Hallo,

Ich hab' mir im Laufe der Zeit Haufenweise Viren etc. eingefangen, weil meine Firewall eine Zeit lang defekt war und ich es nicht gemerkt habe...
Der Größte Teil ist jetzt weg; ich habe nacheinander zig Virenscanner drüberlaufen lassen, eine neue Firewall habe ich auch, aber eine Sache werde ich nicht los: alle 10 bis 20 Minuten öffnet sich ein Fenster in Mozilla Firefox, wo ich entweder auf die Seite eines Online Casinos gerate, oder auf so ein "Schützen sie ihren PC vor Viren"-Dingens, wobei bei letzterem auch ein Windows Fensterchen geöffnet wird, angeblich vom Microsoft-Windows-Sicherheits-Was-auch-immer, wo mir empfohlen wird, Antispy draufzumachen... Hier Mal das Logfile von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 14:15:01, on 20.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
F:\refreshlock\RefreshLock.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
f:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
F:\wallpaper\PictureShare\PSClient.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
F:\Programme\Predixis\MusicMagic Mixer\mDNSResponder.exe
f:\Programme\Alwil Software\Avast4\ashMaiSv.exe
F:\Programme\Mozilla Firefox\firefox.exe
f:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Robis\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/a0002/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "F:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RefreshLock] F:\refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [swhost] C:\WINDOWS\system32\swhost.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL
O4 - HKLM\..\Run: [AudioDrvEmulator] "F:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "F:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [DIAGENT] C:\Programme\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RCSystem] "F:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem *
O4 - HKCU\..\Run: [Steam] "f:\steam\steam.exe" -silent
O4 - Startup: PictureShare.net Startup.lnk = F:\wallpaper\PictureShare\PSClient.exe
O4 - Startup: Xfire.lnk = F:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC5EFFD-B6DA-4D27-9CC1-25A908AD94F0}: NameServer = 217.237.151.161 194.25.2.129
O23 - Service: Apple mDNSResponder - Apple Computer, Inc. - F:\Programme\Predixis\MusicMagic Mixer\mDNSResponder.exe
O23 - Service: avast! iAVS4 Control Service - Unknown - f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown - f:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - f:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Creative Service for CDROM Access - Unknown - C:\WINDOWS\system32\CTsvcCDA.EXE (file missing)
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\smc.exe



Klar, das Hotoffers Teil muss wech, aber es kommt immer wieder, wenn ich es lösche! Aber beim Rest habe ich kaum eine Ahnung, ob es sich so gehört, oder nicht... Also, für einen Tipp eurerseits wäre ich wirklich dankbar!!!

Grüße

Nicklaus

PS: Wenn ich bei dieser Windows Sicherheits Meldung auf OK klicke, komme ich auf diese Seite: http://antispy.globolook.com/index.p...30777&said=ad2

Und noch eine Frage: Welche Firewall und welche Antivirensoftware würdet ihr mir für die Zukunft empfehlen?
Zone Alarm läuft nicht, k.A., warum, aktuell habe ich eine von Sygate.
Antivir will ich nicht mehr, das hat 100e Viren draufgelassen und auch Avast findet nichts. Escan findet den Virus, der mir derzeit das Leben schwer macht, sollte ich mir dann vielleicht das kaufen? Manuell entfernen geht irgendwie nicht... Nennt mal bitte eure Favoriten, sie dürfen im Übrigen auch ruhig was kosten.

Danke!

Nicklaus

@Nicklaus
lese dich bitte mal komplett hier durch, besonders silentrunners ist sehr interessant. das wird dir wahrscheinlich helfen
dein hotoffer ist sehr schlecht zu entfernen
http://www.trojaner-board.de/showthread.php?t=12322

du könntest dir mal escan downloaden
anleitung
damit du weis ob sonst noch im system ist.
chaosman

O je, ich war doch tatsächlich zu blöd, um die SuFu mal zu starten... Naja, jetzt iss das Teil weg :aplaus: Danke!!!!!
Aber es sind noch Viren drauf, die keines der kostenlos erhältlichen Progs erkennt... Also nochmals die Frage: Welches Programm sollte ich mir zulegen? Escan Vollversion???

Danke!

Nicklaus

@Nicklaus
einfach escan in abgesicherten modus laufen lassen.
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

Ja klar, das ganze kann ich natürlich auch manuell entfernen und ich trau's mir sogar fast zu, das ohne unterstützung zu tun, mir geht es jetzt eher darum, ein Programm zu kriegen, dass verhindert, dass sich wieder so ein Drecks Virus auf meinen sowieso schon schrottigen PC setzt... Dat ganze von Hand zu entfernen ist halt ziemlich aufwendig, wenn's keine einmalige Aktion ist...

Trotzdem mal ein kleiner Auszug:

Thu Jan 20 16:47:36 2005 => File C:\WINDOWS\system32\winasp.exe infected by "Backdoor.Win32.ForBot.r" Virus. Action Taken: No Action Taken.

Die kann ich doch einfach löschen, oder?

Thu Jan 20 16:47:53 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.

Da wäre ich mir nicht zu sicher... kann da was passieren, wenn ich die wegmache?

Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sideb.exe
Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sys1819.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:00 2005 => Scanning File C:\WINDOWS\sys1836.exe
Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sys1836.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:00 2005 => Scanning File C:\WINDOWS\sys1837.exe
Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sys1837.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:00 2005 => Scanning File C:\WINDOWS\sys1849.exe
Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sys1849.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:00 2005 => Scanning File C:\WINDOWS\sys1851.exe
Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sys1851.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:00 2005 => Scanning File C:\WINDOWS\sys188.exe
Thu Jan 20 16:48:00 2005 => File C:\WINDOWS\sys188.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:00 2005 => Scanning File C:\WINDOWS\sys3427.exe
Thu Jan 20 16:48:01 2005 => File C:\WINDOWS\sys3427.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:01 2005 => Scanning File C:\WINDOWS\sys351.exe
Thu Jan 20 16:48:01 2005 => File C:\WINDOWS\sys351.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:48:01 2005 => Scanning File C:\WINDOWS\sys3544.exe
Thu Jan 20 16:48:01 2005 => File C:\WINDOWS\sys3544.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.
Thu Jan 20 16:49:04 2005 => File C:\WINDOWS\system32\init32m.exe

Thu Jan 20 16:50:27 2005 => File C:\WINDOWS\system32\scvhost.exe
- scvhost iss doch 'ne Systemdatei...?

Tja und das war's... Aber am einfachsten wäre es doch für mich wie für den Rest der Welt, wenn ich ein Antivirenprog besorgen würde, das funzt... Oder?

@Nicklaus
scvhost.exe
http://www.liutilities.com/products/...brary/scvhost/
infected by "Backdoor.Win32.ForBot.r" Virus. Action Taken: No Action Taken.
http://www.sophos.de/virusinfo/analyses/w32forbotr.html

da kann ich dir nur empfehlen dein system neu aufzusetzen.
hier eine hilfestellung

http://trojaner-board.de/showthread.php?t=12154


sry

chaosman

Moment...
Meinst du 'ne Reperaturinstallation, was ja nicht schlimm wäre, 'ne Neuinstallation, was mich schon ziemlich ankotzen würde, oder Format c:, was wohl das allerschlimmste ist, was ich mir grad vorstellen kann...?
Ok, ich seh schon, du meinst Format c: *schluck*
Nein... Nein!!! NEIN!!!!!!!!
Ich hasse diesen PC...

Hmm?

Nicklaus

Es macht wirklich keinen Sinn so ein System zu retten,für Dich gibts leider nur Format c: Das Problem ist,dass man nie genau weiss was ein Backdoor noch alles auf dem Rechner verändert oder installiert,les den Posting von Cidre mal genau durch...


Gruss

Nicht-ausführbare Dateien können keinen Schaden anrichten. Diese kannst Du also problemlos vorher sichern.

