Bitte um Überprüfung meiner hijackthis.log

#0
11.07.2005, 14:26
Member

Beiträge: 12
#1 Hallo Zusammen,

ich muss mir irgendwas eingefangen habe, mein PC ist echt langsamer gewurden und meine Firewall die ich vor einer Woche installiert habe (ZoneAlarm Pro) meldet bereits schon 2750 Zugriffsversuche (die meisten kommen von ??rss.exe).

Würde mich sehr freuen wenn mir jemand bei diesem Problem weiterhelfen könnte.


Gruß
BigRoB




Logfile of HijackThis v1.99.1
Scan saved at 14:19:27, on 11.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\??rss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - C:\WINDOWS\System32\petut.dll (file missing)
O2 - BHO: (no name) - {75F8E060-3FF1-A429-B9E9-823F71B860BA} - C:\WINDOWS\System32\yewobob.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Uktfa] C:\WINDOWS\System32\??rss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098556969256
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D007243B-AD60-43FD-B176-827D0A5C7ED3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
11.07.2005, 14:38
Member
Avatar Malkesh

Beiträge: 669
#2 Fixe mit HijackThis:

Code

O2 - BHO: (no name) - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - C:\WINDOWS\System32\petut.dll (file missing)
O2 - BHO: (no name) - {75F8E060-3FF1-A429-B9E9-823F71B860BA} - C:\WINDOWS\System32\yewobob.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKCU\..\Run: [Uktfa] C:\WINDOWS\System32\??rss.exe
Danach suche die Datei C:\WINDOWS\System32\??rss.exe und lade sie bei jotti hoch:
http://virusscan.jotti.org/de/
Berichte vom Ergebnis.

Danach arbeite bitte folgendes ab:

Lade folgende Programme herunter und update sie:

CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse, jotti-Scan, etc).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
11.07.2005, 14:58
Member

Themenstarter

Beiträge: 12
#3

Zitat

Malkesh postete
Fixe mit HijackThis:

Code

O2 - BHO: (no name) - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - C:\WINDOWS\System32\petut.dll (file missing)
O2 - BHO: (no name) - {75F8E060-3FF1-A429-B9E9-823F71B860BA} - C:\WINDOWS\System32\yewobob.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKCU\..\Run: [Uktfa] C:\WINDOWS\System32\??rss.exe
Danach suche die Datei C:\WINDOWS\System32\??rss.exe und lade sie bei jotti hoch:
http://virusscan.jotti.org/de/
Berichte vom Ergebnis.
OK, Alle 4 Dateien gefixt.
Die Suche im Pfad C:\WINDOWS\System32\ ergab das ??rss.exe == csrss.exe ist.

Datei wurde auf http://virusscan.jotti.org/de/ hochgeladen und gescannt, es wurden keine Viren gefunden.

Die anderen Informationen werden sofort gepostet je nach dem wie lange das scannen dauert.


Schonmal vielen Dank & Grüße
BigRoB



EDIT// Wo genau kann man die Systemwiederherstellung deaktivieren?
Dieser Beitrag wurde am 11.07.2005 um 15:23 Uhr von BigRoB editiert.
Seitenanfang Seitenende
11.07.2005, 15:52
Member
Avatar Malkesh

Beiträge: 669
#4

Zitat

Quelle: http://board.protecus.de/t16317.htm

Systemwiederherstellung/System Restore/System Volume Information

- Ich kann nicht auf den Ordner "System Volume Information" zugreifen, mir werden darin jedoch Viren angezeigt!
"System Volume Information"" ist die Systemwiederherstellung von Windows XP. Bei einem infizierten System sollte man sie vor der Bereinigung deaktivieren und nach Abschluss der Reinigung wieder aktivieren, so werden alle bis dato angelegten und somit infizierten Wiederherstellungspunkte gelöscht und bei erneuter Aktivierung, wird wieder ein neuer (jetzt hoffentlich sauberer) angelegt.

- Wie de/aktiviere ich die Systemwiederherstellung unter Windows XP?
Arbeitsplatz >> (rechte Maustaste) >> Eigenschaften >> Registerkarte "Systemwiederherstellung" >> Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" >> Übernehmen
;)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
11.07.2005, 22:30
Member

Themenstarter

Beiträge: 12
#5 Also bei Adware waren es nur 14 Sachen darunter viele Cookies und eine Spyware. Der Spybot hat eine weitere Spyware ausfindig machen können.

So.... eScan...
Mon Jul 11 20:34:37 2005 => Total Objects Scanned: 179334
Mon Jul 11 20:34:37 2005 => Total Virus(es) Found: 50
Mon Jul 11 20:34:37 2005 => Total Disinfected Files: 0
Mon Jul 11 20:34:37 2005 => Total Files Renamed: 0
Mon Jul 11 20:34:37 2005 => Total Deleted Objects: 0
Mon Jul 11 20:34:37 2005 => Total Errors: 393
Mon Jul 11 20:34:37 2005 => Time Elapsed: 03:53:30
Mon Jul 11 20:34:37 2005 => Virus Database Date: 2005/06/24
Mon Jul 11 20:34:37 2005 => Virus Database Count: 136182



hier die "infected" Zeilen.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\2979.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\6110.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\6586.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\8182.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\8449.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\8697.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:33:08 2005 => File C:\WINDOWS\System32\maxd.exe infected by "Trojan.Win32.Dialer.ht" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:33:37 2005 => File C:\WINDOWS\System32\popcorn128.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:33:54 2005 => File C:\WINDOWS\System32\sssdfgbsdfghbnj.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:34:19 2005 => File C:\WINDOWS\System32\ziiayoc.dll infected by "Trojan-Spy.Win32.Briss.n" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:40:47 2005 => File C:\d.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:54:27 2005 => File C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\Adobe_Photoshop_and_ImageReady_CS_v8.0.1_Tryout_Multilanguage.zip infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken.
Mon Jul 11 17:19:22 2005 => File C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\mousestuff\Tools\thedamned4.0.zip infected by "Trojan.Win32.Delf.d" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:31 2005 => File C:\WINDOWS\system32\2979.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:31 2005 => File C:\WINDOWS\system32\6110.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:31 2005 => File C:\WINDOWS\system32\6586.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:32 2005 => File C:\WINDOWS\system32\8182.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:32 2005 => File C:\WINDOWS\system32\8449.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:32 2005 => File C:\WINDOWS\system32\8697.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:30:37 2005 => File C:\WINDOWS\system32\maxd.exe infected by "Trojan.Win32.Dialer.ht" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:31:17 2005 => File C:\WINDOWS\system32\popcorn128.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:31:57 2005 => File C:\WINDOWS\system32\sssdfgbsdfghbnj.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:32:33 2005 => File C:\WINDOWS\system32\ziiayoc.dll infected by "Trojan-Spy.Win32.Briss.n" Virus! Action Taken: No Action Taken.


und hier die neue hijacklog

Logfile of HijackThis v1.99.1
Scan saved at 22:26:50, on 11.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098556969256
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D007243B-AD60-43FD-B176-827D0A5C7ED3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


mir läuft es echt kalt den Rücken runter wenn ich sehe was für eine Bazillenschleuder mein Baby ist. :(
Seitenanfang Seitenende
12.07.2005, 16:17
...neu hier

Beiträge: 10
#6 Hi, hab meinen pc vor ein paar wochen formatiert, kann hir mal jemand schauen ob ich clean bin (will jetzt keinen extra Thread wegen dme ganzen eröffnen ;) )

Logfile of HijackThis v1.99.1
Scan saved at 16:11:38, on 12.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
D:\Trend Micro\Internet Security 12\pccguide.exe
D:\Microsoft AntiSpyware\gcasServ.exe
D:\ICQLite\ICQLite.exe
C:\WINDOWS\Mixer.exe
D:\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\HijackThis.exe

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [pccguide.exe] "D:\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [gcasServ] "D:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AnyDVD] "D:\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E18F7AC-51FE-4EAA-AB35-08F8FCACD53B}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - D:\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - D:\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - D:\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - D:\TRENDM~1\INTERN~1\tmproxy.exe
Seitenanfang Seitenende
12.07.2005, 16:49
Member
Avatar Malkesh

Beiträge: 669
#7 Hi spooky-z,

dein Logfile sieht soweit sauber aus.


BigRoB:

Lösche zunächst einmal die infizierten Dateien welche eScan gefunden hat:

Zitat

Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\2979.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\6110.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\6586.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\8182.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\8449.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:32:18 2005 => File C:\WINDOWS\System32\8697.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:33:08 2005 => File C:\WINDOWS\System32\maxd.exe infected by "Trojan.Win32.Dialer.ht" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:33:37 2005 => File C:\WINDOWS\System32\popcorn128.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:33:54 2005 => File C:\WINDOWS\System32\sssdfgbsdfghbnj.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:34:19 2005 => File C:\WINDOWS\System32\ziiayoc.dll infected by "Trojan-Spy.Win32.Briss.n" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:40:47 2005 => File C:\d.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 16:54:27 2005 => File C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\Adobe_Photoshop_and_ImageReady_CS_v8.0.1_Tryout_Multilanguage.zip infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken.
Mon Jul 11 17:19:22 2005 => File C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\mousestuff\Tools\thedamned4.0.zip infected by "Trojan.Win32.Delf.d" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:31 2005 => File C:\WINDOWS\system32\2979.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:31 2005 => File C:\WINDOWS\system32\6110.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:31 2005 => File C:\WINDOWS\system32\6586.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:32 2005 => File C:\WINDOWS\system32\8182.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:32 2005 => File C:\WINDOWS\system32\8449.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:26:32 2005 => File C:\WINDOWS\system32\8697.exe infected by "Trojan.Win32.Agent.am" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:30:37 2005 => File C:\WINDOWS\system32\maxd.exe infected by "Trojan.Win32.Dialer.ht" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:31:17 2005 => File C:\WINDOWS\system32\popcorn128.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:31:57 2005 => File C:\WINDOWS\system32\sssdfgbsdfghbnj.exe infected by "Trojan-Downloader.Win32.Delf.cb" Virus! Action Taken: No Action Taken.
Mon Jul 11 19:32:33 2005 => File C:\WINDOWS\system32\ziiayoc.dll infected by "Trojan-Spy.Win32.Briss.n" Virus! Action Taken: No Action Taken.
mache danach mal noch den Online Scan von Panda:
http://virus-protect.org/onlinescan.html

und danach bitte nochmal einen Scan mit eScan (bitte auch hier das Log posten, sowie vom Panda) und abschließend wieder ein HijackThis-Log.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
12.07.2005, 18:51
Member

Themenstarter

Beiträge: 12
#8 Hab mit folgenden Programmen gescannt.

Adware
Spybot - Search & Destroy
Ad-Aware SE Personal
Spyware Doctor
XoftSpy
Microsoft AntiSpyware

Viren
Steganos AntiVirus 7


0 Adware jetzt und hoffentlich keine Viren & Trojaner mehr.

Meine Firewall (ZoneLabs) zeigt bis jetzt keine neuen Angriffe.

Hier das aktuelle Hijacklogfile.

Logfile of HijackThis v1.99.1
Scan saved at 18:48:36, on 12.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
C:\Schutzprogramme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\SLEE11.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\sLaM\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\SCHUTZ~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\SCHUTZ~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Schutzprogramme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -boot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\SCHUTZ~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098556969256
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D007243B-AD60-43FD-B176-827D0A5C7ED3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Schutzprogramme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE11.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Gruß
BigRoB
Seitenanfang Seitenende
12.07.2005, 19:13
Member
Avatar Malkesh

Beiträge: 669
#9 Das Logfile sieht soweit gut aus. Mache abschließend noch einmal einen Scan mit eScan sowie den Panda-Online Scan bitte (siehe Link oben). Wenn beide nicht mehr anschlagen hast du es wohl überstanden.
Sollten einer/beide doch noch etwas finden paste bitte das entsprechende Log.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
12.07.2005, 23:19
Member

Themenstarter

Beiträge: 12
#10 Ich glaubs net immer noch was auf der Kiste... der PandaScan hat folgendes ausgespuckt.


Incident Status Location

Adware:Adware/MyWay No disinfected Windows Registry
Adware:Adware/ISearch No disinfected C:\WINDOWS\deskbar.ini
Adware:Adware/ExactSearch No disinfected Windows Registry
Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\System32\z13.exe
Adware:Adware/ISearch No disinfected C:\WINDOWS\deskbar.ini
Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\Shex.exe
Adware:Adware/ISearch No disinfected C:\WINDOWS\system32\z13.exe
Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\RSS~1.EXE

eScan läuft bereits... kann sich mal wieder nur um Stunden handeln ;)

EDIT//
Ich hab meinen PC noch etwas aufgeräumt und man merkt es von der Scangeschwindigkeit her sehr deutlich.

Wed Jul 13 00:29:02 2005 => Total Objects Scanned: 143867
Wed Jul 13 00:29:02 2005 => Total Virus(es) Found: 1
Wed Jul 13 00:29:02 2005 => Total Disinfected Files: 0
Wed Jul 13 00:29:02 2005 => Total Files Renamed: 0
Wed Jul 13 00:29:02 2005 => Total Deleted Objects: 0
Wed Jul 13 00:29:02 2005 => Total Errors: 431
Wed Jul 13 00:29:02 2005 => Time Elapsed: 01:07:42
Wed Jul 13 00:29:02 2005 => Virus Database Date: 2005/07/12
Wed Jul 13 00:29:02 2005 => Virus Database Count: 130339


Leider finde ich den einen Virus nicht, hab wie immer per Suchfunktion nach "infected" gesucht.
Dieser Beitrag wurde am 13.07.2005 um 00:40 Uhr von BigRoB editiert.
Seitenanfang Seitenende
13.07.2005, 01:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Download ein versuchversion von eScan ;-)
http://www.mwti.net/antivirus/escan/escanpro.asp
__________
MfG Argus
Seitenanfang Seitenende
13.07.2005, 01:31
Member

Themenstarter

Beiträge: 12
#12 Funktioniert leider nicht, kommt immer die Frage rebooten Ja/Nein und man rebooten einfach immer weiter.. ;) ... sonst funktionieren keine der enthaltenen Programme.
Seitenanfang Seitenende
13.07.2005, 08:35
Member
Avatar Malkesh

Beiträge: 669
#13

Zitat

BigRoB postete:

Wed Jul 13 00:29:02 2005 => Total Objects Scanned: 143867
Wed Jul 13 00:29:02 2005 => Total Virus(es) Found: 1
Wed Jul 13 00:29:02 2005 => Total Disinfected Files: 0
Wed Jul 13 00:29:02 2005 => Total Files Renamed: 0
Wed Jul 13 00:29:02 2005 => Total Deleted Objects: 0
Wed Jul 13 00:29:02 2005 => Total Errors: 431
Wed Jul 13 00:29:02 2005 => Time Elapsed: 01:07:42
Wed Jul 13 00:29:02 2005 => Virus Database Date: 2005/07/12
Wed Jul 13 00:29:02 2005 => Virus Database Count: 130339


Leider finde ich den einen Virus nicht, hab wie immer per Suchfunktion nach "infected" gesucht.
Wahrscheinlich handelt es sich um ein "tagged as not-a-virus", damit markiert eScan Adware, Spyware, etc. Dinge die eben nicht direkt Viren sind, kannst ja mal versuchen danach zu suchen. Nebenbei: scannst du im normalen Modus? Nicht im abgesicherten? Die hohe Zahl an Errors lässt diese Vermutung bei mir aufkommen, wenn du im normalen Modus scannst hole es auch mal noch im Abgesicherten nach, das hab ich wohl vergessen zu erwähnen.

Ansonsten lösche zunächst einmal die gefundenen Dateien vom Panda.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
13.07.2005, 12:30
Member

Themenstarter

Beiträge: 12
#14 Adware:Adware/MyWay No disinfected Windows Registry == Wie lösche ich diese Adware?
Adware:Adware/ExactSearch No disinfected Windows Registry == Wie lösche ich diese Adware?
Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\RSS~1.EXE == wird nicht gefunden, Datei RSS~1.EXE gibt es in diesem Ordner nicht.
Seitenanfang Seitenende
13.07.2005, 13:25
Member
Avatar Malkesh

Beiträge: 669
#15

Zitat

Adware:Adware/MyWay No disinfected Windows Registry == Wie lösche ich diese Adware?
Adware:Adware/ExactSearch No disinfected Windows Registry == Wie lösche ich diese Adware?
Das sind Einträge in der Registry, die muss man manuell entfernen, sind keine Dateien zum löschen. Aber da muss ich auch erst einmal nachschauen welche Einträge diese Adware erstellt.

Zitat

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\RSS~1.EXE == wird nicht gefunden, Datei RSS~1.EXE gibt es in diesem Ordner nicht.
Hast du die Einstellungen deines Windows-Explorers einmal überprüft?
Siehe hier:

Zitat

Quelle: http://board.protecus.de/t16317.htm

Häufig kommt es auch vor, dass User berichten sie könnten eine angeblich infizierte Datei nicht finden. Dies liegt an den Einstellungen des Windows Explorers.
Extras >> Ordneroptionen... >> Ansicht
Hier stellt man sicher dass folgende Einträge ausgewählt sind:
"Inhalte von Systemordnern anzeigen"
"Alle Dateien und Ordner anzeigen"
Außerdem sollten folgende Einträge nicht ausgewählt sein:
"Erweiterungen bei bekannten Dateitypen ausblenden"
"Geschützte Systemdateien ausblenden"
Nun werden alle Dateien angezeigt und sollten auffindbar sein.
Bis auf diese 3 Einträge ist sonst erst mal alles sauber gewesen?


edit:
Für MySearch versuche einmal folgendes:
- zunächst einmal lösche die Cookies deiner Browser auf deinem Rechner, manuell oder z.B. mit dem RegCleaner (diesen kannst du hier: http://virus-protect.org/reinigungstoolsregistry.html finden)
- http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090717
Wenn du Englisch kannst, versuche es einmal mit den Tipps unter "Detection and Removal - Manual Removal" auf dieser Seite, bei Problemen frag einfach nach ;)

Für ExactSearch gibt es hier eine Anleitung nach ähnlichem Schema:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453072519
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 13.07.2005 um 15:52 Uhr von Malkesh editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: