Hallo chaosman,

danke erstmal für die Hilfe.

Folgendes hat sich jetzt ergeben, hat sich auch überschnitten.

Habe mein SYS gestern abend platt gemacht, da ich ja keine Gewissheit hatte, und alles neu aufgesetzt. Vorhin war ich noch im Eidos-Forum, die hatten mittlerweile den besagten Patch gescannt und festgestellt, das er virenfrei ist -
also habe ich doch diesen Misthund (Entschuldigung ) draufgehabt.

Bin jetzt erstmal mit Win98 im Net -mit aktuellsten Update-Pack 1.2 von
Winboard.
Im IE sind ActiveX Steuerelemente und ActiveScripting abgestellt.
Nutze den OperaBrowser und natürlich aktuelles AntiVir.

Das Escan werde ich trotzdem mal nutzen auch die anderen Sachen -
Danke dir vielmals...
ein neues LogFile poste ich später mal rein -vielleicht ist das noch was -
oder auch schon wieder was neues, hoffe es aber nicht -habe das Sys auch noch nicht ganz fertig eingerichtet, also
Stinger und SS&D sind noch nicht wieder drauf.

Platte habe ich mit LowLevel formatiert.

Mich würde trotzdem mal interessieren, was dieser TR/ anstellt?
Google hatte keine Infos...

Danke und Gruß

Hallo, garrett

Zitat:

Mich würde trotzdem mal interessieren, was dieser TR/ anstellt?
Google hatte keine Infos...

Suchen will gelernt sein...
Guck´ mal hier http://www.sophos.de/search/?search=...&action=search
Hoffe, es hilft Dir weiter
stupormundi

@Garrett

genauer genommen wäre der hier richtig
http://www.sophos.de/virusinfo/analy...jbancosbv.html
Suchen will gelernt sein...
kann ich nur unterstreichen

chaosman

...ich habe die Schnauze voll.

Naja, habe mich auf Goggle allein beschränkt, das sollte eigentlich
nicht heißen, das ich nicht suchen kann...
aber lassen wir das. :-)

Also besagtes Win98 mit aktuellen UpdatePack usw. hat leider nur
zur Folge gehabt, das ich schon nach kurzer Zeit gleich den
nächsten TR/ draufhatte -diesen habe ich mir aber nicht gemerkt.
Wurde festgestellt, als ich ein Programm von originalen DT installieren wollte.

Wie dem auch sei -FP wieder formatiert, aber diesmal ein einfaches Format C:

Dann Winxp wieder drauf + SP1 + zwei aktuelle UpdatePacks für SP1 +
aktuelles AntiVir + euer Vorschlag eScan + extra OutpostFirewall -
obwohl ich im DSL Modem integrierte HWF habe.
Außerdem wieder AdAware SE und Spybot S+D, alles aktuell.
Outpost ist aber nicht aktuell...

Dann habe ich gescannt wie ein wilder, Ergebniss: (abgesicherter Modus)
LogFile von eScan: (sind angeblich Viren in den Update-Packs)

11Viren

AdAware SE - immer dieses Alexa -das habe ich xmal schon unter Quarantäne gestellt.
S-S+D haben mir auch das Alexa, außerdem ein paar Exploits und eine FM gebracht. Die Exploits sind gesperrt (PW) Alexa wie im AdAware und die FM:

Xuron55 - win.ini konnte nicht geöffnet werden...

Den Rest konnte ich nicht lesen, vielleicht könnt ihr damit was Anfangen.?

Ich sehe gerade -kann keine Smilies klicken -wirft mich nach oben zum Logo.
Die LogFiles kann ich auch nicht anhängen... *grübel*

Danke euch vielmals für den Link... ein sehr übler TR/, aber eigentlich sind sie das ja alle.

Gruß
edit: bevor ich es vergesse: XP-Dienste wurden natürlich auch eingestellt -
zuerst mit einem Tool (CCC) dann noch nach einer Liste von Windows Tweak
etwas angepasst -vieles ist deaktiv.
Im IE alles abgestellt, nur FF und Opera zum Browsen. OE wird auch nicht benutzt -nur Thunderbird.

@Garrett
Xuron55 lese hier mal nach
http://www.trojaner-board.de/showthr...hlight=Xuron55

Alexa wird von Spybot gelöscht.
scanne doch mal mit escan und poste die ergebnisse
http://www.trojaner-board.de/showthread.php?t=17492

btw: warum hast du kein sp2 installiert?

chaosman

Sorry, habe mal schnell den Opera draufgezogen -jetzt geht wieder
alles, irgendwie scheint der FF etwas Probleme zu haben, mit Seitenansicht
und Funktion...

Danke, also hat sich das mit dem Xuron55 erstmal erledigt -dachte schon
das sein ein Wurm oder sowas.

Ich habe schon mit eScan gescannt -hänge es hier mal mit rein, alle beide.
Ich habe noch kein SP2.

Logfile of HijackThis v1.99.1
Scan saved at 22:28:01, on 13.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\JensG\Desktop\Download\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

Jetzt das andere.

Tue Sep 13 21:02:10 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Sep 13 21:02:10 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Tue Sep 13 21:02:10 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Tue Sep 13 21:02:39 2005 => Offending file found: C:\DOKUME~1\JensG\LOKALE~1\Temp\insthelp.dll
Tue Sep 13 21:02:39 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.


Tue Sep 13 21:02:58 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Sep 13 21:02:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Tue Sep 13 21:02:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "E:\hijackthis.exe". Action Taken: No Action Taken.

Tue Sep 13 21:02:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823980". Action Taken: No Action Taken.

Tue Sep 13 21:03:03 2005 => Entry "HKCR\.sdp" refers to invalid object "soffice.StarStorageDocument.5". Action Taken: No Action Taken.

Tue Sep 13 21:03:03 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.

Tue Sep 13 21:07:15 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\*.*
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Statistics.ini

Tue Sep 13 21:07:46 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\eScan\mwav.exe
Tue Sep 13 21:08:09 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\MailWasher_Free_setup.exe
Tue Sep 13 21:08:16 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\*.*
Tue Sep 13 21:08:16 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.11_to_1.12_XP.exe
Tue Sep 13 21:08:24 2005 => Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.11_to_1.12_XP.exe markiert als not-a-virus:RiskTool.Win32.PsShutdown.232. Keine Aktion vorgenommen.

Tue Sep 13 21:08:24 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.13_XP.exe
Tue Sep 13 21:09:29 2005 => Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.13_XP.exe markiert als not-a-virus:RiskTool.Win32.PsShutdown.232. Keine Aktion vorgenommen.

Ich bekomme leider keine Anhänge rein, sonst wäre das alles viel einfacher -
das sind jetzt imho nur die wichtigsten, er hat mit eben 11 Viren gebracht, also im Scan.
Komme morgen nochmal her und versuche das anzuhängen -ich den Button dafür gar nicht.
Gute Nacht & danke für eure Hilfe!

Hallo, garrett
Du bist wieder auf dem besten Weg zu einer Neuinfektion!

Zitat:

Dann Winxp wieder drauf + SP1 + zwei aktuelle UpdatePacks für SP1

und

Zitat:

Ich habe noch kein SP2.

von wegen: Dein aktueller Installations- und Patchstand zeigt, dass Du nicht einmal SP1 installiert hast

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 22:28:01, on 13.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Wenn Du die Anleitung genau liest, wirst Du sehen, dass du vor dem Einstieg ins Netz alle aktuellen Servicepacks und Sicherheitspaches und was es sonst noch so an Tipps (v.w. ports, Benutzerkonten, etc...) gibt, erledigt haben solltest. Eine PFW (Outpost et alt. wird Dir das nicht abnehmen!
Bis denn, stupormundi