Achtung: In Office-Dateien können bösartige Makros versteckt sein, JPG-Dateien können mittlerweile auch schadhaften Code enthalten. Am besten, Du scannst nach dem Sichern alle Dateien mit einem guten, aktuellen Virenscanner. So minimierst Du das Risiko.

Gruß
Yopie

Ok, ich werd's wohl machen müssen... :-(
Aber meine zweite Partition kann ich doch hoffentlich behalten!?
Und wie kann ich Outlook E-Mails sichern? Naja, das kann ich wohl auch ergoogeln...

Danke!

Nicklaus

Hallo Nicklaus

Zitat:

Ich hab' mir im Laufe der Zeit Haufenweise Viren etc. eingefangen, weil meine Firewall eine Zeit lang defekt war und ich es nicht gemerkt habe...

Falsches Denken: Firewall - defekt oder intakt - schutz von Viren nicht. Und versuche mal dir selbst zu erklären, was heißt "Firewall defekt" - entweder ist die Frau schwanger oder NICHT schwanger, "Ein bisschen schwanger" gibt es nicht. Ich vermute, deine FW wurde von einem gutartigen Programm, das du beim unbedenklichen Surfen auf deinen PC gebracht hast, ausgeschaltet.

Zitat:

Der Größte Teil ist jetzt weg;

Aber vilellecht der Beste ist doch geblieben. Ein aktiver Trojaner ist schon ein Trojaner zu viel.

Zitat:

ich habe nacheinander zig Virenscanner drüberlaufen lassen, eine neue Firewall habe ich auch, aber eine Sache werde ich nicht los..

Habe ich wieder recht, oder?

Wer seine Zeit sparen will und einen virenfreien Recher bekommen möchte, macht an deiner Stelle die Kiste platt.
Somit schließe ich mich HerrKautz an.

zur Firewall:
Eines schönen Tages ist mir aufgefallen, dass das Ding nicht funzt, "Schwerwiegender Fehler - System neu starten" oder so ähnlich stand da, nach einem Neustart ging es noch immer nicht, dann habe ich sie neu installiert und sie lief trotzdem nicht... Da gab es wohl eine Unverträglichkeit zwischen ihr und irgendetwas anderem am PC...
Und wenn die Firewall aus iss, haben's die Viren doch viel einfacher; ich habe nie etwas heruntergeladen, von dem ich nicht wusste, was es ist, habe nie versehentlich ein OK gegeben - aber trotzdem hatte ich haufenweise Viren drauf. Wenigstens der größte Teil aller Viren, die sich selbstständig einnisten wollen, sollte doch eigentlich durch die Firewall abgehalten werden - oder nicht?
Naja, einen Vorteil hat das Ganze; ich habe mir vor zwei Wochen 'ne neue Soundcard gekauft, und das Ding wollte irgendwie nicht mit meinem Rechner, auch nach 'ner erneuten Windows-Installation nicht, aber vielleicht geht sie ja nach 'nem Formatieren!? Sonst müsste ich mir noch ein neues Mainboard kaufen...
Naja, heut' hab' ich's satt, wenn ich jetzt was formatiere, vergesse ich garantiert, etwas ganz wichtiges zu sichern... Das werde ich dann wohl morgen machen müssen...

Aber vielen Dank für die nette Hilfe!!!

Nicklaus

Hallo Nicklaus

Zitat:

Und wenn die Firewall aus iss, haben's die Viren doch viel einfacher

Nee. Für Viren ist eine Firewall kein Hindernis.
Info: http://www.nabooisland.com/publications/pffaq/

Zitat:

ich habe nie etwas heruntergeladen, von dem ich nicht wusste, was es ist...

Woher weisst du so genau, was du heruntergeladen hast? Hat dein Kumpel von dem oder jenem Programm davon berichtet?

Zitat:

Zitat von Nicklaus

Und wenn die Firewall aus iss, haben's die Viren doch viel einfacher;

Bitte lesen: http://www.mathematik.uni-marburg.de...ompromise.html
http://www.ntsvcfg.de/ bzw. http://dingens.org

Gruß
Yopie