hallo,
erstmal - bin neu hier. ich weiss, hier gibts schon beiträge zu savenow & ...,
aber da steht mir zu "technisches" zeug drin.
bissl ahnung hab ich ja, aber ... naja...

also, hab mir irgentwie savenow & topmoxie eingefangen.
komisch nur - wie?

alles fing an, als ich nen bildschirmschoner von computerbild runtergeladen hab.
"fireworks inferno" -> install/AV schreit "trojaner"/gelöscht/gescannt= nichts mehr
als ich mal im ordner programme war, sah ich 2 nicht hingehörende - savenow & topmoxie
gegooglt- ("hersteller")-angeblich nur um verbraucherverhalten zu sammeln
dann lese ich, dass savenow "böse" is, und passwörter klaut (!?!)

AV findet nichts, weder im abges.modus noch norm.
spybotSD überhaupt nichts
ad-adware hat 14 gelöscht
pestpatrol 128(?!) gelöscht (alle 128 von topmoxie)

im ordner "savenow" gabs ne uninst. - also hab ich uninstalliert
erg.- savenow weg
topmoxie-ordner hab ich gelöscht

ich las nu aus verschiedenen ecken, dass es das dann nich gewesen is, sondern da immernoch "gefahr" besteht.

kann mich einer aufklären?
was is das savenow&co nun wirklich?
sind die nun weg?
wie können die sich selbst einladen, trotz ZA&AV?

ich freue mich auf jede hilfe,
(aber bitte "anfängerverständlich")
danke
cotton

@cotton
poste mal ein HJt logfile
http://www.trojaner-board.de/showthread.php?t=17493

benütze bitte auch mal die boardsuche, es gibt einige postings zu diesem thema.
ein wenig muhe muss du dich schon machen.

chaosman

danke, für die schnelle reaktion ...erstmal ...
hier nu meine log...
wusste bis vorhin gar nich, was man mit HJT überhaupt macht,
aber nu wirds langsam hell...
so wie ich das jetz versteh, wäre mein system ja sauber oder?
nur komisch, dass es so einfach zu beseitigen war.
savenow konnte normal deinstall. werden.
den rest hab ich einzelln gelöscht.
den ganzen rechner nach "savenow"/"topmoxie"/"bearsoft" ... durchsucht-
hab nur noch 2 install.exe gefunden, die ich erstmal in nen extra ordner gelegt hab. "ebates.exe.gda" & "savenowinst.exe.gda" - löschen?
und dann noch paar reg-einträge. kenn mich da aber überhaupt nich aus, was man löschen kann und was nich.
ausserdem -
-abges.modus- spybotSD/AV/ad-adware - gefunden null, ausser ad-adware, war aber "fallag" oder so. is ja aber kleinkram, denk ich.


und nebenbei: wie verhält man sich nu richtig, wenn AV-gard was findet-
zugriff verweigern und datei belassen oder löschen?
hatte mal gelesen, dass man sie beim scannen nur löschen soll.
stimmt das?

auf jeden fall schon mal vielen dank, dass man hier hilfe bekommt!
danke
cotton


Logfile of HijackThis v1.99.1
Scan saved at 00:12:10, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\sistray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\hijackthis\HijackThis.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://signin.ebay.de/ws/eBayISAPI....igrateVisitor=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yahoo.com/search/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_2
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {FC354AAA-6A4E-498B-9238-1EEE4024132E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {FC354AAA-6A4E-498B-9238-1EEE4024132E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - hxxp://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@chaosman


hast du mich vergessen?


...

@cotton
nicht vergessen, bin nur nicht immer online..

"ebates.exe.gda" & "savenowinst.exe.gda" - löschen?
Ja.

Ansonsten sehe ich in dein logfile nichts besonderes.
Überprüfe dein system anschließend mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

hab genau nach anleitung e-gescant ( )
nur kann ich damit beim besten willen nichts anfangen.
hab jetzt die mwav.log -> die is ja kilometer lang
nach anleitung sollte ich die log nach infected oder tagged durchsuchen.
hab ich gemacht:

Mon Aug 29 15:01:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 29 15:44:00 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.*

aber das sind ja nur die ordner von antivir, oder?
tagged wurde nichts gefunden.

hab hier nochmal was von der log reinkopiert, fall es wichtig ist (ende der log):



Mon Aug 29 16:14:10 2005 => ***** Checking for specific ITW Viruses *****
Mon Aug 29 16:14:10 2005 => Checking for Welchia Virus...
Mon Aug 29 16:14:10 2005 => Checking for LovGate Virus...
Mon Aug 29 16:14:10 2005 => Checking for CodeRed Virus...
Mon Aug 29 16:14:10 2005 => Checking for OpaServ Virus...
Mon Aug 29 16:14:10 2005 => Checking for Sobig.e Virus...
Mon Aug 29 16:14:10 2005 => Checking for Winupie Virus...
Mon Aug 29 16:14:10 2005 => Checking for Swen Virus...
Mon Aug 29 16:14:10 2005 => Checking for JS.Fortnight Virus...
Mon Aug 29 16:14:10 2005 => Checking for Novarg Virus...
Mon Aug 29 16:14:10 2005 => Checking for Pagabot Virus...
Mon Aug 29 16:14:10 2005 => Checking for Parite.b Virus...
Mon Aug 29 16:14:10 2005 => Checking for Parite.a Virus...
Mon Aug 29 16:14:10 2005 => Checking for Adware.SeekSeek Virus...

Mon Aug 29 16:14:11 2005 => ***** Scanning complete. *****

Mon Aug 29 16:14:11 2005 => Total Objects Scanned: 74409
Mon Aug 29 16:14:11 2005 => Total Virus(es) Found: 4
Mon Aug 29 16:14:11 2005 => Total Disinfected Files: 0
Mon Aug 29 16:14:11 2005 => Total Files Renamed: 0
Mon Aug 29 16:14:11 2005 => Total Deleted Objects: 0
Mon Aug 29 16:14:11 2005 => Total Errors: 92
Mon Aug 29 16:14:11 2005 => Time Elapsed: 01:36:48
Mon Aug 29 16:14:11 2005 => Virus Database Date: 2005/08/24
Mon Aug 29 16:14:11 2005 => Virus Database Count: 145335

Mon Aug 29 16:14:11 2005 => Scan Completed.


im unteren fenster vom scanner stand nach dem scanning ne liste.
ich hab sie leider nich kopiert, und kann sie jetz nicht posten (dachte s´steht in der log mit drin), aber da kam wieder "topmoxie" und "savenow" vor. und ganz n´paar mehr.

laut hjthis automatischer auswertung hab ich wohl nichts, ausser "remote capture ..." o.ä.

und was sind denn die 92 errors und 4 mal virus?

schon mal danke...

du musst nicht nach den einträgen "suchen"
in der Anleitung steht:

Zitat:

Zitat von Anleitung

5] Rechtsklick auf die Find.rar -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

zitat aus anleitung:

Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

ausserdem hab ich unter C:/ 2 ordner: C:\Bases_X und C:\BasesX

und neu dazu gekommen seit escan:

ordner "download" und "23990098.$$$" (!?)

is da was falsch dran?

bin aber echt 100% nach anleitung gegangen.

ich finde auf´m ganzen pc kein "find.rar"

noch mal scannen?

die find.rar muss man auch durch anklicken dieser in der anleitung herunterladen..

uuups...

danke.

mach ich ....

bin ich unfähig???

die entpackte find.bat funzt nicht.
doppelklick/fenster auf und gleich wieder zu...

und so gehörts auch. lies doch bitte die anleitung genauer durch^^
denn jetzt wurde wenn alles richtig war, eine escan_neu.txt auf c:\ erzeugt. den inhalt dieser datei solltest du nun posten. (alles was in der datei drin steht)

ich lasse gerade zum 2. mal alle festplatten nach "eScan*" durchsuchen...
nichts


und nu?

aaaaalso.....
ich hab mir mal die find.bat angesehen....

if not exist c:\bases\mwav.log goto 1
und
if not eXist c:\bases_x\mwav.log goto 2
dann
:2 exit

da kann ja nüscht gehen, wenn ich nich weiss, dass die mwav.log in bases oder bases x sein soll

wie gesagt, hab ich einmal "basesX" und "bases X"
warum?
keine ahnung. kam glaub ich seit dem update.

hab also MWAV nach bases x geschoben und da is sie:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 15:01:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 29 15:44:00 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 29 16:14:11 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 16:14:11 2005 => Total Virus(es) Found: 4
Mon Aug 29 16:14:11 2005 => Total Errors: 92
Mon Aug 29 16:14:11 2005 => Time Elapsed: 01:36:48
Mon Aug 29 16:14:11 2005 => Total Objects Scanned: 74409
Mon Aug 29 14:35:17 2005 => Virus Database Date: 2005/08/24
Mon Aug 29 16:14:11 2005 => Virus Database Date: 2005/08/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

äääääämmmmm...hallo(?)
*abduck*
...*hochguck*...