Vieles unklar nach scan mit eScan

snowangel · 07.04.2005, 20:05

Hallo!
Ich habe meinen PC mit eScan gescannt. Es war nix schlimmes drauf (glaube ich zumindest), aber das Programm hat ziemlich oft diese MalWares gefunden:

AdWare Gator6041
AdWare Gator6043

Er hat sie zwar als not-a-virus eingestuft, aber es ist doch nicht normal, dass verschiedene Files mit sowas infiziert sind, oder? Wisst ihr vielleicht, woher das kommt?

Und diese 3 Meldungen verstehe ich auch nicht:

Offending value found in HKCU\Software\VB and VBA Program Settings !!!
System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action

Es kann zwar sein, dass ich echt blöde Fragen stelle, aber ich bin mir absolut sicher, dass was nicht stimmt. Vor ein paar Wochen habe ich 18000 Files gelöscht, die insgesamt 6GB in Anspruch genommen haben. Es waren .CPY -dateien, alle in C:\_Restore\Temp. Ich habe die Systemwiederherstellung deaktiviert und sie dann löschen können, aber jetzt erscheinen wieder welche. Sie sind völlig verschieden groß und haben ein Datum ab 1996 (wo es den PC ganz nebenbei noch gar nicht gab!). Wisst ihr, woher das kommen könnte?

chaosman · 07.04.2005, 20:08

@snowangel
Ich habe die Systemwiederherstellung deaktiviert und sie dann löschen können, aber jetzt erscheinen wieder welche.
wenn der systemwiederherstellung wieder aktiviert ist, wäre das ok

poste doch mal folgendes
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count

chaosman

snowangel · 07.04.2005, 20:12

Also das alles steht am Ende:

***** Scanning complete. *****

Total Objects Scanned: 103858
Total Virus(es) Found: 49
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Objects: 0
Total Errors: 9
Time Elapsed: 01:20:56
Virus Database Date: 2005/04/04
Virus Database Count: 124577

Scan Completed.

Ich kopier gleich noch die Ergebnisse hier rein...

chaosman · 07.04.2005, 20:39

@snowangel
Total Virus(es) Found: 49

Ich kopier gleich noch die Ergebnisse hier rein...

chaosman

snowangel · 07.04.2005, 21:01

Sorry für die Verspätung, der Server hat mich nicht anmelden lassen

Also hier die ganzen Ergebnisse:

Code:

ATTFilter

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\YDAZSJ27\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\OHWTE349\azesearch[1].cab infected by "not-a-virus:AdWare.ToolBar.Azesearch.b" Virus. Action Taken: No Action Taken.

File C:\_RESTORE\ARCHIVE\FS26.CAB infected by "not-a-virus:AdWare.Velozer.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\YDAZSJ27\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\OHWTE349\azesearch[1].cab infected by "not-a-virus:AdWare.ToolBar.Azesearch.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

File C:\Programme\NewDotNet\uninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File D:\Programme\P2P\kazaa\PerfectNavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

File D:\Programme\Spielprogramme\funprogs\Shooting Range.zip infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: No Action Taken.

File E:\Work_Nem_Ment\divx\RadLight3.exe infected by "not-a-virus:AdWare.SaveNow.e" Virus. Action Taken: No Action Taken.

System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\YDAZSJ27\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\OHWTE349\azesearch[1].cab infected by "not-a-virus:AdWare.ToolBar.Azesearch.b" Virus. Action Taken: No Action Taken.

File C:\_RESTORE\ARCHIVE\FS26.CAB infected by "not-a-virus:AdWare.Velozer.a" Virus. Action Taken: No Action Taken.

snowangel · 10.04.2005, 16:29

Ist doch hoffentlich nix Schlimmes dabei, oder?

cronos · 10.04.2005, 16:42

Deinstalliere über die Systemwiederherstellung falls vorhanden Newdotnet oder Newnet.
Solltest du danach nicht mehr ins Internet kommen repariere deinen Winsock mit lsp-fix:
http://www.cexx.org/lspfix.htm

Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung:

Lösche folgende Ordner:
C:\Programme\NewDotNet
C:\WINDOWS\NDNuninstall6_38.exe
C:\Programme\Gemeinsame Dateien\GMT
C:\Programme\Gemeinsame Dateien\CMEII
D:\Programme\P2P\kazaa\PerfectNavUninstall.exe
D:\Programme\Spielprogramme\funprogs\Shooting Range.zip
E:\Work_Nem_Ment\divx\RadLight3.exe
C:\WINDOWS\NDNuninstall6_38.exe

Lösche den Inhalt nicht den Ordner selbst von folgendem:
C:\WINDOWS\TEMPOR~1\CONTENT.IE5
Dazu
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Lösche dann noch den rest der temporären Internetdateien mittels Clearprog

Lass auch mal Spybot und Adaware drüberlaufen:

Spybot: http://www.safer-networking.org/de/spybotsd/index.html
Adaware: http://www.lavasoftusa.com/german/software/adaware/

Neu booten, Systemwiederherstellung wieder aktivieren.
Poste zur Nachkontrolle noch einen Log von Hijackthis:

www.hjt.klaffke.de

snowangel · 13.04.2005, 13:09

Ich habe alles so gemacht, wie ihr gesagt habt, es funktioniert immernoch alles

Hier ist der Log von Hijackthis:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:03:01, on 13.04.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
D:\PROGRAMME\SECURITY\AVAST\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
D:\PROGRAMME\SECURITY\ZONEALARM\ZLCLIENT.EXE
D:\PROGRAMME\SECURITY\AVAST\ASHWEBSV.EXE
C:\PROGRAMME\TYPOGRAF\TTFMAN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMME\SECURITY\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://klub.axelero.hu/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.index.hu"); (C:\Programme\Netscape\Users\T-Online\prefs.js)
O1 - Hosts: IP-Adresse Host-Name Ansprechpartner
O1 - Hosts: 160.120.4.87 sgi67 sgi67.msgi43 Hohentanner 9.12.99/Pla
O1 - Hosts: 160.120.4.91 sgi71 sgi71.msgi43 Hohentanner 9.12.99/Pla
O1 - Hosts: 160.120.4.220 sgi200 sgi200.msgi43 Hohentanner 9.12.99/Pla
O1 - Hosts: 134.188.60.116 HQVenloSQL02 MullerBen_19_7_99/ma #Produkt-Registration-System
O1 - Hosts: 160.120.53.163 PC053163 Drollmann_USA-verbindung21_01_98/fa
O1 - Hosts: 160.120.53.162 PC053162 Drollmann_USA-verbindung21_01_98/fa
O1 - Hosts: 160.120.53.161 PC053161 Drollmann_USA-verbindung21_01_98/fa
O1 - Hosts: 160.120.53.160 PC053160 Drollmann_USA-verbindung21_01_98/fa
O1 - Hosts: 160.120.53.159 PC053159 Drollmann_USA-verbindung21_01_98/fa
O1 - Hosts: 160.120.43.147 SCO-Sued SCO-REGION Sued/Leeb_21_03__97/JM
O1 - Hosts: 160.120.43.154 ODS_PC1 Andersen_02_04_97/reiss (unix)
O1 - Hosts: 160.120.43.155 ODS_PC1/2 Andersen_02_04_97/reiss (unix)
O1 - Hosts: 160.120.43.156 ODS_PC2 Andersen_02_04_97/reissx (unix)
O1 - Hosts: 160.120.43.132 ANGIE NT_Server FE33_Zietlow_15_7_98/ma
O1 - Hosts: 160.120.43.250 OPS_1 LotusNotes/Faehr
O1 - Hosts: 160.120.210.10 kaba FS01
O1 - Hosts: 160.120.53.92 fanfold1 HTTP(Puschmann)04_09_97/JM 8_9_97/ma
O1 - Hosts: 160.120.3.111 HAL dos111 Puschmann_Web_10_4_97/ma
O1 - Hosts: 192.76.167.38 bs1507 d150h007 RIAS_SERVER_Paderborn_fuer_PA-Abrechnung
O1 - Hosts: 192.35.17.12 horus www.mch.sni.de
O1 - Hosts: 219.255.10.57 D243H17 d243h17 Berlin_BS2000
O1 - Hosts: 160.120.12.129 dnc_NT_electronic/*w
O1 - Hosts: 160.120.2.19 mx300pld *unix/verknuepft
O1 - Hosts: 160.120.43.148 NotesOPSDE2 WeiglDaniela_25_3_97/ma
O1 - Hosts: 160.120.43.149 OPS_KOM_Poing MuellerKlaus_Reserve_25_3_97/ma
O1 - Hosts: 134.188.88.23 NotesOPSDE MuellerKlaus_27_8_97/Fa
O1 - Hosts: 160.120.53.248 aut96399 SIPLACE Leuthner-Seufert_1_10_98/ma
O1 - Hosts: 160.120.14.100 SSQ21 RETOPS/Friedrich_3_9_96_JM
O1 - Hosts: 192.76.167.34 D248H017 BS2000_paderborn_13_04_95/maier
O1 - Hosts: 192.76.167.35 D248H032 BS2000_paderborn_13_04_95/maier
O1 - Hosts: 195.214.1.3 GH3090Y0 Perle BS2000_fuerth_19_04_95/habeck
O1 - Hosts: 195.214.3.2 G120X035 ZEUS_Erlangen_Sinix_13_5_96/faehr
O1 - Hosts: 157.163.138.76 LUX09310 ZEUS_Erlangen_Sinix_11_1_99/ma(Hr.Klouda, Hr. Himpel) 4.12.00/Pla geaendert alt 195.214.3.10
O1 - Hosts: 160.120.66.20 OPS_MVS MVS_OPS_HLD_10_7_97/ma_(alt_23_5_96/Maier)
O1 - Hosts: 160.120.66.1 INFOMAN MVS_STHLD_7_10_96/faehr
O1 - Hosts: 190.1.2.9 B01H09 BS2000_HOST_08_02_95/Maier
O1 - Hosts: 147.204.2.5 SAPSERV3 OSS_Walldorf #19_4_96/Maier
O1 - Hosts: 129.103.104.19 isgr19
O1 - Hosts: 134.188.100.6 MVSPROD PIAS_Venlo_Fa_21_11_97
