Hi,

habe ich mich an eine "Säuberungsaktion" nach Anweisung gemacht. Da mir ein paar Punkte noch nicht klar sind, freu ich mich über Tipps, wie ich meinen Rechner völlig sauber bekomme.

Kaspersky:
Überprüfe ich C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe mit Kaspersky, bekomme ich folgende Info:
toau.exe - packed with UPX
toau.exe Infiziert: not-a-virus:AdWare.PurityScan.w

Im Taskmanger taucht der Prozess zwar nach dem Beenden nicht mehr auf, bleibt aber unter "Dokumente und Einstellungen" weiter bestehen.

Für C:\WINDOWS\system32\??oolsv.exe bekomme ich gar kein Ergebnis. Konnte die Datei unter "Dokumente und Einstellungen" auch nicht mehr finden. Was hat es denn mit den Fragezeichen auf sich? Ich kenne nur spoolsv.exe.

Folgendes habe ich vor den Scans gemacht:

Im Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Soll ich die Veränderungen im Windows Explorer ->"Extras/Ordner... eigentlich wieder rückgängig machen?

Als ich

c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen wollte, bekam ich die Info, dass dieser Vorgang problematisch sei, da es sich um eine Systemdatei handelt. Also was tun?


eScan
Mit eScan habe ich ein Problem mit dem update. Ich bekomme die Info, dass das Archiv veraltet ist und dass ich über www.mwti.net einen Update machen soll. Da finde ich mich aber nicht so zurecht. Das automatische Update findet nicht statt, obwohl ich den Ordner brav wie vorgegeben angelegt habe. Es hätte ja beim Download von eScan auch noch c:\bases\mwav.exe entstehen sollen, der dann den Update auslöst. Oder habe ich da etwas falsch verstanden?

Mach ich den Scan ohne das Update bekomme ich folgendes Ergebnis:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:7
c:\windows\system32\mqexdlm.srg tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\javexulm.vxd tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exdl0.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exdl1.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exul1.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\netut80ex.vxd tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\instsrv.exe tagged as not a virus:RiskWare Tool Service Runner.f.No
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Errors: 2

c:\windows\system32\angelex.exe Error invalid entry
c:\windows\system32\??oolsv.exe Scanning failure

Was ist hier zu tun? Können diese Einträge von Hand gelöscht werden?

Hier noch mein aktuelles Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:00:30, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\hijackthis_198\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099599755087
O17 - HKLM\System\CCS\Services\Tcpip\..\{678BD7E9-B413-4041-A010-A32434B56A5E}: NameServer = 217.237.151.161 217.237.151.33

Vielleicht kann man mir auch noch erklären, wieso die verschiedenen Tools zu unterschiedlichen Ergebnissen kommen? Mein Rechner läuft jetzt wieder besser, aber ich bin trotzdem irritiert über die o.a. Ergebnisse.

Vielen Dank

Adriana

Hallo, Adriana

Die einstellungen im Explorer belassen; brauchst Du ja wieder mal.

Die da: C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe würde ich mal löschen.

Warum wolltest Du die:
c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen?

Zitat:

Es hätte ja beim Download von eScan auch noch c:\bases\mwav.exe entstehen sollen, der dann den Update auslöst

Nee, Du hättest den Ordner C:\bases erstellen sollen, die mwav.exe dortrein entpacken, und dann updaten (kavupd.exe), dann laufen lassen (mwav.com). Aber wenn du eh Kaspersky drauf hast (upgedated) ist der eScan überflüssig, ist ja kaspersky.

Die da: c:\windows\system32\??oolsv.exe solltest Du suchen.
Und zusammen mit der: c:\windows\system32\angelex.exe
Bei Jotti online scannen.

Den bargain buddy sollte man eingentlich im Logfile von HJT sehen; aber das ist sauber.
cacatoa

Hallo, Adriana

Zitat:

Die einstellungen im Explorer belassen; brauchst Du ja wieder mal.

OK

Zitat:

Die da: C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe würde ich mal löschen.

OK

Zitat:

Warum wolltest Du die:
c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen?

Sollte ich so machen und die Info ich dazu finden konnte lautet "Trojan Downloader". Hörte sich für mich nicht so gut an. Liege ich da falsch?

Zitat:

Nee, Du hättest den Ordner C:\bases erstellen sollen, die mwav.exe dortrein entpacken, und dann updaten (kavupd.exe), dann laufen lassen (mwav.com). Aber wenn du eh Kaspersky drauf hast (upgedated) ist der eScan überflüssig, ist ja kaspersky.

Tja, genau da häng ich ja schon. Also ich gehe auf die Seite von eScan und lade mir das Tool runter. Da habe ich die Wahl zwischen ausführen und speichern. Wenn ich also mvav.exe unter C:\bases speichere, ist diese Anwendung dort, aber wie geht es dann weiter? Kann nur unter den Temporären Dateien mvav.com finden. Wie kommen die verschiedenen Teile zusammen?
Kaspersky habe ich nicht auf dem Rechner. Ich habe dort nur die zwei Dateien untersuchen lassen.

Zitat:

Die da: c:\windows\system32\??oolsv.exe solltest Du suchen.
Und zusammen mit der:
Bei Jotti online scannen.
c:\windows\system32\angelex.exe

Jotti: zu c:\windows\system32\angelex.exe und c:\windows\system32\??oolsv.exe:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Zitat:

Den bargain buddy sollte man eingentlich im Logfile von HJT sehen; aber das ist sauber.

Warum bezeichnet eScan dann die angeführten Dateien als Viren? Hab' den Scan nochmals gemacht und habe das gleiche Ergebnis erhalten. Lediglich die "Errors" sind jetzt auf c:\windows\system32\??oolsv.exe reduziert.

Hoffentlich verliert ihr nicht die Geduld mit mir. Bin in "Schädlingsbekämpfung" noch absoluter Neuling...

Danke
Adriana

Zitat:

Wenn ich also mvav.exe unter C:\bases speichere, ist diese Anwendung dort, aber wie geht es dann weiter?

Dann musst du die mwav.exe, mittels "hier entpacken", in diesem Ordner entpacken.

Zitat:

Kann nur unter den Temporären Dateien mvav.com finden.

Die Datei heisst nicht mwav.com sondern mwavscan.com

Die bargain Dateien solltest du löschen.

Scanne nochmals mit aktualisierten eScan und poste anschliessend die Virus Log Information.

Jetzt habe ich das endlich hinbekommen mit eScan. Hab' mich wohl ziemlich dämlich angestellt.

Hier das Ergebnis mit ein paar Fragen meinerseits zwischendrin:

Thu Dec 02 01:21:50 2004 =>

**********************************************************
Thu Dec 02 01:21:50 2004 => Version 4.6.9 (C:\bases\mwavscan.com)
Thu Dec 02 01:21:50 2004 => Log File: C:\bases\mwav.log
Thu Dec 02 01:21:50 2004 => Latest Date of files inside MWAV: 01 Dec

2004 07:00:52.
Thu Dec 02 01:21:53 2004 => AV Library Loaded...
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavss.exe
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\Getvlist.exe
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavss.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavssdi.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavssi.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\kavvlg.dll
Thu Dec 02 01:21:53 2004 => Scanning File C:\bases\msvlclnt.dll
Thu Dec 02 01:21:54 2004 => Scanning File C:\bases\ipc.dll
Thu Dec 02 01:21:54 2004 => Scanning File C:\bases\main.avi
Thu Dec 02 01:21:54 2004 => Scanning File C:\bases\virus.avi
Thu Dec 02 01:21:54 2004 => Virus Database Date: 2004/12/01
Thu Dec 02 01:21:54 2004 => Virus Database Count: 111085
Thu Dec 02 01:22:03 2004 => AV Library Unloaded (3)... Fehlt hier etwas???
**********************************************************
2004 01:01:16.

