Log File zeigt einige evtl. böse Dateien

#0
17.04.2005, 17:52
...neu hier

Beiträge: 7
#1 Hallo!

Eure Seite ist mir empfohlen worden, da ich ein paar Probleme mit meinem PC habe. Ich denke, ich muß erst mal ein wenig ausholen:

Zunächst einmal wird mir jetzt schon seit einigen Monaten von meinem AntiVir nicht mehr per Blue Screen gemeldet, wenn ich einen Virus reinbekomme. Ich habe das Programm schon 2 oder 3 x deinstalliert, neu heruntergeladen und neu installiert, aber das hat nichts gebracht. Ein Posting im AntiVir-Forum hat leider auch keine Erklärung dafür gebracht.

Vor ein paar Tagen ging ich auf Arbeitsplatz > C: > Eigenschaften > Laufwek aufräumen und da öffnete sich ein AntiVir-Warnfenster mit folgender Meldung:

Zitat


C:\WINDOWS\DOWNLO~1\PRELOA~1.DLL
Enthält Signatur des PMS/Dldr.OTXloader-Programmes

Die Datei wurde entsprechend der Standardeinstellung blockiert.


Ich habe PMS/Dldr.OTXloader mal bei Google eingegeben, aber da wurde nichts gefunden. Ich hab die Datei dann erst einmal in den Quarantäne-Bereich verschoben und gelöscht.

Am nächsten Morgen beim Hochfahren forderte mich Freenet auf einmal auf, online zu gehen. Habe ich natürlich nicht gemacht, zumal ich sonst auch immer per DFÜ-Verbindung online gehe.

Ich war also "offiziell" nicht online, und trotzdem wurde lt. Zonealarm Daten rausgesandt??

Auf Empfehlung habe ich mir jetzt mal "Hijackthis" runtergeladen und drüberlaufen lassen. Den Logfile habe ich dann online überprüfen lassen, wo mir bei einigen Dateien "eventuell böse" angezeigt wird.

Da mir aber gesagt wurde, die Auswertung wäre nicht unbedingt zuverlässig, wäre es toll, wenn hier noch einmal jemand drüberschauen könnte. Die Auswertung findet Ihr hier:

http://www.hijackthis.de/logfiles/13694fb73ea60640f30a00da01e236e7.html

Was sollte ich Eurer Meinung nach jetzt löschen? Bzw. wie "fixe" ich gegebenenfalls?

Bei den gelben Fragezeichen sind mir übrigens die folgenden Programme bekannt:
http://dzt-schulung.net-pioneer.biz/elearning/Mplay.cab
C:\Programme\FinePixViewer\QuickDCF.exe

Epson (mein Drucker) wird auch erwähnt - Ich nehme an, der File ist okay?

Ich hoffe, jemand hier kann mir helfen?

Danke und viele Grüße
Marion

Nachtrag:
Ich habe WIN 98 drauf.
Dieser Beitrag wurde am 17.04.2005 um 18:20 Uhr von Marion H. editiert.
Seitenanfang Seitenende
17.04.2005, 20:11
Member

Beiträge: 1132
#2 Hallo Marion H.,

Du hast ja schon eine gute Vorarbeit geleistet!

Fixe mit HJT (Häkchen setzen und "Fix checked" drücken) die beiden O16-Einträge, die als "evtl. böse" eingestuft wurden und die Du nicht kennst.

Gehe mit dem Win Explorer zu
C:\Windows\Downloaded Program Files
und suche, ob Du Preloader.dll dort findest. Wenn ja => löschen

Lade Dir eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan clean" klicken.
Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.04.2005, 21:56
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo Heron,

danke für Deine Antwort. ;)

Ich werde es mir ausdrucken und morgen abend mal durchlaufen lassen.

eScan habe ich mir schon heruntergeladen und im nicht abgesicherten Modus laufen lassen.

Beim ersten Mal in der vorgegebenen Einstellung, da wurde mir angezeigt, daß "Alexa Spyware/Adaware" gefunden wurde.

Dazu hat Antivir mir immer einen Hinweis gegeben, aber auch gesagt, daß es wohl harmlos sei?

