security center "fake" balloon tip ..."your computer might be at risk"

#16 Hallo,

ja, da hast Du Recht mit WinMe. Ansonsten dauert es noch lange mit dem Log. Ich will erstmals aus anderem Betriebssystem HJT nochmals sicher herunterladen, nicht daß eine infizierte Version bekomme.

Ich habe mittlerweile das Log von Zonalarm studiert und es stellt sich heraus, daß viele Anwendungen versuchen, entweder einen DNS an 69.50.184.86 zu senden, deren Adresse nach meiner Ermittlung worldwide unbekannt ist, oder eine Verbindung zu 69.50.190.131 herzustellen. Letztere scheint, der wichtige Anhaltpunkt seit Anfang der Probleme. Dies alles wurde glücklicherweise von ZA gut blockiert und protkolliert.

Entscheidend war es am Anfang das Installieren von Q319243.COM und von MSXMIDI.EXE, die danach gleich einen DNS an 69.50.184.86 zu senden, wobei sich dann IE mit 69.50.190.131 verbinden wollte.

Was mich nun wundert, ist daß AntiVir (R) Internet Update die allererste, die versuchte, sich bei 69.50.186.86:53 nach Updates zu ermitteln... und gleich danach folgten wie oben Q319243.COM und MSXMIDI.EXE. Anschließend oftmals von IE. Bislang macht Firefox das nicht, aber da werde ich unberuhigt, wenn sogar EmC - Programm auf Suche nach ankommende E-Mails auf'm Server - auch DNS nach 69.50.184.86, was wiederum von ZA blockiert worden ist.

Ich melde mich also noch mit dem Log von HJT, wenn es wirklich sinnvoll ist.

Abschließend möchte ich bitte dies wissen: Firefox meldet manchmal wie folgt, bevor die richtige Webseite kommt: "Warnung - das Dokument enthält keine Saten" ... das geht so schnell, daß ich nicht einmal die Zeit kriege, die sichtbare IP-Adresse auf der unteren Leiste abzulesen...

Gruß

#17 Wenn ich mir das so ansehe, dann scheint auf Deinem Rechner allerhand "los" zu sein und ich hege den Verdacht, dass er ziemlich mit Malware durchseucht ist.
Aber, ohne HJT Log kann Dir her keiner weiterhelfen. Was hindert Dich daran, eines zu erstellen und zu posten?
Lade Dir das Prog herunter, scanne Dein System und poste das Log. Kann doch nicht so schwer sein, oder? Bisher hat das noch jeder hinbekommen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#18 Ja, ja, ja, wird es jetzt hier gemacht ... wie schon vorher geschrieben, war ich noch nicht soweit mit HJT, da ich ihn sicherheitshalber aus einem anderen Rechner herunterladen wollte. Wer weiß, wer was richtig aus dem Internet bekommt ;-)