Thu Dec 02 01:27:16 2004 => Options Selected by User:
Thu Dec 02 01:27:16 2004 => Memory Check: Enabled
Thu Dec 02 01:27:16 2004 => Registry Check: Enabled
Thu Dec 02 01:27:16 2004 => StartUp Folder Check: Enabled
Thu Dec 02 01:27:16 2004 => System Folder Check: Enabled
Thu Dec 02 01:27:16 2004 => System Area Check: Disabled
Thu Dec 02 01:27:16 2004 => Services Check: Enabled
Thu Dec 02 01:27:16 2004 => Drive Check Option Disabled
Thu Dec 02 01:27:16 2004 => Folder Check: Disabled

Hätte ich hier etwas auswählen müssen? Weil es z.T. "disabled" heißt?
++++++++++++++++++++++++++++++++++++++++++++
Thu Dec 02 01:32:32 2004 => Total Files Scanned: 2703
Thu Dec 02 01:32:32 2004 => Total Virus(es) Found: 1

C:\WINDOWS\system32\mac80ex.idf
Thu Dec 02 01:31:37 2004 => File C:\WINDOWS\system32\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

Thu Dec 02 01:32:32 2004 => Total Disinfected Files: 0
Thu Dec 02 01:32:32 2004 => Total Files Renamed: 0
Thu Dec 02 01:32:33 2004 => Total Deleted Files: 0
Thu Dec 02 01:32:33 2004 => Total Errors: 1
C:\WINDOWS\system32\??oolsv.exe
Thu Dec 02 01:28:58 2004 => Result: ERROR!!! File
C:\WINDOWS\system32\??oolsv.exe: Scanning Failure!!!
Thu Dec 02 01:28:58 2004 => ERROR!!! ScanFile fails for
C:\WINDOWS\system32\??oolsv.exe

Gibt es beim Scan, bzw. beim Löschen von Dateien (Bsp.mac80ex.idf) sonst noch etwas zu beachten (abgesicherter Modus etc.)?

Nochmals vielen Dank für eure Geduld

Adriana

Ja, es fehlt was.
Du mußt vor dem Scan die Häkchen setzen, wie in der Anleitung beschrieben.
Vor allem: "Scan all local drives".

So, jetzt habe auch ich den escan auf die Reihe bekommen (die Anleitung auf www.trojaner-info.de habe ich erst spät entdeckt). Hier das Ergebnis:

=>Total Number of Files Scanned:45142
=>Total Number of Viruses found:15
C:\WINDOWS\system32\mac80ex.idf
Fri Dec 03 13:15:24 2004 => File C:\WINDOWS\system32\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
C:\Recycled\DC3.exe tagged as not-a-virus: Purity Scan.w. No Action Taken.
C:\Recycled\DC4.srg tagged as not-a-virus: Bargain Buddy.n. No Action Taken.
C:\Recycled\DC5.vxd tagged as not-a-virus: Bargain Buddy.n. No Action Taken.
C:\Recycled\DC6.exe tagged as not-a-virus: Bargain Buddy.n. No Action Taken.
C:\Recycled\DC7.exe tagged as not-a-virus: Bargain Buddy.n. No Action Taken.
C:\Recycled\DC8.exe tagged as not-a-virus: Bargain Buddy.n. No Action Taken.
C:\Recycled\DC9.vxd tagged as not-a-virus: Bargain Buddy.n. No Action Taken.
C:\Dokumente und Einstellungen\NN.NN-...\Anwendungsdaten\soht.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
C:\System Volume Information\_restore{70F155BB-4209-4D7E-845E-11111E21193A}\RP45\A0005471.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.
C:\WINDOWS\system32\mac80ex.idf
C:\System Volume Information\_restore{70F155BB-4209-4D7E-845E-11111E21193A}\RP45\A0005471.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action
C:\System Volume Information\_restore{70F155BB-4209-4D7E-845E-11111E21193A}\RP47\A0005506.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
C:\System Volume Information\_restore{70F155BB-4209-4D7E-845E-11111E21193A}\RP47\A0005507.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
C:\System Volume Information\_restore{70F155BB-4209-4D7E-845E-11111E21193A}\RP47\A0005508.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
C:\System Volume Information\_restore{70F155BB-4209-4D7E-845E-11111E21193A}\RP47\A0005511.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
Fri Dec 03 13:15:24 2004 => File C:\WINDOWS\system32\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
=>Total Number of Desinfected Files:0
=>Total Number of Files Renamed:0
=>Total Number of Deleted Files:0
=>Total Errors: 28
Bspe.:
Fri Dec 03 15:30:54 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eXactAdvertisingBargainsBuddy1.zip is Not Scanned
Fri Dec 03 15:30:54 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit13.zip is Not Scanned
Fri Dec 03 14:47:47 2004 => Result: ERROR!!! File C:\WINDOWS\system32\??oolsv.exe: Scanning Failure!!!
Fri Dec 03 14:47:47 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\??oolsv.exe

Was hat es denn mit den Fehlern auf sich? Die meisten Fehler tauchen im Zusammenhang mit Spybot auf.

Bin gespannt auf eure Antwort(en). Mich interessiert besonders, wie mit Virus(en)/Fehlern zu verfahren ist, bei denen es keine Infos gibt. Ich habe z.B. nichts zu "mac80ex.idf" gefunden. Kann ich alle Dateien, die zu einem schlechten Programm wie BargainBuddy geören löschen?

Vielen Dank

Adriana

erst mal entschuldigung dass ich mich da dranhänge, aber auf Anraten hab ich auch escan bei mir installiert. und ich habe auch C:bases angelegt.
Aber er entpackt immer nach C:\ Windows\Temp und ich kanns nicht verhindern.

Wie soll ich das anstellen dass er ins bases-Verzeichnis entpackt???

Wenn du Thread ganz durchgelesen hast, dann kannst vielleicht erkennen, dass ich auch das Problem hatte.
Mir hat die "Gebrauchsanweisung" unter http://www.trojaner-info.de//hijacker/escan.shtml weitergeholfen. Nur Geduld klappt bestimmt noch .

Adriana

@Adriana
lade dir clearprog von www.clearprog.de
programm starten, alle häkchen bei windows und IE setzen, danach löschen.

jetzt wird es zeit dich von bargain buddy zu verabschieden

Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.


@Simone_25
bitte genauso durchführen wie es beschrieben wird.

chaosman

Clearprog habe ich benutzt. Einen weiteren Schritt in Richtung "blitzblank" habe ich also gemacht

Beim Löschen der Dateien bin ich mir noch etwas unsicher, wie der Hinweis in Bezug auf das Zitat von Cidre gemeint war. Kann ich alle Einträge löschen, die in der Virus-Liste von escan aufgeführt sind? Es gibt da ja nicht nur Dateien meines unliebsamen Kumpels "BargainBuddy", sondern auch solche:
C:\Dokumente und Einstellungen\NN.NN-...\Anwendungsdaten\soht.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.

Vielleicht kann mir jemand nochmals die grundsätzliche Vorgehensweise erklären? Können also alle Dateien, die einem schlechten Programm zuzuordnen sind, bedenkenlos gelöscht werden? Irgendwie hab' ich da noch so etwas im Kopf, dass beim manuellen Löschen immer noch einzeln geprüft werden sollte.
Weiter unten im Thread bin ich ja von cacatoa gefragt worden, warum ich "c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe" löschen möchte?

Und ich wiederhole auch noch mal die Frage zu den von escan gefundenen "errors". Was hat es damit auf sich? Ist hier noch etwas zu tun?

Vielen Dank

@Adriana
poste einfach bitte nur die gefundene ergebnisse von escan.
alles mit Adware kannst du löschen.

chaosman