Immediate Help needed! ISRVS, Edmond.exe

Phil-Blader · 06.03.2005, 14:00

ok - soweit alles verstanden...

beim versuch das update kavupd zu laden kommt allerdings die fehlmeldung daß keine verbindung hergestellt werden kann...

hmm.. naja...

ich schätze das das update aber nicht das notwendigste ist?

wenn dem so ist würde ich jetzt mit dem Vorgang beginnen...

Lutz · 06.03.2005, 14:32

Zitat:

ich schätze das das update aber nicht das notwendigste ist?

Du solltest schon mit den aktuellsten Signaturen arbeiten.

Zitat:

beim versuch das update kavupd zu laden kommt allerdings die fehlmeldung daß keine verbindung hergestellt werden kann...

Ich habe grad selbst versucht eScan zu aktualisieren. Beim 1. Mal hatte ich die gleiche Meldung, beim 2. Versuch hat es funktioniert. Also öfter probieren.
Im Gegensatz zum Virenscanner von Kaspersky sucht dieser 'Updater' nur bei einer einizgen ftp-Seite nach Updates. Diese Seite kann schon mal überlastet sein.

Phil-Blader · 06.03.2005, 16:45

so schritte ausgeführt!

hier nun das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:22:39, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\system32\EP3STA.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\MINILOG.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX00.610\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunOnce: [Desktop Search Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [Bonus Sites Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [iSearch Toolbar Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/036093cec7c7a3c...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{727CC897-7051-4485-86F1-CE4E79354586}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hier die tagged/infectedFile C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.-Dateien von Escan:

File C:\Programme\DivX\DivX Player 2.1\uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\Microsoft Games\FS2002\Scenery\Cadiz\setup\gendel32.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.

File C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\mfiltis.dll infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\virus_ctor.dll infected by "not-a-virus:AdWare.ToolBar.Hotbar.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\dman25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\mfiltis.dll infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\virus_ctor.dll infected by "not-a-virus:AdWare.ToolBar.Hotbar.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\dman25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Total Files Scanned: 144973
Total Virus(es) Found: 17
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 0

was hat es mit dem "no action taken" aufsich? nicht notwenig zu erledigen oder hat es das system nicht gemacht?

Swordian · 06.03.2005, 16:55

also deine log ist meiner meinung nach sauber. also erstmal nix schlimmes mehr drauf. formatieren musst du glaub ich nicht mehr. Du hast doch ein isearch removaltool oder? führ das mal aus. oder hilft das nichts gegen diesen schädling?

edit: No action taken heißt dass es nichts macht. Dies macht es seit Version 4.5.1 nicht mehr (leider). Naja ich weiß nicht ob es reicht wenn du die Dateien löschst ... Du kannst es auf jeden Fall mal versuchen. Also geh in den Abgesicherten Modus wieder mit Deaktivierter Systemwiederherstellung und lösche die benannten dateien. danach nochmal eScan laufen lassen, wieder in den normalen modus und hier melden mit eScan ergebnis.

mfG

Phil-Blader · 06.03.2005, 17:01

also zumindest taucht das isearch-fenster momentan nicht mehr rechts unten auf...

allerdings ist es unter systemsteuerung-softare immer noch als Anwendung zu finden....

dort kann ich es löschen aber nach Neustart taucht es dort unter software wieder auf...

auf der isearch-removal link den ich hier im Forum schon fand bringt keine Änderung...

Swordian · 06.03.2005, 17:03

hmm dann weiß ich auch nciht so genau... lösche mal die datei in der ers gefunden hat mit so wie ichs unten gesagt habe.

mfG

Phil-Blader · 06.03.2005, 17:05

was, wie löchen?

Swordian · 06.03.2005, 17:07

per hand!

mfG

Phil-Blader · 06.03.2005, 17:12

was lösche ich wo wie?

bitte genauer erklären!

Swordian · 06.03.2005, 17:21

Alle Dateien die er gefunden hat beim eScan im abgesicherten Modus mit deaktivierter Systemwiederherstellung

im Explorer den Pfad angeben und die Datei mit Rechtsklick + Löschen entfernen. Und dann Papierkorb leeren

mfG

Phil-Blader · 06.03.2005, 17:27

am besten alle dateien die mit isearch zu tun haben, richtig?

am besten auch noch die isvrs - dateien, oder?

geh ich da sicher nicht zu viel zu löschen?

und warum stand da immer "no action taken"?

Swordian · 06.03.2005, 17:29

weil er nur in der registrierten version löscht

deswegen musst du das selber machen. also alle isvrs dateien die er gefunden hat und die die eScan gefunden hat

mfG

Cidre · 06.03.2005, 17:31

Zitat:

Zitat von Phil-Blader

allerdings ist es unter systemsteuerung-softare immer noch als Anwendung zu finden

Start -> Ausführen -> regedit -> OK -> navigiere zu diesem Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Uninstall" -> lösche die Unterschlüssel der auf diesen Eintrag "isearch" verweist.

Zitat:

was lösche ich wo wie?

Wie wäre es, wenn du dich mal mit deinem System befassen würdest.

WIN Taste + F1 drücken -> Datei löschen -> lesen

Swordian · 06.03.2005, 17:39

Zitat:

Zitat von Cidre

Wie wäre es, wenn du dich mal mit deinem System befassen würdest.

calme down, cidre

nur ruhig bleiben

und immer freundlich sein. wenn du entspannung brauchst dann:

nimm ein bierchen. ansonsten:

Cidre · 06.03.2005, 17:46

@ Swordian

Ich bin die Ruhe in Person, glaube mir, sonst hätte mein Beitrag anders ausgesehen.

Das ist nur ein Denkanstoss für den TO, nicht mehr und nicht weniger.

btw:
Wenn ICH was nicht weiss, dann muss ich es ebenso nachlesen und mich damit beschäftigen, damit ich diese Wissenslücke schliessen kann.

Immediate Help needed! ISRVS, Edmond.exe

Plagegeister aller Art und deren Bekämpfung: Immediate Help needed! ISRVS, Edmond.exe