Hallo an alle da draußen,

so - nachdem ich vor ein paar Monaten ein starkes Trojaner-Problem hatte der meinen Rechner lahmlegte besorgte ich mir eine bessere Abwehr.

Ich nutze neben den Windows-Standarddingen Kapersky und Zone Alarm Pro.

Nun habe ich nach heutigen Kasperky-Scan einen neuen Trojaner entdeckt. Das Problem: er läßt sich nicht löschen:

"...kann nicht gelöscht werden. Der Zugriff wurde verweigert"


Als ich das letzte mal meinen Computer reparieren lies - da ich selber von diesen Vorgängen absolut keine Ahnung habe - kostete mich dies einige hunderter...

Also - könnt ihr mir so helfen?

Folgende Infos:

Datei sitzt unter Windows - Name: isrvs

diese Daten enthält die Datei:

icons
desktop.exe
edmond.exe
ffisearch.exe
isearch.xpi
mfiltis.dll
msdbhk.dll


Isearch fährt bei jedem Start automatisch hoch - läßt sich auch bei "Software" nich löschen...


Ergebenden Dank!

Hallo Phil-Blader,

poste bitte ein HJT logfile
direktdownload
anleitung

mfG
Sword

PS: Das wollte ich immer schon mal machen ^^

ist das ok so?


Logfile of HijackThis v1.99.1
Scan saved at 12:48:47, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\system32\EP3STA.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX01.546\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunOnce: [Desktop Search Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [Bonus Sites Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKLM\..\RunOnce: [iSearch Toolbar Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP-
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/036093cec7c7a3c...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{727CC897-7051-4485-86F1-CE4E79354586}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

falsches Thema, mist

ähm ja, jetzt warte am besten auf einen Profi der dir hilft aber die hier finde ich mal sehr verdächtig. Sagt dir diese .exe etwas?

O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE

Ok - vielen Dank erstmal...

jetzt hoffe ich daß einem solchen Profi mein Thread ins Auge fällt

Wie ich im abgesicherten Modus umgehe weiß ich bislang nicht.

Erfordert eine Eingabe während des Hochfahrens, richtig?


nein- diese exe sagt mir leider nichts

Das kann ich dir ja einstweilen schonmal erklären.

Start - Ausführen - msconfig in die Textzeile schreiben - Enter - Die Kartei BOOT.INI anwählen - einen Haken bei /SAFEBOOT machen - Neu Starten

Das machst du wenn ein "Profi" die Log begutachtet hat, ich habe zwar ein paar Vermutungen schon was du löschen solltest nur bin NOCH zu unerfahren um sie sicher löschen zu lassen. Mal sehen ob sich meine Vermutungen bestätigen

Außerdem solltest du bevor du Einträge löschst auch die Systemwiederherstellung deaktivieren. gehe wie folgt vor:+

Rechtsklick Arbeitsplatz - Eigenschaften - Systemwiederherstellung - Systemwiederherstellung deaktivieren den Haken setzen

Dies solltest du nach dem löschen der Einträge wieder rückgängig machen.

Wenn du den Abgesicherten Modus beenden willst dann mach im Abgesicherten Modus die selben Schritte bis: BOOT.INI Kartei anwählen und nimm den Haken bei /SAFEBOOT wieder weg!

mfG

Hallo @Phil-Blader,

fixe zunächst mal diese Einträge im abgesicherten Modus :
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

Lösche, wenn noch vorhanden, diesen Ordner:
C:\WINDOWS\isrvs

Führe sicherheitshalber auch noch dies aus und poste dann nochmal ein aktuelles HJT Log-File:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Super - vielen Dank bis hierher!

Jetzt suche ich noch nach den Profis die den Swordian fein ergänzen


P.S.: ich nutze nicht IE sondern Firefox...

(keine Ahnung ob das Relevanz hat)

da hast du ihn ja deinen Profi!

meine Vermutungen haben sich bestätigt (zum Teil) ich hätte:

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

die hier auch fixen lassen! War mir nur nicht sicher ob in dem Ordner ALLE Dateien verseucht waren!

@ cidre:
kann ich alle Einträge mit (no file), bzw. (file missing) löschen lassen?

mfG

Das ist eine sehr gute Idee @ Phil. Internet Explorer ist zu Zeiten so vieler Viren einfach zu gefährlich

Zitat:

Zitat von Phil-Blader

ich nutze nicht IE sondern Firefox

Mit Firefox hast du eine gute Wahl getroffen.
Dennoch sollte der IE und das System up to date gehalten werden, aber dazu später mehr.

Zitat:

Zitat von Swordian

kann ich alle Einträge mit (no file), bzw. (file missing) löschen lassen?

Im Prinzip, JA.
Zu beachten wäre allerdings, dass einige O23 Einträge auch den Anhang "file missing" zeigen, obwohl sie als laufender Prozess angezeigt werden, siehe http://www.trojaner-board.de/showpos...36&postcount=5.

Okay danke

ich beobachte in letzter Zeit euch Profis hier bei der Arbeit, will auch so ein "Trojaner-Board" Helfer werden

mfG
Sword

so - damit ich euch richtig verstehe:

Leider kann ich im abgesicherten Modus keine Internet aufrufen - wie sill ich dann den logfile-scan starten?

Systemwiederhersterstellung ist schon deaktiviert...

die weitere Reihenfolge wäre dann ensprechend:

- abges. Modus starten
- logfilescan durchführen - dazu brauche ich doch Internet um den Link zu aktivieren?
- einträge wie von cidre beschrieben fixen durch häkchen setzen
- ordner isrvs löschen
- jetzt escan ausführen? aber wie? - dazu brache ich wieder Internet für den LInk, oder?-
- dann mwav.log im Ordner C:\bases öffnen und die "tagged" treffer hier posten...

Du brauchst für den Scan mit HijackThis doch keine I-Net verbindung. Das hast du doch schon am PC und kannst checken lassen.

Reihenfolge:

-(im normalen Modus noch) Sys.wdhst. deaktivieren
-abgesicherten Modus (/SAFEBOOT)
-Die HijackThis Datei Starten
-Die Einträge die cidre gesagt hat fixen
-wieder Start - Ausführen - msconfig ... Haken bei /SAFEBOOT wieder weg
-Neu Starten
-Systemwiederherstellung wieder anmachen und hoffen dass es funktioniert!

mfG

Du sollst auch keine Internetverbindung im abgesicherten Modus herstellen!

Nochmal:
1. Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp
2. abgesicherter Modus
3. Einträge fixen und Ordner löschen
4. mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
5. Neustart
6. neues HJT Log-File und die Virus Log Information [1] von eScan posten

[1] Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.