spybot und immer wieder kehrende problem

#0
06.07.2005, 20:32
Member

Beiträge: 1132
#16 Du musst AboutBuster im Normalmodus entpacken! Nur scannen im abgesicherten Modus! Wiederhole das Ganze und scanne mit AboutBuster mehrfach (!) bis keine Fehlermeldung mehr kommt.

Und poste auch die Sache mit dem Registry Search Tool (s.o.). Hatte ich noch nachträglich eingefügt.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
06.07.2005, 21:07
Member

Themenstarter

Beiträge: 66
#17 so habe das nun fast zwanzig minuten probiert das ich die fehlermledung nicht mehr bekomme, ist aber leider nicht der fall (war wieder im abgesicherten modus und cleaner wurde auch erledigt) bekomme zum schluß halt immer nur noch folgende meldung angezeigt und da wirds ja wahrscheinlich auch dran liegen, weil immer wieder das gleiche steht

IE Temporären Internetdateien ( 2 Dateien ) 134 Bytes
search completed in 22 seconds


so zu deinem anderen "tool" war folgende meldung:

no instances to "11Fßä.#·ºÄÖ`I" found
__________
*cremo*
Dieser Beitrag wurde am 06.07.2005 um 21:11 Uhr von Cremosa editiert.
Seitenanfang Seitenende
06.07.2005, 22:16
Member

Beiträge: 1132
#18 Poste ein aktuelles HJT Log. Mal sehen ob Du was erreicht hast.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
07.07.2005, 17:28
Member

Themenstarter

Beiträge: 66
#19 Logfile of HijackThis v1.99.1
Scan saved at 17:31:25, on 07.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
__________
*cremo*
Seitenanfang Seitenende
07.07.2005, 18:16
Member

Beiträge: 1132
#20 Das sieht schon erheblich besser aus! Das hast Du gut gemacht.

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften) => Häkchen setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren

Du kannst noch mit HJT fixen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
(Du benutzt ja, wie ich gesehen habe, den Firefox)

Lade Dir herunter
KillBox
http://www.bleepingcomputer.com/files/killbox.php

AdAware
http://www.lavasoft.de/support/download/

CWShredder
http://www.majorgeeks.com/download3019.html
Programme updaten!


Öffne die Killbox => Delete on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
c:\windows\ysyuc.dll
C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

Starte den Rechner in den abgesicherten Modus und scanne mit Ad-Aware und CWShredder

Gehe in den Normalmodus und scanne mit Ad-Aware, Spybot S&D und CWShredder noch einmal und fixe eventuelle erkannte Probleme.

Systemwiederherstellung wieder aktivieren.

Online Scan mit Panda
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm
(Geht, glaube ich, nur mit dem IE). Berichte über das Ergebnis.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 07.07.2005 um 18:19 Uhr von Heron editiert.
Seitenanfang Seitenende
07.07.2005, 19:11
Member

Themenstarter

Beiträge: 66
#21 entschuldige, hat ein wenig gedauert, aber kam mit dem runterladen von cw-shredder erst nicht zurecht, weil ich es nicht gleich gefunden habe, hier nun mein bericht:

so im abgesicherten modus hatte ich bei ad-aware den smart-scan mode gewählt und folgende meldung kam
1 object recognized
1 new critical object
1 files identifie
hab das anschließend "in quarantäne" gemacht
---------------------------------------------------------------------------
cw shredder gab folgende meldung
scan is complete! cool web search was not found on this system

----------------------------------------------------------------------------
rechner nun wieder im normal modus gestartet

spybot hat media-plex angezeigt, anschließend problem gefixt
-----------------------------------------------------------
ad-aware 0 critical object
----------------------------------------------------------
cw shredder hatte auch wieder keine funde

so allerdings hab ich jetzt versucht über panda den scan zu machen, allerdings geht das auch nicht über den ie-explorer, soll ich dann einen normalen logfile nochmal posten?

bei panda zeigt er mir an mir würde eine gewisse date ifehlen die ich darüber dann alden kann, bekomme dann aber von "anti-vir" eine fehlermeldung das diese datei den virus w95/bumble enthält und habe es dann sofort beendet und den zugriff der datei verweigert
__________
*cremo*
Dieser Beitrag wurde am 07.07.2005 um 19:18 Uhr von Cremosa editiert.
Seitenanfang Seitenende
07.07.2005, 19:32
Member

Beiträge: 1132
#22 Du kannst den Panda-Scan ruhig machen. Ignoriere die Virenmeldung von Antivir (ist falscher Alarm)

Hast Du die angegebenen Dateien mit der Killbox gelöscht?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 07.07.2005 um 19:41 Uhr von Heron editiert.
Seitenanfang Seitenende
07.07.2005, 19:39
Member

Themenstarter

Beiträge: 66
#23 diesmal gings auch ohne fehlermeldung, komisch

*click on the item to scan* hab ich "all my computer" genommen und es kam folgendes ergebnis:

scan finished
no viruses have been found !


und jetzt? heißt das es scheint alles bereinigt zu sein? weil mediaplex wurde ja ganz vorhin nochmal angezeigt oder kann es sein das es jetzt komplett weg ist?
__________
*cremo*
Seitenanfang Seitenende
07.07.2005, 19:45
Member

Beiträge: 1132
#24 Das ging aber flott! Wie lange hat der Scan denn gedauert? Bin skeptisch, ob das alles richtig gelaufen ist.

Ich würde Dir empfehlen zur Sicherheit Dein System noch mit eScan zu überprüfen

Zitat

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner C:\bases_x
Entpacke die herunter geladene Datei mwav.exe in diesen Ordner (wenn Du mwav.exe doppelklickst, dann werden die Dateien automatisch in das User-Temp Verzeichnis entpackt!)
Update das Programm durch Doppelklicken auf kavupd.exe

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten bei Win-XP)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

eScan mit "mwavscan.com" starten
Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives => und dann "Scan" klicken.

Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Danach alle Zeilen im Log mit "tagged" suchen und auch hierher posten.
Das Updaten und Scannen dauert ein Weilchen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
07.07.2005, 19:49
Member

Themenstarter

Beiträge: 66
#25 ich war auch sehr verwundert, das es sooo schnell ging das waren nur ganz wenige minuten noch nichteinmal, bei anderen sachen dauert das ja eigentlich auch länger, werd das was du noch gepostet hast, machen udn dann berichten, möchte an dieser stelle aber trotzdem schonmal vielen dank sagen für die ganze viele hilfe, zeit und mühe, die du mit mir investiert hast.....DANKE !!!!! aber meld mich sobald ich das gemacht habe

sooooooo das ganze hat jetzt circa ,5 stunden gedauert und total virus found 13 und total erros 26..... eine meldung kam ganz am anfang

MicroWorld AntiVirus & Spyware Toolkit Utility
Spyware/Adware Detected!!! you will need to buy eScan or this tool in order to
eliminate this spyware/adware from your system. click on buy this product button
to go to our web-store

hab das einfach bestätig und dann durchlaufen lassen und hier die gewünschten posts :

infected:
=======
Thu Jul 07 20:10:52 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.

Thu Jul 07 20:10:52 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.


Thu Jul 07 20:11:03 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Thu Jul 07 20:26:38 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Thu Jul 07 21:06:36 2005 => File C:\WINDOWS\msagent\system\zipzip.zab infected by "Email-Worm.Win32.Sober.l" Virus! Action Taken: No Action Taken.

Thu Jul 07 21:25:22 2005 => Total Disinfected Files: 0

tagged:
=======

Thu Jul 07 20:23:49 2005 => File C:\MAGIX\mp3_maker_centurion_2005\uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Jul 07 20:28:17 2005 => File C:\Programme\ICQLite\Unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Jul 07 20:33:29 2005 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Jul 07 20:38:18 2005 => File C:\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Jul 07 20:49:15 2005 => File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus;)ownloader.Win32.ImLoader.b. No Action Taken.

Thu Jul 07 21:18:42 2005 => File C:\WINDOWS\twain_32\ovt\usb\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Jul 07 21:23:00 2005 => File D:\Tools\AOL 9.0\AOLSetup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
__________
*cremo*
Dieser Beitrag wurde am 07.07.2005 um 22:00 Uhr von Cremosa editiert.
Seitenanfang Seitenende
07.07.2005, 21:40
Member

Beiträge: 1132
#26 OK! Dann mache das.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
07.07.2005, 22:01
Member

Themenstarter

Beiträge: 66
#27 ist in dem beitrag vorher bereits geschehen, hatte nur nen moment gedauert bis ich alles rausgesucht hatte, ich hoffe das ich alles richtig gemacht habe
__________
*cremo*
Seitenanfang Seitenende
08.07.2005, 09:13
Member

Beiträge: 1132
#28 Lösche mit der Killbox
C:\WINDOWS\msagent\system\zipzip.zab


Hattest Du mal AOL installiert? Überprüfe waol.exe (wahrscheinlich in c:\windows\system32) hier
Jotti's Malware Scan
http://virusscan.jotti.org/

virustotal
http://www.virustotal.com/flash/index_en.html
und poste das Ergebnis

Hast Du BearShare wissentlich installiert?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 08.07.2005 um 09:17 Uhr von Heron editiert.
Seitenanfang Seitenende
08.07.2005, 17:28
Member

Themenstarter

Beiträge: 66
#29 hallo heron,

habe die datei mit killbox gelöscht, konnte allerdings diese datei waol.exe in dem system-ordner nicht finden.

habe den spyware doctor runtergeladen und er hat folgende meldungen angezeigt

entdeckte infizierungen : 43
bevor ich den scan mache, wie lösche ich diese datein vom spydoctor, weil da
steht ich muss mich registrieren stimmt das?

oder soll ich die meldungen einfach mal posten oder bringt das nichts? hab das erstmal stehen lassen weil ich nicht weiß wie ich dieses nun bereinige ohne mich zu registrieren wenn es denn nicht notwendig ist.
---------------------------------------------------------------------------
hatte nicht aol auf meinem pc, nicht einmal ansatzweise was damit zu tun gehabt, lag es daran das ich mal diesen dso-exploit auf dem pc hatte?

auch bearshare hatte ich selbst gar nicht geladen aber dennoch wohl wissentlich muss ich sagen, aber wollt das löschen, da mir damals den pc jemand eingerichtet hat, ich dieses programm aber irgendwie nicht brauchte, habe es aber selbst nicht auf meinen pc geladen
__________
*cremo*
Seitenanfang Seitenende
08.07.2005, 18:18
Member

Beiträge: 1132
#30 Zu Spyware Doctor kann ich Dir leider nichts sagen, da ich das Programm selbst nie benutzt habe. Aber, vielleicht weiss jemand anderer besser Bescheid und kann Dir einen Tipp geben.

Suche die waol.exe mit dem WinExplorer (Suchfunktion). Durchsuche das gesamte Laufwerk C:. Wenn Du sie gefunden hast, dann überprüfe sie bei den o.a. Links.

Deinstalliere BearShare (versuche es zumindestens) über Start => Einstellungen => Systemsteuerung => Software. Gehe zu dem Programmeintrag (falls vorhanden) und drücke Ändern/Entfernen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende