gesaugt und hier sind erstma die logs von dem Hiijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:40:55, on 09.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
G:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\stand_alone_progs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NetLimiter] G:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "G:\Programme\TuneUp\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{66F98CAE-DF17-42E7-8ACF-FE02FE2519AD}: NameServer = 195.71.247.158 193.189.244.205
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUp\WinStylerThemeSvc.exe



So auch habe ich gleich das Stand-Alone-viren-teil (^^) im abgesicherten modus durchlaufen lassen und das ist das ergebniss :
File C:\Dokumente und Einstellungen\_misTa_\Anwendungsdaten\Mozilla\Firefox\Profiles\x2drt7pp.default\Cache\697F36BDd01 infected by "not-a-virus:AdWare.Gator.3103" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{639C64E9-0996-4F22-A6B4-A683CE0AA009}\RP80\A0301248.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{639C64E9-0996-4F22-A6B4-A683CE0AA009}\RP81\A0301396.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{639C64E9-0996-4F22-A6B4-A683CE0AA009}\RP81\A0311622.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File D:\Installs\DivXPro511Adware.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.
File D:\System Volume Information\_restore{639C64E9-0996-4F22-A6B4-A683CE0AA009}\RP81\A0310406.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.
File G:\System Volume Information\_restore{639C64E9-0996-4F22-A6B4-A683CE0AA009}\RP81\A0311550.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.364. No Action Taken.
File G:\System Volume Information\_restore{639C64E9-0996-4F22-A6B4-A683CE0AA009}\RP81\A0311647.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.364. No Action Taken.



Wed Mar 09 17:35:19 2005 => ***** Scanning complete. *****
Wed Mar 09 17:35:19 2005 => Total Files Scanned: 69643
Wed Mar 09 17:35:19 2005 => Total Virus(es) Found: 8
Wed Mar 09 17:35:19 2005 => Total Disinfected Files: 0
Wed Mar 09 17:35:19 2005 => Total Files Renamed: 0
Wed Mar 09 17:35:19 2005 => Total Deleted Files: 0
Wed Mar 09 17:35:19 2005 => Total Errors: 5
Wed Mar 09 17:35:19 2005 => Time Elapsed: 01:43:52
Wed Mar 09 17:35:19 2005 => Virus Database Date: 2005/03/07
Wed Mar 09 17:35:19 2005 => Virus Database Count: 120659

Wed Mar 09 17:35:19 2005 => Scan Completed.



Sp2 hab ich noch nicht aber habe mich gerade drum gekümmert dass es mir ein freund mit DSL saugt.... und werde es auch morgen installieren !

Hoffe mir kann jemand mit dem plöden Smartsurfer-Problem helfen damit ich endlich wieder in ruhe surfen kann....

mfg

_misTa_

Ps: beim scan hat er nur dieses Adware "not-a-virus" -zeug gefunden .... sind das wirklich keine viren oder müssen die wech ? wenn ja wie ?