MyWay Adware.Toolbar.MyWay.b

#1 Hallo ich hab seit heute das Problem, dass mir Ad-Aware alle paar Minuten neue Spyware findet, jedoch Antivir nichts dergleichen auf meinem PC finden kann.

Escan hat 4 infizierte Registrydateien gefunden. Sie lauten wie folgt:
1) Adware.Toolbar.MyWay.b
2) Adware.Toolbar.MyWay.f
3) Adware.Toolbar.MyWay.f
4) Adware.Altnet.d

Den genauen Text kann ich leider nicht angeben, da ich nicht weiß wie man ihn kopieren kann.

Ach ja nochmal zu Ad-Aware: Das Programm findet immer infizierte Coskies. Meißtens mit Benutzername@mediaplex.com oder Benutzername@valueclick.com
Sie hießen aber teilweise auch anders!


Hier ist noch meine HiJack:

Logfile of HijackThis v1.99.0
Scan saved at 22:01:41, on 08.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Multimedia\Antivir\AVGUARD.EXE
D:\Multimedia\Antivir\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\DOKUME~1\Marcus\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Marcus\LOKALE~1\Temp\kavss.exe
D:\Multimedia\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Marcus\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Multimedia\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Multimedia\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Multimedia\Antivir\AVGNT.EXE /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Multimedia\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\MULTIM~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\MULTIM~1\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Multimedia\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Multimedia\Antivir\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service - SiSoftware - D:\Multimedia\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - D:\Multimedia\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ich hoffe es kann mir jemand weiterhelfen, denn irgendwas muß ich mir ja "eingefangen" haben!

Grüße

#2 Maggus

C:\WINDOWS\Temp\ <----loesche alle Datein in diesem Ordner

#Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit

#3 So hab alles gemacht wie du gesagt hast (auch im abgesicherten Modus). Problem ist nur, dass Search&Destroy eine Datei mit der Adware AltNet nicht entfernen kann. Es ist laut Search&Destroy die Datei smdat32 betroffen. Per Hand kann ich die Datei auch nicht löschen!


Gruß

Maggus



...also smdat32 konnte ich jetzt seltsamerweise doch per Hand löschen. Adware AltNet wird jetzt auch nicht mehr gefunden!! (ha ein Erfolg!!!)

ABER: Search&Destroy bzw. Ad-Aware finden immer noch (auch wenn ich alle 5 Minuten scanne) 4 infizierte Registry Dateien. Search&Destroy nennt die "Dinger" DSO Exploit
Bei Ad-Aware sind es wie ich schon ganz oben geschrieben habe immer irgendwelche cookies mit Benutzername@mediaplex oder ähnlichem.

Vieleicht weiß ja einer noch nen Rat.

Grüße

Maggus

#4 Hallo@Maggus

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

um diese Meldungen brauchst du dich nicht zu kuemmern, und surfe nur mit dem Firefox, dannn gibt es nicht mehr so viele Probleme

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
Opera
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

also ich hab das Programm jetzt installiert und alle Einträge im IE gelöscht. Ad-Aware findet jetzt auch nichts mehr, aber Search&Destroy findet immer noch die 4 Adware Dateien Namens "DSO Exploit".

Escan findet auch immer noch 4 infizierte Datein! Die Dateien befinden sich alle in C:\System Volume Information\_restore (und dann kommt irgend nen Code)

Die Viren die escan findet lauten wie folgt:
AdWare.Toolbar.MyWay.b
AdWare.Toolbar.MyWay.f
AdWare.Toolbar.MyWay.g
AdWare.AltNet.d


Ich weiß ja nicht ob diese Viren die Search&Destroy und Escan finden das selbe sind, aber ich finds komisch, dass Ad-Aware nichts mehr findet!

Grüße

Maggus


...oder Bezog sich deine Aussage "um diese Meldungen brauchst du dich nicht zu kuemmern" auf diese 4 Meldungen??

#6 Search&Destroy findet immer noch die 4 Adware Dateien Namens "DSO Exploit".
-->kein Problem

poste mir bitte den Pfad der Malware von:
AdWare.Toolbar.MyWay.b
AdWare.Toolbar.MyWay.f
AdWare.Toolbar.MyWay.g
AdWare.AltNet.d

(escan zeigt das an)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 So hier sind dann mal die 4 Viren:

File C:\System Volume Information\_restore{0CCED897-70FF-414A-9148-1CA474C1D702}\RP39\A0029887.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{0CCED897-70FF-414A-9148-1CA474C1D702}\RP39\A0029888.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{0CCED897-70FF-414A-9148-1CA474C1D702}\RP39\A0029891.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.

D:\System Volume Information\_restore{0CCED897-70FF-414A-9148-1CA474C1D702}\RP39\A0029848.dll infected by "not-a-virus:AdWare.Altnet.d" Virus. Action Taken: No Action Taken.


So das sind die 4 Einträge aus dem Escan Log.


Grüße

Maggus

#8 Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann aktiviere sie wieder--> und das Problem ist geloest
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Ah viel Dank die Viren bzw. Adware ist weg!

ALso ich werd jetzt wohl wirklich auf Firefox umsteigen wenn das hilft!!!


Grüße

Maggus