Tag ihr lieben!
Bin auf die Seite gestoßen wie wohl viele andere auch, google-eingabe des Mists auf dem Bildschirm und schwupp, da simmer!
Hatte (habe noch?) WareOut auf dem Win2k Rechner und bin mal im Forum stöbern gewesen. Da wurde dann von allerlei geschrieben von wegen logs posten und so - für mich leider alles Chinesisch.
Habe dann auf eurer Seite Spysweep Test gesehen und runtergeladen, laufen lassen und siehe da, bis jetzt keine meldungen mehr.
SpSw hat auch noch andere Sachen, unter anderem PS Guard, gefunden und angeblich ausgemerzt (PS war noch nicht in Erscheinung getreten).
Dann hab ich mir noch Das Service Pack 1-3 von Microsoft gezogen (4+Updates sollen später folgen) und installiert.
Hatte vorher schon Antivir und Zonealarm installiert, haben aber Wareout nicht verhindert.
Was hilft gegen den Mist, auch wenn mann es kaufen muss?
Was kann man noch tun um den Rechner zu verbarrikadieren?
Ist Das Zeug mit Spysweep wirklich runter?
DAs sind erstmal ´ne Menge Fragen, sorry.
Dann bis später!

Es hätte gereicht, sich Service Pack 4 zu installieren, da sind die drei Vorgänger schon mit enthalten.
Poste mal einen HijackThis-Logfile , damit wir mal einen Überblick bekommen.

Hab das mit dem antworten zwar schon mal versucht, dann wars aber irgendwie weg.
Also, nochmal das ganze:
Habe das mit SP4 auch versucht, aber beim installieren kam die meldung wbemtest.exe wird nicht gefunden, pfadnamen neu eingeben o.ä.
Habe dann das nächst-kleinere installiert und das ging.
Auch die Hijack prozedur habe ich, soweit ich das nachvollziehen konnte ausgeführt. Dabei kam das raus:



Logfile of HijackThis v1.99.1
Scan saved at 17:53:05, on 06.08.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinZip\WINZIP32.EXE
C:\Dokumente und Einstellungen\Administrator.+++++-PC\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: (no name) - {286AD7B1-5AEE-E220-D86C-53B63A3A7244} - dialer423.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [killall] StartCpl.exe
O4 - HKLM\..\Run: [install2] sysmon12.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ftbar] mozilla-text.exe
O4 - HKCU\..\Run: [keybdll] 34763.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1284DC0D-5B6E-4986-9768-3268EAC44789}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{1284DC0D-5B6E-4986-9768-3268EAC44789}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{1284DC0D-5B6E-4986-9768-3268EAC44789}: NameServer = 69.50.176.158,85.255.112.8
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe



Wär ich doch bloß Mac-User geblieben
Ach ja, habe, getreu den Aussagen eines Bekannten mal xp clean wischen lassen, zumindest wo man nichts kaputtmachen konnte.
Konnte dann eben nicht direkt ins Netz, IE hat den server nicht gefunden. Aber über t-online gings dann. Hat XP clean da was kaputt gemacht?
Vielen Dank im voraus, Gruß ins Siegerland

Mache einen escan genau nach anleitung und poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

Grüß Euch, Ihr Götter der Bits und Bytes,

Hab die Prozedur durchlaufen und das kam dabei raus:

Escan hat einen Virus/Schnüffler gefunden: Alexa, der ist aber soviel ich weiss von Microsucks und nicht wegzukriegen.
Desweiteren noch einige einträge die auf irgendwas verweisen. Schicke euch mal den Auszug:




Sat Aug 06 17:10:14 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.


Sat Aug 06 17:20:55 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Aug 06 17:20:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINNT\Downloaded Program Files\AdToolsX.dll". Action Taken: No Action Taken.

Sat Aug 06 17:20:59 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0700\Intel32\ctor.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:01 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\Dokumente und Einstellungen\Administrator.HAFNER-PC\Lokale Einstellungen\Temp\hijackthis.exe". Action Taken: No Action Taken.

Sat Aug 06 17:21:02 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".". Action Taken: No Action Taken.

Sat Aug 06 17:21:02 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/Film_Noir". Action Taken: No Action Taken.

Sat Aug 06 17:21:02 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".net/de/cgi/msgpart/Basketballturnier%5Fdes%5FTV%5FBitburg%2Edoc?LANG=de&MSGNO=6%2D4b867ef12f455bb9ff83592ba31c2f11&m=44730363%2E1124095863&PARTNO=2&PARTFILE=Basketballtu rnier%5Fdes%5FTV%5FBitburg%2E". Action Taken: No Action Taken.

Sat Aug 06 17:21:06 2005 => Entry "HKCR\CLSID\{286AD7B1-5AEE-E220-D86C-53B63A3A7244}" refers to invalid object "dialer423.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:08 2005 => Entry "HKCR\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}" refers to invalid object "C:\Programme\FRITZ!\Atl.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:15 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:21 2005 => Entry "HKCR\CLSID\{EEC6993A-B3FD-11D2-A916-00C04FB98638}" refers to invalid object "pid.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:24 2005 => Entry "HKCR\TypeLib\{44EC0535-400F-11D0-9DCD-00A0C90391D3}" refers to invalid object "C:\Programme\FRITZ!\Atl.dll". Action Taken: No Action Taken.

Sat Aug 06 17:21:27 2005 => Entry "HKCR\.pot" refers to invalid object "Powerpoint.Template". Action Taken: No Action Taken.

Sat Aug 06 17:21:27 2005 => Entry "HKCR\.ppt" refers to invalid object "Powerpoint.Show.7". Action Taken: No Action Taken.

Sat Aug 06 17:21:27 2005 => Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.

Sat Aug 06 17:21:34 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.

Sat Aug 06 17:21:34 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Sat Aug 06 17:21:34 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Sat Aug 06 17:21:40 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D}
". Action Taken: No Action Taken.


Hoffe das hilft oder alles ist halb so wild, Rechner läuft derzeit gut.
Werde mal die Tipps aus dem Malware Artikel befolgen.
Bis später
Gruß Coach

Lese Dir die Anleitung zum escan nochmals genau durch. Besonders den Abschnitt zur Datei find.bat.

So, das ist auch geschafft, hier das ergebnis:



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Aug 06 17:10:14 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Aug 06 17:47:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Aug 06 17:43:43 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Aug 06 17:43:43 2005 => Total Virus(es) Found: 1
Sat Aug 06 17:43:43 2005 => Total Errors: 26
Sat Aug 06 17:43:43 2005 => Time Elapsed: 01:35:08
Sat Aug 06 17:43:43 2005 => Total Objects Scanned: 36577
Sat Aug 06 17:07:40 2005 => Virus Database Date: 2005/08/26
Sat Aug 06 17:43:43 2005 => Virus Database Date: 2005/08/26
Sat Aug 06 17:45:25 2005 => Virus Database Date: 2005/08/26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hoffe das hilft weiter.
Danke für Eure Geduld!
Gruß Coach

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Dann noch mal ein neues HJT-Log.

Moinsen,
Habe die 3 Programme runtergeladen und laufen lassen, zumindest Spybot und Clearprog liefen. Spybot hat was gefunden und gelöscht und auch clearprog hat geunden und gelöscht. (Ist doch im Prinzip sowas wie XP Clean - oder?)
Adaware hab ich gezogen, installiert und laufen lassen, klappte ganz gut (incl. Update saugen) bis zum Punkt checking for possible Hijacking Attempts, dann hängt sich die ganze kiste auf.
Kurz zuvor werden immer 2 kritische Objekte gefunden, Verzeichnis ist irgendwas, was ich (Ohne Ahnung und Gewähr) als Hkey local machine... entziffern würde. Der Suchprozess geht dann irgendwie nicht weiter und beim Klick auf Abbrechen kommt die Meldung: "Das Programm reagiert nicht...".
Hab das Programm nach mehreren Versuchen gelöscht, nochmal runtergeladen, wieder dasselbe, immer ähnliche Anzahl der Datensätze durchsucht (24100 und ein paar gequetschte), dann ist Essig.
Habe dann nochmal gelöscht und von woanders geladen, nochmal laufen lassen - selbes Ergebnis.
Habe dann Antivir und Spybot abgeschaltet, vielleicht behindern sich die ganzen Helferlein gegenseitig, wieder Sch... .
Vielleicht Festplatte Fratze? Rechner lässt sich auch nur wiederwillig einschalten und hochfahren, klappt vielleicht bei jedem 10. Mal.
Ist ein altes Hündchen (Pentium 300), dass ich von einem Kumpel im Tausch gegen einen alten Power MAC bekommen hab.
wie eghts weiter?
Grüsse Coach

Hallo,

die meisten Registryeinträge wirst du per hand löschen müssen. Da findet selbst Spybot nicht so viel. Ist nervig, ist aber so. (auch der escanceck kann die arbeit nicht abnhemen)

Also per Hand suchen und löschen.
Warum Ad-Aware bei dir abstürzt weis ich leider auch nicht.
Mhh du hast den Spy Sweeper drauf wie ich sehe.
Der ergänzt ja Spybot eigentlich ganz gut....*grübel* gut tut jetzt nichts zur Sache.
Spybot löscht ja den Alexa schonmal von selbst. Vielleicht solltest du bei Spybot auch mal in den Einstellungen auf Fortgeschritten herumprobieren und auch das Systemaufräumen mal austesten. Aber...bitte nichts unüberlegt löschen. Ich weis wovon ich spreche

Donni