Hallo,
ich weiß, das Thema ist schon ziemlich alt, aber hätte einer von Euch Lust und Zeit mir bei der Beseitigung behilflich zu sein ? Ich habe zwar schon viel gelesen und auch einiges ausprobiert, aber ich habe immer wieder das Problem das das Problem immer wieder auftaucht.

Anbei der Scan-Report von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 00:34:56, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\klivtb.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\programme\t-online\t-online_software_5\browser\browser.exe
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6FF4337F-BC39-25CF-8202-16550CF67B18} - C:\WINDOWS\System32\oho.dll
O2 - BHO: (no name) - {8D2AB820-4792-EC0B-EEC6-7066F20405E7} - C:\WINDOWS\system32\atlsw.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [cehoxrnxed] C:\WINDOWS\System32\klivtb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: www.web.de
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ps.../axscanner.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38E42F24-4D95-4E0C-83BA-64030CFF4C89}: NameServer = 217.237.150.225 217.237.150.141

Ich hoffe mir kann jemand helfen ...

Gruß
Sven

Hallo,

poste nochmal ein aktuelles Log-File mit der Version 1.98.2 .
http://www.chip.de/downloads/c_downloads_11353576.html

Hi,

anbei der neuste Scan mit der neuesten Version.

Gruß
urbsv01

Logfile of HijackThis v1.98.2
Scan saved at 23:11:54, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\klivtb.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Gonzo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6FF4337F-BC39-25CF-8202-16550CF67B18} - C:\WINDOWS\System32\oho.dll
O2 - BHO: (no name) - {8D2AB820-4792-EC0B-EEC6-7066F20405E7} - C:\WINDOWS\system32\atlsw.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [cehoxrnxed] C:\WINDOWS\System32\klivtb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: www.web.de
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ps.../axscanner.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38E42F24-4D95-4E0C-83BA-64030CFF4C89}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

@ urbsv01

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\klivtb.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\System32\oho.dll
C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\Programme\SideFind\sidefind.dll

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8D2AB820-4792-EC0B-EEC6-7066F20405E7} - C:\WINDOWS\system32\atlsw.dll (file missing)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!h**p://69.50.173.250/win32se.chm::/wintbl32.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

bitte fixen, wenn Du diese Einträge nicht kennst/brauchst:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
O16 - DPF: ppctlcab - h**p://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://www.my-etrust.com/includes/p...r/axscanner.cab

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

--> bitte lesen: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Hallo,

folgende Informationen für Dich:

Der jotti virusscan hat ergeben das folgende drei Files Viren sind
C:\WINDOWS\System32\klivtb.exe
C:\WINDOWS\System32\oho.dll
C:\Programme\SideFind\sidefind.dll


Der eScan ergab folgendes Ergebniss:
Mon Dec 06 10:52:51 2004 => ***** Checking for specific ITW Viruses *****
Mon Dec 06 10:52:51 2004 => Checking for Welchia Virus...
Mon Dec 06 10:52:51 2004 => Checking for LovGate Virus...
Mon Dec 06 10:52:51 2004 => Checking for CodeRed Virus...
Mon Dec 06 10:52:51 2004 => Checking for OpaServ Virus...
Mon Dec 06 10:52:51 2004 => Checking for Sobig.e Virus...
Mon Dec 06 10:52:51 2004 => Checking for Winupie Virus...
Mon Dec 06 10:52:51 2004 => Checking for Swen Virus...
Mon Dec 06 10:52:51 2004 => Checking for JS.Fortnight Virus...
Mon Dec 06 10:52:51 2004 => Checking for Novarg Virus...
Mon Dec 06 10:52:51 2004 => Checking for Pagabot Virus...
Mon Dec 06 10:52:51 2004 => Checking for Parite.b Virus...
Mon Dec 06 10:52:51 2004 => Checking for Parite.a Virus...

Mon Dec 06 10:52:51 2004 => ***** Scanning complete. *****

Mon Dec 06 10:52:51 2004 => Total Files Scanned: 3644
Mon Dec 06 10:52:51 2004 => Total Virus(es) Found: 15
Mon Dec 06 10:52:51 2004 => Total Disinfected Files: 0
Mon Dec 06 10:52:51 2004 => Total Files Renamed: 0
Mon Dec 06 10:52:51 2004 => Total Deleted Files: 0
Mon Dec 06 10:52:51 2004 => Total Errors: 2
Mon Dec 06 10:52:51 2004 => Time Elapsed: 00:03:08
Mon Dec 06 10:52:51 2004 => Virus Database Date: 2004/12/06
Mon Dec 06 10:52:51 2004 => Virus Database Count: 111596

Mon Dec 06 10:52:51 2004 => Scan Completed.

Hijack Logfile (im abgesicherter Modus):
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ps.../axscanner.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab

@ urbsv01,

dass es Viren sind, war mir klar. Ich möchte aber bitte die Namen der Viren wissen. Sowohl die Namen der Viren, die Jotti festgestellt hat, als auch die Namen der Viren, die der eScan auf Deinem System gefunden hat: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Das Logfile auszuarbeiten, erspare ich mir vorläufig, da ich erst die Namen der Viren wissen möchte.

SD

Halb-Offtopic:

Zitat:

Zitat von Shadowdance

@ urbsv01

Überprüfe mit virusscan.jotti.dhs.org:

......

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Warum in aller Welt empfiehlst Du immer erst einzelne Dateien bei jotti zu überprüfen und anschließend eScan?

Wenn -was ja richtig ist- eScan empfohlen wird, ist es imho viel sinnvoller dieses als 1. Schritt zu machen. Wenn nach eScan noch zweifelhafte Dateien 'über bleiben' ist eine Überprüfung bei jotti sicherlich nichts falsches, wobei ich (ICH) allerdings so meine Zweifel habe, dass die anderen dort eingebundenen Scanner wirklich mehr finden...

OT:

Recht haste Lutz und die Lösung die du meiner Tochter gepostet hast war effektiver, als die, die in der neuen Chip angeboten wird!
LG, Charlie
Ganz lieben Dank

Zitat:

Zitat von Lutz

Halb-Offtopic:
Warum in aller Welt empfiehlst Du immer erst einzelne Dateien bei jotti zu überprüfen und anschließend eScan?

um neue Malware feststellen und verschiedenen AV-Programm-Herstellern zum erstellen neuer Signaturen übergeben zu können, sollte die Malware auf den befallenen Systemen noch vorhanden sein. Es handelt sich bei vielen Malware-Einträgen um unbekannte Dateien, die sich dann u.a. als Würmer mit Backdoor-Funktionalität erweisen. Lassen wir diese Malware mit dem löschenden eScan vom System entfernen, wissen wir zwar, dass es sich bei den Einträgen um Malware gehandelt hat, die durch KAV/eScan erkannt wurde, aber von vielen anderen AV-Programmen vorläufig nicht erkannt werden kann. Somit halte ich es für effektiver, erst den Jotti-Scan durchführen zu lassen, dann diese Dateien der Forschung zu übergeben und sie erst dann von den Systemen zu entfernen. Es ist Mehrarbeit, dauert länger und hilft den Betroffenen nicht sofort, hat aber - meiner Ansicht - den Effekt, dass diese Dateien dann in Zukunft sofort als die Viren erkannt werden können, die sie sind.

Sollte mein Gedankengang falsch sein, lasse ich mich selbstverständlich eines Besseren belehren.

Shadowdance

Zitat:

Zitat von Shadowdance

... Somit halte ich es für effektiver, erst den Jotti-Scan durchführen zu lassen, dann diese Dateien der Forschung zu übergeben...

Welche 'Forschung'?
Du meinst doch bestimmt nicht jottis private Sammlung?

Zitat:

By uploading files to this online service you agree that your files will be stored locally for personal virus collection interests.

Was der gute jotti -so es denn eine natürliche Person sein sollte- mit seiner Sammlung anstellt wissen wir nicht. Zumindest ich nicht. Somit könnte er seine Sammlung (zumindest theorethisch) für gute, aber auch für schlechte Zwecke verwenden, wobei beides zugegebenermaßen Spekulation ist...

Solltest Du mit Forschung meinen,

Zitat:

Schicke die Datei xy zu Forschungszwecken bitte gezippt mit Passwort versehen an 123at456.78...

,
dann ist das (ganz allgemein) auch so eine Vorgehensweise, die mir seit langem eher negativ aufstößt. Forschungszwecke ist so ein großes Wort, aber wer bitte forscht denn an welcher Stelle wonach? Ist 123at456.78 jemand, der bei einem AV-Hersteller tätig ist, oder jemand, der bei einer 'unabhängigen Wohltätigkeitsorganisation' tätig ist oder jemand, der sich mit 'seinen privaten Sammlungen' bei diversen AV-Herstellern anbiedert -ähem anbietet. Ich weiß es nicht!

Zitat:

Zitat von Lutz

Welche 'Forschung'?
Du meinst doch bestimmt nicht jottis private Sammlung?

--> nein, ich meine nicht Jottis private Sammlung ;-)

Zitat:

Zitat von Lutz

Solltest Du mit Forschung meinen, dann ist das (ganz allgemein) auch so eine Vorgehensweise, die mir seit langem eher negativ aufstößt. Forschungszwecke ist so ein großes Wort, aber wer bitte forscht denn an welcher Stelle wonach? Ist 123at456.78 jemand, der bei einem AV-Hersteller tätig ist, oder jemand, der bei einer 'unabhängigen Wohltätigkeitsorganisation' tätig ist oder jemand, der sich mit 'seinen privaten Sammlungen' bei diversen AV-Herstellern anbiedert -ähem anbietet. Ich weiß es nicht!

Soweit ich informiert bin, werden die eingereichten Dateien überprüft und an verschiedene AV-Hersteller weitergereicht zum erstellen neuer Signaturen und Erkennen von neuer Malware. Eine freiwillige Aufgabe, der sich ein junger Idealist unterstellt hat, die viel Arbeit macht und vielen Usern nützt .... ich sehe darin nichts Negatives. Solltest Du mehr wissen wollen, steht es Dir frei, Dich bei dem Betreffenden zu erkundigen oder der Betreffende könnte sich mit Dir in Verbindung setzen .. ein Gespräch kann Fragen klären und Deutlichkeit verschaffen ..

Warum etwas negativ sehen, wenn man es auch positiv sehen kann und es sich um eine idealistische Einstellung handelt .. die natürlich in gewisser Weise wohltäterisch ambitioniert ist .. aber sind wir hier nicht alle Idealisten, die sich in gewisser Weise zum Wohle anderer einzetzen? Oder kannst Du mir jemanden nennen, der sich freiwillig nach getaner Arbeit in Netz begibt und dort weiter arbeitet, wenn es sich nicht um einen Idealisten oder Wohltäter der Menschheit handelt? So gesehen sind wir alle Spinner, denen das Schicksal anderer nicht egal ist und die sich in ihrer rar bemessenen Freizeit um andere kümmern. Es gibt bestimmt ne ganze Menge Leute, die uns mitleidig belächeln ... mich begleiten die Lächler schon seit vielen Jahren .. hab mich an sie gewöhnt. Aber DAS ist nun wirklich offtopic hier.

Sprecht Euch aus .. ich halte das, was Du skeptisch beäugst für in Ordnung und für eine tolle, arbeitsreiche und mühevolle Aufgabe.

Shadowdance

http://www.microsoft.com/downloads/...45-9E368D3CDB5A

nicht winows update com
Zumindest soll jetzt die Systemwiederherstellung deaktiviert werden- dasmuß auch so.

"Forschung" ist vielleicht ein bißchen übertrieben, aber ebenso ein wenig übertrieben ist auch, finde ich, der "Verdacht" gegenüber denjenigen, die sich diese Viren schicken lassen. Sowohl hier (*Christian*) als auch bei Rokop sind es Leute, die aktiv bei Malwarebefall mithelfen, daher wäre es schon reichlich abwegig, unlautere Motive zu unterstellen. Ganz sicher kann man, wie fast überall, natürlich nicht sein, aber es ist schon etwas weit hergeholt.

Nun gut denn:

1.) Ich habe hier keine Namen genannt außer jotti, von dem ich immer noch nicht weiß, ob es sich um eine natürliche Person, eine fiktive Person, eine Fa., what ever handelt. Es interessiert mich auch nicht sonderlich. Das, was dort unter dem -sagen wir mal- Namen jotti angeboten wird, halte ich auch in Einzelfällen für eine sinnvolle Ergänzung bei der Überprüfung einzelner suspekter Dateien. Nicht weniger aber auch nicht mehr. Das dort freimütig zugegeben wird, dass die hochgeladene Malware 'zu privaten Zwecken' gesammelt wird, befremdet mich dagegen schon.

2.) Die Namen *Christian* und Rokop habe ich nicht ins Spiel gebracht. Und einen Verdacht in Bezug auf diese Personen habe ich auch nicht geäußert. Wenn jemand in meine Worte etwas interpretiert, was dort nicht steht, ist das nicht meine Schuld.

3.) Im Fall Rokop -wo schon einmal Namen gefallen sind- mache ich auch hin und wieder gebrauch davon (vermeintliche) Malware an Roman zu schicken, damit er -mit seinem von sich und seinem Team erarbeiteten Standing bei div. AV-Herstellern- diese zur Analyse weiterreichen kann. Wobei es mir wichtig ist, um dieses Standing zu wissen. Technisch wär es auch für mich kein Problem, eine Summe x an Malware an eine Summe y von AV-Herstellern weiterzureichen.

4.) Warum mir dieses 'Schicke bitte Datei a an Person b' nicht gefällt:
Bitte sehr:
Ein neuer User kommt mit (s)einem speziellen Problem hier ins Board. Völlig unerfahren mit den Gegebenheiten, nichts und niemanden hier kennenend. Und innerhalb seines 1. Threads bekommt er die Aufforderung, (evtl.) infizierte Dateien 'zu Forschungszwecken' an eine ihm wildfremde Person zu schicken. Oftmals nicht einmal wissend, dass sich die Person hinter der Mailadresse nicht einmal mit der auffordernden Person deckt. Ich würde das in einem mir fremden Forum äußerst suspekt finden. Mal ganz abgesehen davon was dabei aus Unwissenheit/Unbedarftheit (auf seiten des Absenders!) schief gehen kann...

Für heute solls das aber von meiner Seite gewesen sein.
Gute Nacht, allerseits

P.S. Nächste Woche arbeite ich wieder und dann habe ich für meine 'Nörgeleien' sowieso keine Zeit mehr...

Zitat:

Zitat von Lutz

Was der gute jotti -so es denn eine natürliche Person sein sollte- mit seiner Sammlung anstellt wissen wir nicht.

Lt. raman haben AV-Hersteller Zugang zu seiner Datenbank bzw. lassen sich unerkannte Malware direkt zuschicken.
Nur Bitdefender und Panda holen sich nichts ab.

Auch hier ist Jotti bekannt: http://lists.clamav.net/lurker/list/...irusdb.en.html

Was mich betrifft ... natürlich forsche ich nichts nach ... ich checke lediglich, welcher AV-Hersteller die Malware nicht erkennt und überlasse anschl. diese.
Bis jetzt hat sich noch niemand bei mir beschwert.
Ich verstehe deshalb deine Reitzüberflutung nicht.
Sollte jemand ein Problem mit jemanden bzw. der Vorgehensweise haben, so kann man denjenigen per PM anschreiben.