hallo,
erstmal - bin neu hier. ich weiss, hier gibts schon beiträge zu savenow & ...,
aber da steht mir zu "technisches" zeug drin.
bissl ahnung hab ich ja, aber ... naja...

also, hab mir irgentwie savenow & topmoxie eingefangen.
komisch nur - wie?

alles fing an, als ich nen bildschirmschoner von computerbild runtergeladen hab.
"fireworks inferno" -> install/AV schreit "trojaner"/gelöscht/gescannt= nichts mehr
als ich mal im ordner programme war, sah ich 2 nicht hingehörende - savenow & topmoxie
gegooglt- ("hersteller")-angeblich nur um verbraucherverhalten zu sammeln
dann lese ich, dass savenow "böse" is, und passwörter klaut (!?!)

AV findet nichts, weder im abges.modus noch norm.
spybotSD überhaupt nichts
ad-adware hat 14 gelöscht
pestpatrol 128(?!) gelöscht (alle 128 von topmoxie)

im ordner "savenow" gabs ne uninst. - also hab ich uninstalliert
erg.- savenow weg
topmoxie-ordner hab ich gelöscht

ich las nu aus verschiedenen ecken, dass es das dann nich gewesen is, sondern da immernoch "gefahr" besteht.

kann mich einer aufklären?
was is das savenow&co nun wirklich?
sind die nun weg?
wie können die sich selbst einladen, trotz ZA&AV?

ich freue mich auf jede hilfe,
(aber bitte "anfängerverständlich")
danke
cotton

@cotton
poste mal ein HJt logfile
http://www.trojaner-board.de/showthread.php?t=17493

benütze bitte auch mal die boardsuche, es gibt einige postings zu diesem thema.
ein wenig muhe muss du dich schon machen.

chaosman

danke, für die schnelle reaktion ...erstmal ...
hier nu meine log...
wusste bis vorhin gar nich, was man mit HJT überhaupt macht,
aber nu wirds langsam hell...
so wie ich das jetz versteh, wäre mein system ja sauber oder?
nur komisch, dass es so einfach zu beseitigen war.
savenow konnte normal deinstall. werden.
den rest hab ich einzelln gelöscht.
den ganzen rechner nach "savenow"/"topmoxie"/"bearsoft" ... durchsucht-
hab nur noch 2 install.exe gefunden, die ich erstmal in nen extra ordner gelegt hab. "ebates.exe.gda" & "savenowinst.exe.gda" - löschen?
und dann noch paar reg-einträge. kenn mich da aber überhaupt nich aus, was man löschen kann und was nich.
ausserdem -
-abges.modus- spybotSD/AV/ad-adware - gefunden null, ausser ad-adware, war aber "fallag" oder so. is ja aber kleinkram, denk ich.


und nebenbei: wie verhält man sich nu richtig, wenn AV-gard was findet-
zugriff verweigern und datei belassen oder löschen?
hatte mal gelesen, dass man sie beim scannen nur löschen soll.
stimmt das?

auf jeden fall schon mal vielen dank, dass man hier hilfe bekommt!
danke
cotton


Logfile of HijackThis v1.99.1
Scan saved at 00:12:10, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\sistray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\hijackthis\HijackThis.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://signin.ebay.de/ws/eBayISAPI....igrateVisitor=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yahoo.com/search/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_2
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {FC354AAA-6A4E-498B-9238-1EEE4024132E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {FC354AAA-6A4E-498B-9238-1EEE4024132E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - hxxp://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@chaosman


hast du mich vergessen?


...

@cotton
nicht vergessen, bin nur nicht immer online..

"ebates.exe.gda" & "savenowinst.exe.gda" - löschen?
Ja.