O1 - Hosts: 195.214.1.4 gh4090y0 dips,fuerth
O1 - Hosts: 149.202.8.139 F8R139 ISIS-Server Frankfurt
O1 - Hosts: 160.120.1.10 SPPH02 bs2vm spp01h01 #sonderwunsch_von_vm
O1 - Hosts: 160.120.1.11 bs211 dg245h24
O1 - Hosts: 160.120.1.12 bs212 f54h02
O1 - Hosts: 160.120.1.15 bs215 d245h001
O1 - Hosts: 160.120.1.16 bs216 d245h003
O1 - Hosts: 160.120.1.21 bs221 d245h002 # wird betreut von Weiss, Eberhart -4716
O1 - Hosts: 160.120.1.50 d245h010 bs210 BS200_Poing SR2000 7_4_99/ma
O1 - Hosts: 160.120.2.1 aalen mx301
O1 - Hosts: 160.120.2.12 oi402
O1 - Hosts: 160.120.2.17 oi403
O1 - Hosts: 160.120.2.18 oi404
O1 - Hosts: 160.120.2.13 oi406
O1 - Hosts: 160.120.2.32 oi409 RM600_720_1_7_96/Maier
O1 - Hosts: 160.120.2.25 oi410 unixhost_14_02_95/Maier
O1 - Hosts: 160.120.2.6 oi416 RM400_11_3_98/ma
O1 - Hosts: 160.120.2.8 oi417 RM600_SAP_T12
O1 - Hosts: 160.120.2.2 D245S001 aachen SINIX_05_04_95/maier
O1 - Hosts: 160.120.2.20 mozart
O1 - Hosts: 160.120.2.3 atlanta mx303
O1 - Hosts: 160.120.2.4 athen mx204
O1 - Hosts: 160.120.2.5 augsburg mx205
O1 - Hosts: 160.120.2.7 oi401
O1 - Hosts: 160.120.2.16 oi405
O1 - Hosts: 160.120.3.150 dos150
O1 - Hosts: 160.120.6.1 valid
O1 - Hosts: 160.120.7.1 vax1
O1 - Hosts: 160.120.8.2 hp2
O1 - Hosts: 160.120.8.3 hp3
O1 - Hosts: 160.120.9.1 bs5801
O1 - Hosts: 146.180.10.3 ztivax
O1 - Hosts: 129.103.100.41 hasr41
O1 - Hosts: 194.95.112.14 has14 Uni-Hannover
O1 - Hosts: 195.214.1.20 g120h020 G120H020 BASIS-Fuerth 27.3.96/reiss
O1 - Hosts: 139.23.33.67 daisy.mch.sbs.de #11_01_00/pla fuer Intranetanwendung Daisy
O1 - Hosts: 139.25.69.154 PGTF0091 #25_10_99/ma auf Wunsch von Hr. Stadler
O1 - Hosts: 139.25.176.128 M62558PP #12_1_98/ma auf Wunsch von Hr. Stadler
O1 - Hosts: 139.23.160.250 Lotus LOTUS
O1 - Hosts: 139.25.176.105 M60969PP LOGON
O1 - Hosts: 139.25.176.106 m61697pp potr0021 Oracle_Faehr_14.2.96
O1 - Hosts: 139.23.22.101 Z95H01
O1 - Hosts: 139.23.17.103 N77H03 d24h02 bs224 BS2-RSTRUK # 8.11.99_Brunnwieser/ma 20.11.99_Matyas/Pla
O1 - Hosts: 139.25.99.62 FB-MAIN
O1 - Hosts: 139.25.99.62 FB FB_MAIN TAKE_IT-Server
O1 - Hosts: 139.23.16.101 ze01 d246ze01
O1 - Hosts: 139.23.16.106 bs206 d246ze06
O1 - Hosts: 139.23.16.117 bs217 d246ze17
O1 - Hosts: 139.23.16.118 bs218 d246ze18
O1 - Hosts: 139.23.16.119 bs219 d246ze19
O1 - Hosts: 139.23.16.16 CONSULT Consult-data
O1 - Hosts: 139.23.16.16 ARISSERV
O1 - Hosts: 139.23.16.204 bs244 do4400 Basis,Muelheim
O1 - Hosts: 139.23.16.205 bs245 do4500
O1 - Hosts: 139.23.16.207 bs207 d020h007
O1 - Hosts: 139.23.16.241 D24H01
O1 - Hosts: 139.23.16.243 bs223 d24h03
O1 - Hosts: 139.23.18.101 N76H01 BS2000_Perlach_17_01_97/reiss
O1 - Hosts: 139.21.16.1 horus.mch.sni.de
O1 - Hosts: 139.23.9.218 POTR0073 RM400_fuer_SAP_V3x
O1 - Hosts: 150.141.0.131 D241ZE20 #auf Wunsch von Hr. Stadler, Server in Bruessel für Hr. Eberhart Weiss
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FGIEBAR.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Security\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] D:\PROGRA~1\SECURITY\AVAST\ASHWEBSV.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TTFMan] c:\programme\typograf\ttfman.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [avast!] D:\Programme\Security\avast\ashServ.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/isan/default/popcaploader_v6.cab