Hier ist das Protokoll aus HJT

+++

Logfile of HijackThis v1.99.1
Scan saved at 17:52:15, on 25.07.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINME\SYSTEM\KERNEL32.DLL
C:\WINME\SYSTEM\MSGSRV32.EXE
C:\WINME\SYSTEM\mmtask.tsk
C:\WINME\SYSTEM\MPREXE.EXE
C:\WINME\SYSTEM\MSTASK.EXE
C:\WINME\SYSTEM\ZONELABS\VSMON.EXE
C:\WINME\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINME\EXPLORER.EXE
C:\WINME\TASKMON.EXE
C:\WINME\SYSTEM\SYSTRAY.EXE
D:\MULTISYSTEM\AVPERSONAL\AVGCTRL.EXE
D:\MULTISYSTEM\TROJANCHECK 6\TCGUARD.EXE
D:\MULTISYSTEM\SMTPAUTH\SMTPAUTH.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
D:\MULTISYSTEM\LOTUS\ORGANIZE\EASYCLIP.EXE
C:\WINME\SYSTEM\RESTORE\STMGR.EXE
D:\MULTISYSTEM\OPENOFFICE\PROGRAM\SOFFICE.EXE
C:\WINME\SYSTEM\WMIEXE.EXE
C:\WINME\SYSTEM\DDHELP.EXE
C:\WINME\SYSTEM\WBEM\WINMGMT.EXE
C:\WINME\SYSTEM\SPOOL32.EXE
E:\INSTALL\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.254
R3 - URLSearchHook: (no name) - {7580FEBF-BBE1-39A4-0E60-EA3B5BF463F9} - TRPT.dll (file missing)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRAMME\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\MULTISYSTEM\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - D:\MULTISYSTEM\SUPERADBLOCKER\SABBHO.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINME\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINME\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINME\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Iomega Startup Options] d:\syswinme\system\iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] d:\syswinme\system\iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINME\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [AVGCtrl] D:\MULTISYSTEM\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\MULTISYSTEM\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINME\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINME\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINME\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [SMTPAuth] D:\MULTISYSTEM\SMTPAUTH\SMTPAUTH.EXE
O4 - HKCU\..\Run: [ZBroadband Router Utility] F:\GATE-MON V3.00.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = D:\MultiSystem\lotus\organize\easyclip.exe
O4 - Startup: Microsoft Office.lnk = D:\MultiSystem\Microsoft Office\Office\OSA9.EXE
O4 - Startup: OpenOffice.org 1.0.1.lnk = D:\MultiSystem\OpenOffice\program\quickstart.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .de/erwerbslose/anlaufpunkte_&_adressen/musterbriefe_alg_ii/anzurechnende_vermoegen: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/257ba076f1619db12f16/netzip/RdxIE601_de.cab
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {7085E4EE-7531-11D8-B7AD-00E04CAB5EB7} (Installer Class) - http://getsafeguard.com/cab/safeguardfree.CAB
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.86,85.255.112.9

+++

Gleich fällt mir auf, daß die letzte Zeile jedenfalls entfernt werden muß und da sind gerade die IP-Adressen, die mir schon oftmals aufgetaucht und von ZA blockiert worden sind.

Ich bin also gespannt, was die Experten hier empfehlen, zu löschen. Es eilt aber nicht, denn ich bin nun aus anderem Betriebssystem. Ich mache mir nämlich zur Gewohnheit, mehrere Partitionen einzurichten, um gleich zu wechseln, wenn eine davon infiziert oder sonst defekt wird, damit ich nach wie das Wichtigste erledigen kann, wie E-Mails senden und empfangen sowie hier in diesem Forum in aller Ruhe zu schreiben ;-)

Gruß aus dem Rheingau

Merlinux

#19 Hier
http://www.hijackthis.de/logfiles/4a97f776dac4cf561d318d850d663fb6.html
kannst Du die Auswertung Deines Logs ansehen und dann alle Dir unbekannten bzw. verdächtigen Einträge mit HJT fixen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#20 Ok, fangen wir ganz oben an: Internet Explorer, wie schon mal von mir erwähnt, auf Version 6 SP1 updaten!

Mit HJT fixen:
R3 - URLSearchHook: (no name) - {7580FEBF-BBE1-39A4-0E60-EA3B5BF463F9} - TRPT.dll (file missing)
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.86,85.255.112.9

Bei folgenden bin ich mir nicht ganz sicher:
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {7085E4EE-7531-11D8-B7AD-00E04CAB5EB7} (Installer Class) - http://getsafeguard.com/cab/safeguardfree.CAB
Plaxo: Die Seite von denen sieht eigentlich relativ vernünftig aus.
Safeguard: das sieht auch nicht wirklich nach Malware aus.

Ansonsten ist dem Log nach alles in Ordnung. Du könntest aber ggf. noch einen Scan mit eScanCheck machen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#21 Danke an alle für die Analysen.