Beim zweiten Mal habe ich alle Dateien scannen lassen. Das hat allerdings mein System extrem belastet und eeeewig gedauert, so daß ich nach knapp 30.000 gescannten Dateien in mehr als 1 Stunde abgebrochen habe. Bis dato kamen 4 Meldungen:

- Die Alexa-Meldung von oben

- 1 x Win32.NetSky.q in meinem alten Mailprogramm, daß ich nicht mehr nutze. Die Mail mit dem Virus habe ich nicht geöffnet, also kann er mein System auch nicht infiziert haben

- Auf dem Desktop: "coolscrl.exe not-a-virus: AdAware-saveNow.ar" Virus

- Auf dem Desktop: "gpfont.exe tagged as not-a-virus Tool Win32Reboot"

Letztes habe ich jetzt gelöscht - Mal gucken, ob die Meldung beim nächsten Scan noch einmal angezeigt wird.

Kann damit soweit schon einmal jemand etwas anfangen?
Seitenanfang Seitenende
17.04.2005, 22:02
Member

Beiträge: 1132
#4 Lasse bitte den Scan im abgesicherten Modus vollständig durchlaufen (auch wenn es lange dauert!) und poste die als "infected" gefundenen Dateien sowie die Zusammenfassung aus dem Log. Du musst schon ein wenig Disziplin zeigen und exakt das tun was gepostet wird, ansonsten ist es nahezu unmöglich, Dir zu helfen.

Hast Du die O16-Einträge gefixt?


Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
17.04.2005, 22:11
...neu hier

Themenstarter

Beiträge: 7
#5 Hallo Heron,

das hatte ich schon vor dem Lesen Deiner Antwort gemacht - Wie geschrieben werde ich es morgen abend nochmal genau nach Deiner Anweisung machen, muß jetzt gleich erst mal ins Bett. ;)

Ebenso die O16-Einträge.

Ich melde mich dann mit den Logfiles. ;)



Da ich auf mich selber nicht antworten kann, muß ich diesen Beitrag editieren:

Hi!

Ich wollte nur mal ein kurzes Update geben:

Nachdem ich Escan gestern für ca. 22 Stunden laufen hatte, habe ich den Scan abgebrochen, da es ca. 3 Stunden bei ein und derselben Datei hängenblieb.

Da ich das Programm, zu dem die Datei gehörte, eh schon länger löschen wollte, habe ich das nun getan und werde den Scan spätestens am Wochenende noch einmal laufen lassen. Ich hoffe, dann läuft er durch, und zwar schneller... ;)

Viele Grüße
Marion
Dieser Beitrag wurde am 20.04.2005 um 16:38 Uhr von Marion H. editiert.
Seitenanfang Seitenende
24.04.2005, 10:53
...neu hier

Beiträge: 2
#6 hat sich inzwischen was ergeben? mich würde auch interessieren, warum escan zwischendrin dann plötzlich "stehen bleibt".
das problem hatte ich auch mal, aber nach löschen einiger dateien lief escan dann wenigstens durch.

jemand einen tip woran das liegen kann?
Seitenanfang Seitenende
24.04.2005, 11:01
...neu hier

Themenstarter

Beiträge: 7
#7 Hi Lottchen,

ich hab mich gestern nochmal an das Escan rangetraut, vorher alles gelöscht, was unnötig ist. Cache, Temps etc. geleert, das Proggy, wo es letztes Mal hängenblieb etc.

Tja - Gestern abend angefangen und innerhalb von ca. 30 Minuten hat es über 19.000 Dateien gescannt, im flotten Tempo.

Monitor ausgestellt, ab ins Bett und was soll ich sagen? Heute morgen, nach ca. 10 Stunden hing er wieder bei 44.204 Dateien.

Habe dann wieder abgebrochen, weil sich über eine Stunde nichts getan hat, obwohl er lt. Licht am PC die ganze Zeit gearbeitet hat.

Die Scan-Zeit wurde dann auch wieder nur mit 8 Stunden + angegeben - Wahrscheinlich heißt daß, er hing schon ca. 2 Stunden an der Datei?

Es war übrigens C:\NVIDIA\Win9x\41.09.\*.*

Notepad ist wieder abgestürzt, als ich mir das Logfile ansehen wollte...

Any idea? *seufz*

Marion
Seitenanfang Seitenende
24.04.2005, 13:00
Member

Beiträge: 1132
#8 Vergiss mal eScan für den Moment.
Lade Dir AdAware
http://www.lavasoft.de/support/download/
und update es.
Mache einen kompletten Systemscan und poste das Log

Versuche einen Online-Scan zu machen
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
poste auch hier das Log.

Gruß
Heron

edit:
Habe auch mal ein wenig gegooglet mit dem Begriff "PMS/Dldr.OTXloader", Ebenfalls nichts gefunden. Aber mit "OTXloader" bin ich fündig geworden. Steht irgendwie (?) mit aggressiver Spyware im Zusammenhang. In dem Thread http://www.techsupportforum.com/computer/topic/46648-1.html
hat jemand das gleiche Problem wie Du. Arbeite einmal die Empfehlungen von greyknight17 ab. Das sieht sehr gut aus.
Um es kurz zu machen:
Lade Dir die KillBox
http://www.bleepingcomputer.com/files/killbox.php herunter
Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
c:\windows\downloaded program files\otxmedia.dll
c:\windows\downloaded program files\preloader.dll

CCleaner
http://www.ccleaner.com/ccdownload.asp
Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 24.04.2005 um 15:49 Uhr von Heron editiert.
Seitenanfang Seitenende
25.04.2005, 09:30
...neu hier

Themenstarter

Beiträge: 7
#9 Danke Heron, werde ich heute abend alles mal machen. Melde mich dann wieder!

VG

Edit:

So, da bin ich wieder - Der Reihe nach:

1.)
Adaware hab ich ja schon drauf. Habe ein Update gemacht und laufen lassen.

Log File:

Lavasoft Ad-aware Personal Build 6.181
Logfile created on ;)ienstag, 26. April 2005 18:48:52
Created with Ad-aware Personal, free for private use.
Using reference-file :01R347 26.10.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


26.04.05 18:48:52 - Scan started. (Custom mode)


Deep scanning and examining files (C;)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Cydoor Object recognized!
Type : Folder
Object : C:\WINDOWS\Anwendungsdaten\Qualcomm\Eudora\EudPriv\Ads\AdCache



Disk scan result for C:\
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 1

19:06:15 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:17:22:760
Objects scanned :128283
Objects identified :1
Objects ignored :0
New objects :1

Die Datei hab ich jetzt erst einmal in die Qurantäne gesteckt.

2.)

Online Scan

Hab ich versucht. Er läd auch die Software auf meinen PC - Beim ersten Mal gab es jedoch eine Fehlermeldung. Wenn er nun "scannt", braucht er nicht einmal 1 Sekunde und zeigt dann an:

Scanned: Yes
Files: 0
Message: 0

Irgendwas stimmt da also nicht.

3.)
Hab das Trojaner-Programm runtergeladen, daß dieser greyknight empfiehlt und laufen lassen.

Er hat nur 10 "Suspicicous Files" gefunden. Suspicious, weil sie eine Doppelendung haben. 1 x in der Mozilla Setup 1.03.exe und 9 x in einer Word-Datei. Ich vermute, das wird ein darin verwendetes Bild sein.

4.) Kill Box
Er findet die beiden von Dir genannten Dateien nicht in dem Verzeichnis?

5.) Installiert und laufen lassen. Alle Temps etc. gelöscht.

Und nu?

Fragende Grüße
Marion
Dieser Beitrag wurde am 26.04.2005 um 21:55 Uhr von Marion H. editiert.
Seitenanfang Seitenende
27.04.2005, 11:37
...neu hier

Beiträge: 2
#10 Hallo,

das gleiche Problem mit dem Onlinescan habe ich auch, irgendwas funktioniert da nicht ;)
Seitenanfang Seitenende
27.04.2005, 17:04
Member

Beiträge: 1132
#11 @Marion H.

Hast Du den Panda Online-Scan gemacht. Wenn ja, bitte Log posten.
Poste bitte noch einmal ein aktuelles HJT Log.
Lade Dir Kaspersky Trial Version herunter
http://www.kaspersky.com/trials?chapter=154373188
und scanne Dein System nach dem Updaten des Progs. Berichte, was gefunden wurde.

@Lottchen

HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Installiere das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 27.04.2005 um 17:08 Uhr von Heron editiert.
Seitenanfang Seitenende
27.04.2005, 17:07
...neu hier

Themenstarter

Beiträge: 7
#12 Hi Heron,

zum Panda Online Scan ich zitiere mich mal selber:

Zitat

2.)

Online Scan

Hab ich versucht. Er läd auch die Software auf meinen PC - Beim ersten Mal gab es jedoch eine Fehlermeldung. Wenn er nun "scannt", braucht er nicht einmal 1 Sekunde und zeigt dann an:

Scanned: Yes
Files: 0
Message: 0

Irgendwas stimmt da also nicht.
Hab also kein Log.

Gibt es noch einen anderen empfehlenswerten Online Scan?
Seitenanfang Seitenende
27.04.2005, 17:11
Member

Beiträge: 1132
#13 Hi Marion,

Du bist aber fix. Versuche es mal mit Kaspersky Trial (siehe oben).

Weitere Online-Scans

Symantec
http://security.symantec.com/default.asp?

f-secure
http://support.f-secure.com/enu/home/ols.shtml

McAfee FreeScan
www.mcafee.com/myapps/mfs/default.asp

Trend-Micro
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

BitDefender
www.bitdefender.com/scan/Msie/index.php

Gruß
Heron

edit:
Eine Idee ist mir gerade noch gekommen. Lade Dir einmal
F-Secure Rootkit Säuberungstool (Beta)
http://www.f-secure.com/blacklight/cure.shtml
herunter und Scanne Deinen Rechner damit.

edit1:

Zitat

Online Scan
Hab ich versucht. Er läd auch die Software auf meinen PC - Beim ersten Mal gab es jedoch eine Fehlermeldung. Wenn er nun "scannt", braucht er nicht einmal 1 Sekunde und zeigt dann an:
Wie lautete denn die Fehlermeldung?
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 27.04.2005 um 22:00 Uhr von Heron editiert.
Seitenanfang Seitenende
08.06.2005, 12:07
...neu hier

Themenstarter

Beiträge: 7
#14 Hi Heron,

sorry, daß ich mich so lange nicht gemeldet habe, aber irgendwie wußte ich die letzten Wochen nicht, wo mir der Kopf steht...

Ich habe mittlerweile AntiVir bei mir komplett deinstalliert und jetzt erst einmal die 30-Tage Trial-Version von Kapersky drauf. Diese hat beim vollständigen Scan nichts gefunden. Allerdings kam die folgende Meldung:

C:\....\Related.htm
password-protected
c:\...\sbRecovery.ini
c:\...\sbRecovery.reg
c:\...\sbRecovery.ini
c:\...\sbRecovery.reg
...

Aus dieser Schleife kam ich erst raus, als ich "Skip Archive" geklickt habe und dann hat er weiter gescannt.

Was kann das gewesen sein?

Übrigens reinigt der Kapersky mir auch die Virenverseuchten Mails wieder, was AntiVir ja nicht mehr gemacht hatte... Die gereinigten Mails sind dann im Spam-Ordner meines zwischengeschalteten Spam-Filters zu finden.

Die anderen Online-Scans habe ich noch nicht laufen lassen.

Das F-Secure Rootkit Säuberungstool (Beta) kann ich nicht laufen lassen, da ich noch Win 98 habe, es aber erst ab Win 2000 ist.

Ich denke, ich werde über kurz oder lang mal ein Format C machen müssen... :-(

Viele Grüße
Marion
Seitenanfang Seitenende
08.06.2005, 12:58
Member

Beiträge: 1132
#15 Hi Marion,

welcome back!

Lade Dir zu Adaware auch noch Spybot S&D herunter
Spybot S&D
http://www.safer-networking.org/de/download/index.html

Update Adaware, Spybot und Kaspersky. Gehe in den abgesicherten Modus (bei Win98: Rechner neu starten und beim Hochfahren CTRL- oder SHIFT- Taste drücken bis das Auswahlmenü erscheint).
Scanne mit allen drei Programmen im abgesicherten Modus.
Boote den Rechner neu und scanne noch einmal im Normalmodus.

Poste ein aktuelles HJT-Log.

Warum sich Kaspersky an dem Archiv aufhängt kann ich so auch nicht sagen. Vielleicht hat jemand anderer eine Idee.


Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende