Hi!

Hier nochmal die gesammelten Werke aus escan und hijackthis:


Mon May 02 14:25:59 2005 => File c:\windows\system32\dzzthvb.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:03 2005 => File C:\WINDOWS\system32\drivers\delprot.sys infected by "Trojan.Win32.Delprot.a" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:09 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:10 2005 => System found infected with text/html Spyware/Adware! Action taken: No Action Taken.
Mon May 02 14:26:10 2005 => File System Found infected by "text/html Spyware/Adware" Virus. Action Taken: No Action Taken.


Mon May 02 14:26:10 2005 => System found infected with grokster Spyware/Adware! Action taken: No Action Taken.
Mon May 02 14:26:10 2005 => File System Found infected by "grokster Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:10 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Mon May 02 14:26:10 2005 => File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:11 2005 => File C:\WINDOWS\Bolger.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:14 2005 => File C:\WINDOWS\jfizafouliq.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.


Mon May 02 14:26:18 2005 => File C:\WINDOWS\Nail.exe infected by "not-a-virus:AdWare.BetterInternet.b" Virus. Action Taken: No Action Taken.


Mon May 02 14:26:26 2005 => File C:\WINDOWS\System32\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:26 2005 => Scanning File C:\WINDOWS\System32\aklsp.dll
Mon May 02 14:26:26 2005 => File C:\WINDOWS\System32\aklsp.dll infected by "Trojan-Downloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:26 2005 => Scanning File C:\WINDOWS\System32\akrules.dll
Mon May 02 14:26:26 2005 => File C:\WINDOWS\System32\akrules.dll infected by "Trojan-Downloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.

Mon May 02 14:26:26 2005 => Scanning File C:\WINDOWS\System32\akupd.dll
Mon May 02 14:26:26 2005 => File C:\WINDOWS\System32\akupd.dll infected by "Trojan-Downloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.


Mon May 02 15:31:26 2005 => ***** Scanning complete. *****

Mon May 02 15:31:26 2005 => Total Objects Scanned: 51475
Mon May 02 15:31:26 2005 => Total Virus(es) Found: 39
Mon May 02 15:31:26 2005 => Total Disinfected Files: 0
Mon May 02 15:31:26 2005 => Total Files Renamed: 0
Mon May 02 15:31:26 2005 => Total Deleted Objects: 0
Mon May 02 15:31:26 2005 => Total Errors: 12
Mon May 02 15:31:26 2005 => Time Elapsed: 01:05:52
Mon May 02 15:31:26 2005 => Virus Database Date: 2005/05/02
Mon May 02 15:31:26 2005 => Virus Database Count: 127997

Mon May 02 15:31:26 2005 => Scan Completed.

Mon May 02 16:17:27 2005 => Virus Database Date: 2005/05/02
Mon May 02 16:17:28 2005 => Virus Database Count: 127997
Mon May 02 16:17:37 2005 => AV Library Unloaded (3)...


Logfile of HijackThis v1.99.1
Scan saved at 22:11:52, on 02.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\hijack\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ysdiqw] c:\windows\system32\dzzthvb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE7028B3-B8EF-4543-AF6A-27996EE14120}: NameServer = 195.70.255.131,195.70.244.61
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

danke!

bitte um auswertung...

:aplaus: bitte bitte bitte bitte :aplaus:

Am sichersten wäre es, wenn du das System neu aufsetzt -> http://www.trojaner-board.de/showpos...28&postcount=2

Alternativ:

Mit HjT fixen:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [ysdiqw] c:\windows\system32\dzzthvb.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Löschen:
C:\WINDOWS\Nail.exe
c:\windows\system32\dzzthvb.exe
Die von eScan gefundenen Dateien löschen.

Nochmals mit Ad-Aware, Spybot S&D und eScan scannen.

Hallo!

Nach mehrmaligen scannen mit adaware, s&d und escan sind das die Ergebnisse.

Ich hab versucht C:\WINDOWS\Downloaded Program Files\axload.dll zu löschen, nur ist in diesem Ordner keine datei zu finden..

Muss ich um grokster zu löschen JAVASUP.exe löschen?
Wie kann ich ´cws.therealsearch Spyware/Adware? entfernen.


Thu May 05 14:37:21 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Thu May 05 14:37:21 2005 => Scanning File C:\WINDOWS\system32\JAVASUP.VXD
Thu May 05 14:37:21 2005 => Offending value found in HKLM\Software\magnet\handlers\grokster !!!
Thu May 05 14:37:25 2005 => System found infected with grokster Spyware/Adware! Action taken: No Action Taken.
Thu May 05 14:37:25 2005 => File System Found infected by "grokster Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu May 05 14:37:26 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Thu May 05 14:37:26 2005 => File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.



Thu May 05 15:15:38 2005 => Scanning Folder: C:\WINDOWS\Downloaded Installations\*.*
Thu May 05 15:15:38 2005 => Scanning Folder: C:\WINDOWS\Downloaded Installations\{CBAA92D6-69CB-4BAB-ADAC-9AEA4629ECB6}\*.*
Thu May 05 15:15:38 2005 => Scanning File C:\WINDOWS\Downloaded Installations\{CBAA92D6-69CB-4BAB-ADAC-9AEA4629ECB6}\HMTCDWizard.msi
Thu May 05 15:15:39 2005 => Scanning Folder: C:\WINDOWS\Downloaded Program Files\*.*
Thu May 05 15:15:39 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\axload.dll
Thu May 05 15:15:39 2005 => File C:\WINDOWS\Downloaded Program Files\axload.dll infected by "Trojan.Win32.Dialer.ep" Virus. Action Taken: No Action Taken.



Thu May 05 15:48:12 2005 => ***** Scanning complete. *****

Thu May 05 15:48:12 2005 => Total Objects Scanned: 52989
Thu May 05 15:48:12 2005 => Total Virus(es) Found: 3
Thu May 05 15:48:12 2005 => Total Disinfected Files: 0
Thu May 05 15:48:12 2005 => Total Files Renamed: 0
Thu May 05 15:48:12 2005 => Total Deleted Objects: 0
Thu May 05 15:48:12 2005 => Total Errors: 14
Thu May 05 15:48:12 2005 => Time Elapsed: 01:11:10
Thu May 05 15:48:12 2005 => Virus Database Date: 2005/05/02
Thu May 05 15:48:12 2005 => Virus Database Count: 127997

Thu May 05 15:48:12 2005 => Scan Completed.

Hier noch das aktuelle logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:57, on 05.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\bases_x\mwav\mwavscan.com
C:\bases_x\mwav\kavss.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijack\hijackthis\HijackThis.exe

Hier noch das aktuelle Logfile:

F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e5\FlashIcon.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CleanTIF] WScript.exe C:\WINDOWS\Cleantif.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE7028B3-B8EF-4543-AF6A-27996EE14120}: NameServer = 195.70.255.131,195.70.244.61
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

schau mal ob du sie so findest
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

boote in den abgesicherten modus bei deaktivierter systemwiederherstellung und fixe folgendes:

O4 - HKLM\..\Run: [CleanTIF] WScript.exe C:\WINDOWS\Cleantif.vbs
F2 - REG:system.ini: Shell=

lösche von hand

C:\WINDOWS\Cleantif.vbs

C:\WINDOWS\Downloaded Program Files\axload.dll <-- falls noch vorhanden

die anderen Einträge sind von der Registry

HKLM\Software\magnet\handlers\grokster
System found infected with cws.therealsearch Spyware/Adware (waol.exe) <-- wahrscheinlich auch, suche auf deinem System mal nach waol.exe wenn vorhanden löschen

BTW: Haui hatte schon recht, besser wäre ein Neuaufsetzen wenn du die Zeit siehst und sicher kannst du trotzdem nicht sein

danke!

cleantif gelöscht
die Einstellungen hatte ich schon getroffen.
der ordner ist leer..unter Eigenschaften steht aber:
Grösse 19,1 kb
Grösse auf Datenträger 28,0 kb
Inhalt:3 Ordner
und bei schreibgeschützt steht ein Haken (grau auf grauem Hintergrund)

grokster ist gelöscht, genau wie waol.exe

so jetzt warte ich noch auf escan..

wie kann man sich sicherheit verschaffen ausser neu aufzusetzen. virenprogramm kaufen..oder muss man damit rechnen dass auch das nix nuetzt.

sollte ich finger vom ebanking lassen wenn ich nicht neu aufsetze?

lg bhm

Hi!

C:\WINDOWS\Downloaded Program Files\axload.dll

der Ordner ist leer .. axload wird im windowsbrowser nicht angezeigt.

Wenn ich aber antivir über das verzeichnis laufen lasse zeigt es 3 datein an, wobei eine davon axload.dll ist...

was könnte der Grund dafür sein?

wie kann ich das ding löschen?

bitte um anregungen.
danke
bhm

dann probiere mal damit
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok
Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei

@ Gigamail

Wenn du mich schon zitierst, dann mach bitte auch die Quote Tags!
Danke.

OK cool!
ist gelöscht.

so jetzt warte ich noch auf escan..

wie kann man sich sicherheit verschaffen ausser neu aufzusetzen. virenprogramm kaufen..oder muss man damit rechnen dass auch das nix nuetzt.

sollte ich finger vom ebanking lassen wenn ich nicht neu aufsetze?

lg bhm

Zitat:

Zitat von bhm54

wie kann man sich sicherheit verschaffen ausser neu aufzusetzen.

Gar nicht.

Zitat:

Zitat von bhm54

sollte ich finger vom ebanking lassen wenn ich nicht neu aufsetze?

Auf jeden Fall.

Na gut.

dann war der ganze aufwand für die katz.

vielleicht hätte ich die frage gleich am anfang stellen sollen..

ich hab aber nun die letzten wochen überweisungen, zahlungen über mastercard getätigt. da war dieser scheisstrojaner, wurm oder was auch immer ja schon am system.

was bedeutet das nun?!

muss ich damit rechnen das jemand mit meinen daten mist baut, mein konto plündert etc
oder ist das eher unwahrscheinlich, weil die zahlungen etc, von einem durch die bank/kreditanstantalt bereitgestellten sicherheitssystem verschluesselt worden sind?

was kann ich jetzt machen. dort mal nachfragen...?

Na gut.

dann war der ganze aufwand für die katz.

vielleicht hätte ich die frage gleich am anfang stellen sollen..

ich hab aber nun die letzten wochen überweisungen, zahlungen über mastercard getätigt. da war dieser scheisstrojaner, wurm oder was auch immer ja schon am system.

was bedeutet das nun?!

muss ich damit rechnen das jemand mit meinen daten mist baut, mein konto plündert etc
oder ist das eher unwahrscheinlich, weil die zahlungen etc, von einem durch die bank/kreditanstantalt bereitgestellten sicherheitssystem verschluesselt worden sind?

was kann ich jetzt machen. dort mal nachfragen...?

Du musst immer vom Worst Case ausgehen, wenn dann das Gegenteil eintreten sollte umso besser.
Es empfielt sich, dass du mit deiner Bank in Kontakt trittst und deine Zugangsdaten abändern lässt.

btw:
Warum zwei Posts mit gleichem Inhalt?