Das hat aber wenig geholfen. Es sieht aus, daß Firefox auch irgendwie infiziert worden ist. Kaum habe ich versucht, darauf zu klicken oder sonst meine Maus darauf zu bewegen, kam gleich die Meldung von AntivirusProgramm, daß TR/Click.526 gerade verschoben wurde und dann wurde Firefoxe geschlossen.

Es sieht aus, daß der Trojaner TR/Click.526 nächstes Mal wieder erstellt oder aktiviert wird, bis das AntivirusProgamm es merkt und ihn wiederum verschiebt. Dies geschah aber ohne Online-Verbindung oder sogar ohne Netwerk zwecks Nachforschung....

Interessanterweise ist TR/Click.526 noch nirgendwo im Internet erwähnt, außer nur zweimal mit mir in diesem Forum. Wer weiß mehr über diesen Trojaner?

Es übrigens Spielchen im Autostart staatgefunden, mit Einträge von anscheinend beliebigen bzw. fiktiven EXe-Dateien, die aber nicht auf Festplatte zu finden waren, wie z.B. dmehx.exe, csyzw.exe, dmson.exe, cstwa.exe etc... irgendwie im Zusammenhang mit HCLEAN32.exe, das auch nicht zu finden ist.

Ich habe aus dem Internet aber ermitteln können und somit bestätigen, was ich schon mal hier gelesen habe, daß CWS.WinSecurityCenter nicht von Microsoft ist sondern zu den Spyware oder so ähnlich gehört.

Ich habe ansonsten eine sehr verdächtige Datei aufgespürt, mit dem Name COMMAND 1KB Verknüpfung mit einer Anwendung für MS-Dos , eben erstellt am Tag der Attacke oder der Infizierung meines PC unter WinMe.

Ich frage mich, ob das zu WinMe gehört oder sonst düfte ich das löschen können. Denn normalerweise von Microsoft heißt das command.com mit 94 KB oder?

Gruß

#22 Hi!

Alternativ mache noch mal nen Escancheck: http://virus-protect.org/escan.html

Vll können wir ja daran was erkennen ;-)

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#23 An alle!

Ich habe den Trojaner TR/Click.526 in einer CAB.Archiv lokalisiert. Den Inhalt kann man leicht mit dem Zip-Programm lesen. Die Exe-Datei heißt RDSNDIN.EXE und wird im Verzeichnis /WinMe/System erstellt, vermutlich sobald man auf einem Explorer klickt oder sonst eine Verbindung über einer Netzwerkkarte (NIC) herstellt und somit aktiviert, wenn ich die Log-Datei richtig verstanden habe.

Das habe ich schon längst gemerkt, daß der Trojaner nicht mehr auftauchte, solange ich nicht mehr auf den Browser von Firefox (offline) ckickte und auch keine Verbindung mit dem Netzwerk herstellte.

Dennoch habe ich nach wie vor das Problem, mit dem Autostart, der unbefugt mit HCLEAN.EXE und mit einigen beliebigen EXE-Dateien eingetragen wird, so daß ich gleich anhand einer Überwachungsprogramms wieder löschen muß.

Diese Datei HCLEAN.EXE ist auch in derselben Archiv wie TR/Click.526 enthalten. Ich sehe darin aber nicht, was das jedesmal beim Booten auslöst. Es sieht sicher lich unsichtbare Coden in diesef Log.Datei für CPY.Dateien Alles zusammen sind ja in eienr CAB.Datie gepackt.

Ich habe zwar die betreffende CAB.Datei auf einer anderen Partition verschoben und nach einem neuen Start, wird es noch versucht, im Autostart mit HCLEAN.EXE usw. hinzufügen. Mir bleibt also noch den Auslöser zu finden. Anscheinend reicht es nicht aus, nur die CAB.Datei zu verschieben oder zu löschen.

Weiß jemand, wie ich dieses Problem nun überwältigen kann?

Außerdem ergänzend zur Information, in bezug auf meiner vorherigen Post, die Adresse von DNS: 69.50.184.86 usw. die, ich mit HJT entfernen konnte, war auch im IE für die Verbindung bzw. Anwahl über das Modem eingetragen. Dort muß auch noch entfernt werden.

Gruß von Merlinux.

#24 Dir muss man aber auch jeden Befehl mehrfach erteilen, bevor Du ihn ausführst, gell? *g*

Also nochmal (aller guten Dinge sind ja bekanntlich drei):
Mach mal ein Check mit eScanCheck: http://virus-protect.org/escan.html

Und bitte das Ergebnis hier posten.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#25 Yup, Du kannst aber auch die eine *.cab Datei löschen...Mach das mal mit dem Escan ;-) und ich schau später noch mal rein.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#26 Hallo,

hier ist das Ergebnis von Escan. Ich habe bloß den Teil "Infected" aufgelistet, außer allen, die schon von Antivirus im Verzeichnis Infected angesammelt worden sind. Vermutlich brauche ich den Rest nicht hier aufzulisten, also die Teile "TAGGED" und "ERRORS", die sicherlich irrelevant sind.

Ich nehme an, ich sollte nun alles unter "INFECTED" per Hand löschen oder? Dies kann ich ja problemlos aus anderem Betriebssystem wie Linux machen...

Aber hier ist eine wichtige Anmerkung:

a) Dateien mit xxx vor oder nach dem Punkt hatte ich selbst aus Verdacht so umbenannt.

b) C:\_RESTORE\ARCHIVE\FS7.CAB ist mir auch verdächtig, schon anhand von Antivirus aber wurde nicht von Escan erkannt.

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Wed Jul 27 21:12:59 2005 => File C:\WINME\SYSTEM\HCLEAN32.EXE infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
2: Wed Jul 27 21:13:06 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
3: Wed Jul 27 21:13:32 2005 => System found infected with MaxSpeed Spyware/Adware (searchx.htm)! Action taken: No Action Taken.
4: Wed Jul 27 21:14:00 2005 => File C:\WINME\msxmidi-xxx.exe infected by "Trojan-Dropper.Win32.Small.abi" Virus! Action Taken: No Action Taken.
5: Wed Jul 27 21:15:32 2005 => File C:\WINME\SYSTEM\winlogon32-xxx.dll infected by "Trojan-Downloader.Win32.Small.baa" Virus! Action Taken: No Action Taken.
6: Wed Jul 27 21:17:39 2005 => File C:\_RESTORE\ARCHIVE\FS1.CAB infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
7: Wed Jul 27 21:17:39 2005 => File C:\_RESTORE\ARCHIVE\FS5.CAB infected by "Trojan.WinREG.StartPage.57" Virus! Action Taken: No Action Taken.
8: Wed Jul 27 21:17:40 2005 => File C:\_RESTORE\ARCHIVE\FS6.CAB infected by "Trojan.WinREG.StartPage.57" Virus! Action Taken: No Action Taken.
9: Wed Jul 27 21:19:00 2005 => File C:\WINME\SYSTEM\winlogon32-xxx.dll infected by "Trojan-Downloader.Win32.Small.baa" Virus! Action Taken: No Action Taken.
10: Wed Jul 27 21:21:30 2005 => File C:\WINME\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-merlinux.reg infected by "Trojan.WinREG.StartPage.57" Virus! Action Taken: No Action Taken.
11: Wed Jul 27 21:21:49 2005 => File C:\WINME\msxmidi-xxx.exe infected by "Trojan-Dropper.Win32.Small.abi" Virus! Action Taken: No Action Taken.

