hallo,
meine Firewall(Kerio Personall 4) hatte eine Meldung, das mein AntiVirenKit einen Virenfund vermeldet.
Das Virenprogramm sprach nicht wie sonst eine Warnung aus, hatte aber im Protokoll einen Eintrag.
Virus nicht gesäubert, nicht gelöscht und nicht in Quarantäne.
Danach ließ ich den Scanner noch mal laufen, er fand aber nichts.
Wie kann das möglich sein?
Ich hoffe, mir kann jemand helfen!!
Danke im Voraus

Gruß

echeos_9

Poste ein HiJackThis-Logfile rein.

Logfile of HijackThis v1.98.2
Scan saved at 20:00:41, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TweakRAM\TweakRAM.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\DVDREG~2\DVDRegionFree.exe
C:\WINDOWS\explorer.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\Volumenzaehler\BoVolume.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Holger\LOKALE~1\Temp\Rar$EX00.890\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TweakRAM] C:\Programme\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - Global Startup: ALF-Reminder.lnk = C:\Programme\ALFBanCo\Common\AlfReminder.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {B65C6FEC-5296-444E-932D-8161C1DCFB6B} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {B65C6FEC-5296-444E-932D-8161C1DCFB6B} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D9A0BC7-C013-4D07-8A14-FAEF4793FFEE}: NameServer = 62.52.12.36 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D9A0BC7-C013-4D07-8A14-FAEF4793FFEE}: NameServer = 62.52.12.36 193.189.244.205


Ich hoffe, daß Du was findest!

Gruß

echeos_9

Hallo,
erstens mal ist Dein System nicht auf dem neuesten Stand. Windows update auf SP 2 machen, gilt auch für den IE (da gibt´s über das SP 2 hinaus schon ein neues update).
Zweitens vermute ich, du hast mit XP-antispy experimentiert, da passiert alles mögliche... Wie sinnvoll das wirklich ist liest Du hier.
Die folgenden solltest Du im abgesicherten Modus fixen:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O4 - Global Startup: hpoddt01.exe.lnk = ?

Die Datei: C:\WINDOWS\web\related.htm dann manuell löschen.

Wenn Du die IP:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D9A0BC7-C013-4D07-8A14-FAEF4793FFEE}: NameServer = 62.52.12.36 193.189.244.205
nicht kennst (kannst Du hier überprüfen), dann auch fixen, und zwar beide Einträge.

Mach mal und melde Dich wieder wenn du alles erledigt hast.

cacatoa

Servus,
erst mal vielen Dank für Deine schnelle Antwort!!

habe alles außer der O4 gefixt. Dieser Eintrag hat doch mit meinem Drucker zu tun (Hewlett Packard), oder?
Wie kann ich übbrigens herausfinden, ob der Trojaner noch auf meinem Sytem ist?
Apropo: Den IE nutze ich überhaupt nicht.
Vom SP2 ist mir auch schon von einigen Seiten abgeraten worden.
Bin mit dem SP1 bis jetzt, naja außer ein paar "Kleinigkeiten", auch ganz gut gefahren.
Ich denke, das die meisten Tojaner auch trotz SP2 auch meinen Rechner kommen, oder?
Wenn ich die im abgesicherten Mod gescannt habe, konnte ich sie einwandfrei löschen.
Nur diesen Störenfried finde ich überhaupt nicht mehr.

Gruß

echeos_9

Hi,
den Eintrag O4 kannst Du fixen, er ist ohne Funktion und daher überflüssig.
Alle möglichen Leute reden schlecht über SP 2 - hast Du von konkreten Problemen gehört? Also, ich kenn keinen, der damit wirkliche Probleme hat. Da wird jede Menge "interessantes" Zeug reininterpretiert (siehe den Linkzu xpantispy). Dir fehlen die ganzen Sicherheitspatches und ich freue mich, dich bald wieder hier begrüßen zu dürfen.....
Jetzt solltest Du prüfen, ob wirklich alles sauber ist:

lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

bis dann
cacatoa

Hallo,

Habe mit eScan gescannt.

Fri Nov 26 17:14:36 2004 => Total Files Scanned: 3326
Fri Nov 26 17:14:36 2004 => Total Virus(es) Found: 2
Fri Nov 26 17:14:36 2004 => Total Disinfected Files: 0
Fri Nov 26 17:14:36 2004 => Total Files Renamed: 0
Fri Nov 26 17:14:36 2004 => Total Deleted Files: 0
Fri Nov 26 17:14:36 2004 => Total Errors: 7
Fri Nov 26 17:14:36 2004 => Time Elapsed: 00:02:25
Fri Nov 26 17:14:36 2004 => Virus Database Date: 2004/11/26
Fri Nov 26 17:14:36 2004 => Virus Database Count: 110568

Fri Nov 26 17:14:36 2004 => Scan Completed.

Anscheinend wurde nur Adaware gefunden
1.AdWareMetaDirect.b (No Action Taken)
2.AdWwareSaveNow.z
not-a-virus
Aber ich frage mich immer noch, wo dieser Trojaner ist!!
Noch ne andere Frage.
Kannst Du mir sagen, wie ich in das Verzeichniss" C\Dokumente~1\mein Name\LOKALE~1\Temp" gelange?
In diesem Verzeichniss hatte ich schon mal Probleme.
Gruß
echeos_9

Bins noch mal, hatte nicht alles gescannt.
AdWare BackWeb.a
Tool.Win32.RBoot wurde auch noch gefunden.
Sind auch keine Viren, meldet der Scanner "No Action Taken"
Aber Win32.RBoot ist doch ein Trojaner, oder?

Gruß

echeos_9

Es heißt wahrscheinlich: Tool.Win32Reboot.
Das ist o.k.
Die anderen greifst Du folgendermaßen an:
Lade Dir AdAware Se mitsamt den Sprachdateien runter und lass es laufen, lösche alles, was es findet und dann auch den Quarantäne-Ordner. (Vorher updaten)
Desweiteren Spybot S& D 1.3 und ebenfalls laufen lassen. (Vorher updaten)
Dann holst Du Dir noch clearprog 1.4.0 final und drückst "alles löschen". Damit sind alle temporären Dateien weg. Dies empfiehlt sich nach jeder Internetsitzung.

Dann berichte bitte neu.

Hallo,

Spybot und Adaware hab ich schon drauf.
Aber die finden doch haupsächlich nur Spyware und Cookies, oder?
Vielleicht kannst Du mir noch irgendeinen Tipp geben, wie ich diesen Trojaner finden kann.
Ich habe jetzt herausgefunden, das er auf einer CD-R drauf war.
Kann es sein, das er, nachdem ich ich CD-R aus dem Laufwerk nahm, nicht mehr in meinem System ist?

Gruß

echeos_9

Sorry, habe das Ergebnis vergessen!
Spybot fand nur DSO Exploit, das findet er nach jeder Sitzung.
Und Adaware fand 3 mal Alexa "Data Miner" in der Registry.
Clearprog hatte über 50MB gelöscht.
Gruß
echeos_9

Hallo,
ich hätte da noch ne Frage.
Habe meine Ports gescannt und 3 sind offen.
1. Frage: Müssen alle Ports geschlossen sein?
2.Frage: Kann ich die offenen Ports schließen.

PS. Sorry für die vielen Antworten
Einer Hundeseele könnte man auch verzeihen!!

Gruß

echeos_9

Hallo, echeos_9!
Schau mal hier rein und mach auch den portscan. Dann schaust Du weiter.
cacatoa