Ach ja, und es kam noch diese Meldung:
"You have a particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item (and create a backup).
If You see the same IP adress in all the reported 01 items, consider deleting your Hosts file, which is located at C:\WINDOWS\hosts."

Was bedeutet das denn jetzt genau?

snowangel · 13.04.2005, 19:39

Was von denen soll ich denn löschen, und was bedeutet die Meldung, die ich bekommen habe?

cronos · 13.04.2005, 22:02

Ich denke mal die 01 Einträge sind nicht gewollt.Wenn dem so ist, gehe wie folgt vor:

Alle 01er Einträge im abgesicherten Modus bei deaktivierter systemwiederherstellung fixxen.
Öffne mal die Host Datei mit dem Editor:
Die Datei sollte sich hier befinden:

c:\windows\system32\drivers\etc\hosts

Lösche den Text der dort steht und füge folgenden ein:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Neu booten, Systemwiedeherstellung anschalten, neuen Log posten

snowangel · 18.04.2005, 16:09

Also, ich habe jetzt alle 01 einträge gefixt, dann nochmal gescannt, und auch die neuen 01 einträge gefixt. Jetzt sieht der log so aus:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:24:23, on 18.04.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMME\SECURITY\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://klub.axelero.hu/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.index.hu"); (C:\Programme\Netscape\Users\T-Online\prefs.js)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FGIEBAR.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Security\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] D:\PROGRA~1\SECURITY\AVAST\ASHWEBSV.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TTFMan] c:\programme\typograf\ttfman.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [avast!] D:\Programme\Security\avast\ashServ.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/isan/default/popcaploader_v6.cab

Mein Host file hab ich auch geändert. Da stand dasselbe drin, nur in Englisch, aber ich habe den text von cronos trotzdem reinkopiert.

Ich habe auch escan nochmal durchlaufen lassen, und es kamen vollgende Infektionen raus:

Code:

ATTFilter

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\2JMBMLYV\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\UNINST~2.0 infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\2JMBMLYV\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Programme\WinDSL\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\t_online\EMAIL20\0069MDZK.FGH\EINGANG.DAT tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Programme\Installationsprogramme\installiert\DivXPro.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.
File D:\Programme\Spielprogramme\funprogs\Langeweile.exe tagged as not-a-virus:Joke.Win32.Buttons.a. No Action Taken.
File D:\Programme\Spielprogramme\funprogs\Langeweile.zip tagged as not-a-virus:Joke.Win32.Buttons.a. No Action Taken.
File E:\SICHERUNG\Tools\AOL60\INSTALL\HB\INSTSFA.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\SICHERUNG\Tools\AOL60\INSTALL\HB\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\SICHERUNG\Tools\AOL60\INSTALL\HB\REDIST\MSVBVM50.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\SICHERUNG\Tools\AOL60\INSTALL\AOL\Patches\Hilfe.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\SICHERUNG\Tools\AOL60\INSTALL\AOL\Patches\Instsfa.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\SICHERUNG\Tools\AOL60\INSTALL\AOL\Patches\RVS.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Work\VIAGRA.EXE tagged as not-a-virus:Joke.Win32.Viagra. No Action Taken.
File E:\Work\WEBMOTO.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Downloads\WinDSL\adsl.zip tagged as not-a-virus:NetTool.Sniffer.CDP.a. No Action Taken.
File E:\Work_Nem_Ment\divx\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Work_Nem_Ment\divx\RadLight3.exe infected by "not-a-virus:AdWare.SaveNow.e" Virus. Action Taken: No Action Taken.

Was soll ich denn noch machen?

snowangel · 18.04.2005, 19:16

Was soll ich noch machen,damit mein PC clean wird?

chaosman · 18.04.2005, 19:25

@snowangel
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

lade spybot und Adaware
download
download
beide programme installieren, updaten, und in den abgesicherten modus laufen lassen(nacheinander) löschen was vorgeschlagen wird.

chaosman

cronos · 18.04.2005, 22:52

@ snowangel

Wie immer bei ME schalten wir beim scannen im abgesichertenModus die Systemwiederherstellung ab

Vieles unklar nach scan mit eScan

Plagegeister aller Art und deren Bekämpfung: Vieles unklar nach scan mit eScan