-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINME\SYSTEM\HCLEAN32.EXE => Trojan.Win32.Qhost.qr
2: C:\WINME\msxmidi-xxx.exe => Trojan-Dropper.Win32.Small.abi
3: C:\WINME\SYSTEM\winlogon32-xxx.dll => Trojan-Downloader.Win32.Small.baa
4: C:\_RESTORE\ARCHIVE\FS1.CAB => Trojan.Win32.Qhost.qr
5: C:\_RESTORE\ARCHIVE\FS5.CAB => Trojan.WinREG.StartPage.57
6: C:\_RESTORE\ARCHIVE\FS6.CAB => Trojan.WinREG.StartPage.57
7: C:\WINME\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-merlinux.reg => Trojan.WinREG.StartPage.57
8: D:\MultiSystem\Kommunikation\MIRC\MIRC32.EXE => tagged:Client-IRC.Win32.mIRC.571.
9: D:\MultiSystem\Kommunikation\Panda Future Connection\PANDA.EXE => tagged:RemoteAdmin.Win32.Panda.
10: D:\MultiSystem\Tools\Panda Future Connection\PANDA.EXE => tagged:RemoteAdmin.Win32.Panda.
11: D:\MultiSystem\PrcView\PV.EXE => tagged:Monitor.Win32.PrcView.3724.
12: E:\Backup\Spyware\FS1.CAB => Trojan.Win32.Qhost.qr
13: E:\Download\Network\PrcView.zip => tagged:Monitor.Win32.PrcView.3724.
14: E:\Download\Network\MIRCLEAN.EXE => IRC-Worm.Win32.Testworm
15: E:\Download\pcwelt_8-03\vnc-3.3.7-x86_win32.exe => tagged:RemoteAdmin.Win32.WinVNC-based.c.
16: E:\Download\pcwelt_8-03\StressTools\UDPFLOOD.ZIP => Flooder.Win32.UDP.20

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Wed Jul 27 21:36:00 2005 => Total Objects Scanned: 43942
Wed Jul 27 21:36:00 2005 => Total Virus(es) Found: 51
Wed Jul 27 21:36:01 2005 => Total Errors: 123
Wed Jul 27 21:36:01 2005 => Virus Database Date: 2005/07/27
Wed Jul 27 21:36:01 2005 => Virus Database Count: 140245


Allen vielen Dank für den Tipp und viele Grüße.

#27 Hi!

Datei -> Escanlog einfügen -> es sollten folgende Einträge erscheinen:

Zitat

-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINME\SYSTEM\HCLEAN32.EXE => Trojan.Win32.Qhost.qr
2: C:\WINME\msxmidi-xxx.exe => Trojan-Dropper.Win32.Small.abi
3: C:\WINME\SYSTEM\winlogon32-xxx.dll => Trojan-Downloader.Win32.Small.baa
4: C:\_RESTORE\ARCHIVE\FS1.CAB => Trojan.Win32.Qhost.qr
5: C:\_RESTORE\ARCHIVE\FS5.CAB => Trojan.WinREG.StartPage.57
6: C:\_RESTORE\ARCHIVE\FS6.CAB => Trojan.WinREG.StartPage.57
7: C:\WINME\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-merlinux.reg => Trojan.WinREG.StartPage.57
8: D:\MultiSystem\Kommunikation\MIRC\MIRC32.EXE => tagged:Client-IRC.Win32.mIRC.571.
9: D:\MultiSystem\Kommunikation\Panda Future Connection\PANDA.EXE => tagged:RemoteAdmin.Win32.Panda.
10: D:\MultiSystem\Tools\Panda Future Connection\PANDA.EXE => tagged:RemoteAdmin.Win32.Panda.
11: D:\MultiSystem\PrcView\PV.EXE => tagged:Monitor.Win32.PrcView.3724.
12: E:\Backup\Spyware\FS1.CAB => Trojan.Win32.Qhost.qr
13: E:\Download\Network\PrcView.zip => tagged:Monitor.Win32.PrcView.3724.
14: E:\Download\Network\MIRCLEAN.EXE => IRC-Worm.Win32.Testworm
15: E:\Download\pcwelt_8-03\vnc-3.3.7-x86_win32.exe => tagged:RemoteAdmin.Win32.WinVNC-based.c.
16: E:\Download\pcwelt_8-03\StressTools\UDPFLOOD.ZIP => Flooder.Win32.UDP.20

Häckchen davor setzen -> Delete files r.u.