Ansonsten sehe ich in dein logfile nichts besonderes.
Überprüfe dein system anschließend mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

hab genau nach anleitung e-gescant ( )
nur kann ich damit beim besten willen nichts anfangen.
hab jetzt die mwav.log -> die is ja kilometer lang
nach anleitung sollte ich die log nach infected oder tagged durchsuchen.
hab ich gemacht:

Mon Aug 29 15:01:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 29 15:44:00 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.*

aber das sind ja nur die ordner von antivir, oder?
tagged wurde nichts gefunden.

hab hier nochmal was von der log reinkopiert, fall es wichtig ist (ende der log):



Mon Aug 29 16:14:10 2005 => ***** Checking for specific ITW Viruses *****
Mon Aug 29 16:14:10 2005 => Checking for Welchia Virus...
Mon Aug 29 16:14:10 2005 => Checking for LovGate Virus...
Mon Aug 29 16:14:10 2005 => Checking for CodeRed Virus...
Mon Aug 29 16:14:10 2005 => Checking for OpaServ Virus...
Mon Aug 29 16:14:10 2005 => Checking for Sobig.e Virus...
Mon Aug 29 16:14:10 2005 => Checking for Winupie Virus...
Mon Aug 29 16:14:10 2005 => Checking for Swen Virus...
Mon Aug 29 16:14:10 2005 => Checking for JS.Fortnight Virus...
Mon Aug 29 16:14:10 2005 => Checking for Novarg Virus...
Mon Aug 29 16:14:10 2005 => Checking for Pagabot Virus...
Mon Aug 29 16:14:10 2005 => Checking for Parite.b Virus...
Mon Aug 29 16:14:10 2005 => Checking for Parite.a Virus...
Mon Aug 29 16:14:10 2005 => Checking for Adware.SeekSeek Virus...

Mon Aug 29 16:14:11 2005 => ***** Scanning complete. *****

Mon Aug 29 16:14:11 2005 => Total Objects Scanned: 74409
Mon Aug 29 16:14:11 2005 => Total Virus(es) Found: 4
Mon Aug 29 16:14:11 2005 => Total Disinfected Files: 0
Mon Aug 29 16:14:11 2005 => Total Files Renamed: 0
Mon Aug 29 16:14:11 2005 => Total Deleted Objects: 0
Mon Aug 29 16:14:11 2005 => Total Errors: 92
Mon Aug 29 16:14:11 2005 => Time Elapsed: 01:36:48
Mon Aug 29 16:14:11 2005 => Virus Database Date: 2005/08/24
Mon Aug 29 16:14:11 2005 => Virus Database Count: 145335

Mon Aug 29 16:14:11 2005 => Scan Completed.


im unteren fenster vom scanner stand nach dem scanning ne liste.
ich hab sie leider nich kopiert, und kann sie jetz nicht posten (dachte s´steht in der log mit drin), aber da kam wieder "topmoxie" und "savenow" vor. und ganz n´paar mehr.

laut hjthis automatischer auswertung hab ich wohl nichts, ausser "remote capture ..." o.ä.

und was sind denn die 92 errors und 4 mal virus?

schon mal danke...

Savenow habe ich mir gestern bei bildschirmschoner.de eingefangen, weiß aber nicht mit welchem dieser Schoner.
Es ist manchmal gut, wenn man einen alten langsamen Rechner mit Windoofs 98 hat. Savenow fiel sofort auf, weil die Maschine plötzlich zäh lief. Ein Blick in Nortons-Taskmanager zeigte den Übeltäter (ich weiß auswendig, was da laufen darf und was nicht). Der wurde erst mal mit "Task beenden" abgestellt. Der Autostartmanager zeigte auch richtig den Eintrag, der wurde gelöscht. Eine Durchsuchung der Registry mittels Nortons Registry-Editor brachte drei Einträge hervor, die ich löschte. Savenow fand ich unter C.\programme in einem eigenen Ordner, der wurde komplett gelöscht.
War das nun wirklich ein Virus? Antivir hat es nämlich nicht beanstandet. Auch wenn nicht, ich mag es nicht, wenn man mir ungefragt solches Zeug in den Speicher stopft, wie gesagt, mein Rechner läuft oft an der Grenze seiner Fähigkeiten, da stört jeder unnötige Kram sofort.

Zitat:

Savenow habe ich mir gestern bei bildschirmschoner.de eingefangen

vieleicht von "flammeninferno" oder so ä.?
aber ich schätze, dass man sich "ide" auf verschiedene art und w. einladen kann. einladen, weil -

savenow wird (nach meiner erfahrung) mit zustimmung des benutzers install.
also beim istall eines (zb) bildschirmschoners, wird (angeblich) darauf hingewiesen, dass "die" mitinstalliert werden.
also eigentlich rechtlich gesehen legal. nutzen (wenns so ist) die faulheit eines users aus, der die liz-bestimmungen nicht liest. (mal erlich - wer liest ständig diese ewig langen texte durch )

ob´s wirklich drinsteht, dass "die" sich mitinstall, weiss ich nich genau, da ich mir das "ding" nicht nochmal install will, und auch keine experimente machen will ...

"savenow" sagt (so wie ich deren englische internetseite verstehe) von sich, sie seien "nicht böse" (klar), sondern sammel nur infos über "benutzerverhalten" oder konsumverhalten, um die welt zu verbessern.

----------
sie mal nach, ob du in programm- zugriffstandarts "savenow" deinstall kannst.
bei mir gings.
ausserdem hatte ich noch "topmoxie" zeitgleich und auch in einem eigenen ordner unter programme (wovon ich immernoch nicht weiss, was das war/sein soll).(ordner von hand gelöscht...)
hab dann die platte durchsucht - suche - nach dateien&ordner - datum und zeit (...), in der savenow install wurde - samtliche reste gelöscht

spybot&ad-adware im abges.modus

bei mir ist´s (denk ich) "weg".

gruss

(falls neu) gibt ein removetool gegen whenu (savenow) bei
http://www.lavasoft.de/
...

hallo.
ich dachte, das thema mit savenow und co zum abschluss gebraucht zu haben ... aber warscheinlich nicht.

ich hab hier mein frisches escan-ergebniss -
da steht doch tatsächlich noch was von dem "savenow" drin.
wo oder wie finde ich das?

und diese "acodec.dll" wird als infected angezeigt - ist nicht original von mir. hab ich zum prüfen auf meinen rechner gezogen - war bei meiner schwester aufm lappi, und bei jotti hiess es "kein virus".
was halte ich jetz davon?

kazza ist klar - hab ich mal kurz install, da ich was gesucht hab, ...

"lame 3.98a2" ist ja für mp3 - hab das programm "audacity", und das brauchte dieses "lame" (was ja (glaub ich) normalerweise nichts schlimmes ist) zum mp3 abspeichern
fehlmeldung?

der rest ist mir völlig unbekannt. "roulett"?!

könnte nochmal jemand bitte drübergucken?
danke.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 16 14:55:07 2005 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.
Sun Oct 16 14:55:07 2005 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.
Sun Oct 16 14:55:07 2005 => System found infected with easysearch Spyware/Adware (index.html)! Action taken: No Action Taken.
Sun Oct 16 14:55:18 2005 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.
Sun Oct 16 15:23:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Oct 16 16:52:01 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.*
Sun Oct 16 17:36:30 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 16 14:53:25 2005 => Offending Key found: HKLM\Software\kazaa !!!
Sun Oct 16 14:55:01 2005 => Offending Key found: HKCU\Software\kazaa !!!
Sun Oct 16 14:55:01 2005 => Offending Key found: HKCU\Software\VB and VBA Program Settings\roulette !!!
Sun Oct 16 14:55:01 2005 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\etraffic !!!
Sun Oct 16 14:55:01 2005 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\savenow !!!
Sun Oct 16 14:55:06 2005 => Offending Folder found: C:\Dokumente und Einstellungen\cotton(B)\Anwendungsdaten\opera\opera\profile\toolbar
Sun Oct 16 14:55:07 2005 => Offending file found: C:\Dokumente und Einstellungen\cotton(B)\Desktop\andrea neu\acodec.dll
Sun Oct 16 14:55:07 2005 => Offending file found: C:\Dokumente und Einstellungen\cotton(B)\Desktop\andrea123\111\acodec.dll
Sun Oct 16 14:55:07 2005 => Offending file found: C:\Dokumente und Einstellungen\cotton(B)\Desktop\audioeditor´s\lame3.98a2\index.html
Sun Oct 16 14:55:18 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Sun Oct 16 17:36:30 2005 => Total Virus(es) Found: 10
Sun Oct 16 17:36:30 2005 => Total Errors: 77
Sun Oct 16 17:36:30 2005 => Time Elapsed: 02:52:44
Sun Oct 16 17:36:30 2005 => Total Objects Scanned: 85564
Sun Oct 16 14:40:57 2005 => Virus Database Date: 2005/10/16
Sun Oct 16 17:36:30 2005 => Virus Database Date: 2005/10/16
Sun Oct 16 17:37:23 2005 => Virus Database Date: 2005/10/16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~