Zitat

C:\_RESTORE\ARCHIVE\FS7.CAB

http://virus-protect.org/Systemwiederherstellung.html

Aktiviere die Systemwiederherstellung nach der Reinigung des Systems und alles ist wieder in Butter.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#28 Wobei angemerkt werden muss, dass nicht alle Dateien unbedingt schlecht sein müssen. Ich spreche jetzt von:

7: C:\WINME\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-merlinux.reg => Trojan.WinREG.StartPage.57
-> Systemsnapshot vom Spybot S&D

8: D:\MultiSystem\Kommunikation\MIRC\MIRC32.EXE => tagged:Client-IRC.Win32.mIRC.571
-> MIRC-Client

9: D:\MultiSystem\Kommunikation\Panda Future Connection\PANDA.EXE => tagged:RemoteAdmin.Win32.Panda.
-> Visual Remote Control

10: D:\MultiSystem\Tools\Panda Future Connection\PANDA.EXE => tagged:RemoteAdmin.Win32.Panda.
-> Allerdings wohl zweimal installiert.

11: D:\MultiSystem\PrcView\PV.EXE => tagged:Monitor.Win32.PrcView.3724.
13: E:\Download\Network\PrcView.zip => tagged:Monitor.Win32.PrcView.3724.
-> ProzessViewer, sollte auch legitim sein

14: E:\Download\Network\MIRCLEAN.EXE => IRC-Worm.Win32.Testworm
-> Dabei handelt es sich vermutlich um ein Programm, um gerade den MIRC-Wurm zu entfernen

15: E:\Download\pcwelt_8-03\vnc-3.3.7-x86_win32.exe => tagged:RemoteAdmin.Win32.WinVNC-based.c.
16: E:\Download\pcwelt_8-03\StressTools\UDPFLOOD.ZIP => Flooder.Win32.UDP.20
-> Muss man wissen, ob man die Dateien behalten möchte. Ich schätze, sie kommen von der PC-Welt-CD und sind somit als harmlos einzustufen.

eScan macht einige Fehlalarme
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#29 Hallo blueslaya,

ich habe leider schon unter 7 gelöscht. Ist das so schlimm? Ich könnte aber wohl wieder Spybot S&D wieder installieren oder?

Außerdem hat es mit Tea Time von S&D nie richtig funktioniert, wobei die Einträge von Viren oder Trojanern immer wieder damit hinzugefügt wurden, so daß ich wiederum mit Safeguard rückgängig machen mußte.

Die gute Nachricht ist aber, daß ich jetzt mit WinMe ohne Zwischenfälle wieder online bin. TR/Click.526 und HCLEAN.EXE u.a.m sind weg. Der Balloon erscheint auch nicht mehr etc....

Daß der Browser Firefox plötzlich verkleinert wird, ist es noch so merkwürdig, daß ich mich nicht zu früh freuen möchte...

Ich habe außerdem auch SypwareGuard immer aktiv und das ist prima so. Ich habe auch SpywareBlaster, das erst jetzt richtig funktioniert. Vorher konnte ich nicht einmal dieses Programm starten, offenbar von Viren oder von Trojanern verhindert.....

Dennoch um wieder im Internet zu surfen, mußte ich wieder die DNS-Adressen bei den TCP/IP der Netzwerkkarte eintragen, denn sie waren merkwürdigerweise gelöscht.

Also jetzt bin ich gespannt, wie lang das noch hält.

Noch einen schönen Abend :-))

Merlinux

P.S. jetzt kann ich auf Urlaub fliegen, d.h. nächste Woche bin ich weg und ich komme hier gerne wieder im September ;-)

#30 Na ja, wenn Du Punkt 7 gelöscht hast, ist nicht tragisch. Das ist vermutlich die Momentaufnahme Deines PCs gewesen, als Du Spybot das erste mal gestartet hast. Du kannst jetzt den PC mit Spybot nicht wieder auf den Stand zurücksetzen, als Spybot das erste Mal gestartet wurde... bringt ja auch nix
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser