Hallo Forumer!
Mich hat es gestern dummerweise erwischt, als ich neue Software und Spiele für mein Serie 60 Handy von Nokia (Symbian) in den Yahoo-Groups gesucht habe. Scheine wohl etwas "verseuchtes" runtergeladen zu haben. Hänge einfach mal das eScan log file (aus der find.bat) an, mit der Bitte, mir bei der möglichst rückstandslosen Beseitigung zu helfen!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Sep 15 18:50:22 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Thu Sep 15 20:13:45 2005 => File D:\Bluetooth\inbox\4mk453__.sis infected by "Worm.SymbOS.Comwar.a" Virus! Action Taken: No Action Taken.
Thu Sep 15 20:13:45 2005 => File D:\Bluetooth\inbox\e6kcpd37.sis infected by "Worm.SymbOS.Comwar.a" Virus! Action Taken: No Action Taken.
Thu Sep 15 20:13:45 2005 => File D:\Bluetooth\inbox\iwgmh_vj.sis infected by "Worm.SymbOS.Comwar.a" Virus! Action Taken: No Action Taken.
Thu Sep 15 20:13:45 2005 => File D:\Bluetooth\inbox\ygsivfv9.sis infected by "Worm.SymbOS.Comwar.a" Virus! Action Taken: No Action Taken.
Thu Sep 15 20:16:13 2005 => File D:\Handy\Sonstiges\Games\Resistance13_FullCracked.sis infected by "Worm.SymbOS.Comwar.b" Virus! Action Taken: No Action Taken.
Thu Sep 15 20:20:14 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Sep 15 20:20:14 2005 => Total Virus(es) Found: 6
Thu Sep 15 20:20:14 2005 => Total Errors: 417
Thu Sep 15 20:20:14 2005 => Time Elapsed: 01:29:30
Thu Sep 15 20:20:14 2005 => Total Objects Scanned: 48578
Thu Sep 15 20:20:14 2005 => Virus Database Date: 2005/09/15
Thu Sep 15 20:20:42 2005 => Virus Database Date: 2005/09/15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Vielen Dank im Voraus!! Wäre nett, wenn ihr mir helft!!
mfG AirKnee

Servus, AirKnee!
Gratuliere, scheinbar hast Du Dir Dein erstes Handyvirus, welches iÜ. MMS und bluetooth nutzt, downgeloadet!
Mehr dazu u.a. hier
http://www.viruslist.com/en/viruses/...?virusid=75541 und
http://securityresponse.symantec.com...warrior.a.html und hier
http://www.sophos.com/virusinfo/anal...mbcomwara.html
Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493

Cu, stupormundi

"Danke für die Glückwünsche"!!

Logfile of HijackThis v1.99.1
Scan saved at 09:04:20, on 16.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQPlus\vplus.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Name\Desktop\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h°°p://Seite.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-CD7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=h°°p://www.Name.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h°°p://update.name.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120496407234
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe



Das heisst, ich hab den Kram sogar auf meinem Handy?? Ist es denn möglich, nachdem ich die Sache auf meiem PC wieder hin bekommen hab, einfach eine vorher gemachte Sicherungskopie (die habe ich nämlich erst vor ein paar Tagen mit der Nokia Pc Suite gemacht) auf das Handy wieder her zu stellen? Oder reicht das nicht aus, um auch das Handy wieder frei von allen Plagegeistern zu bekommen??

Hallo, Airknee!

Zitat:

Mich hat es gestern dummerweise erwischt, als ich neue Software und Spiele für mein Serie 60 Handy von Nokia (Symbian) in den Yahoo-Groups gesucht habe. Scheine wohl etwas "verseuchtes" runtergeladen zu haben.

Da ich selber schon aus dem Alter heraus bin und mich selber mit Handy-Software-Updates, PlugIns etc nicht beschäftige und mich damit auch nicht auskenne, frage ich hier möglicherweise blöd: Hast Du nur von der website auf den PC downgeloadet oder auch gleich aufs Handy installiert (via Bluetooth, USB oder was weiß´ ich wie noch?)
Ansonsten lösche im abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html mit killbox http://www.bleepingcomputer.com/files/killbox.php oder totalcommander http://www.ghisler.com/download.htm die Datei

Zitat:

D:\Handy\Sonstiges\Games\Resistance13_FullCracked.sis

Suche folgende Dateien auf deinem PC
*\commwarrior.exe
*\commrec.mdl
*\commw.sis und lösche diese ebenfalls mit oa Programm/en!

Zitat:

Das heisst, ich hab den Kram sogar auf meinem Handy?? Ist es denn möglich, nachdem ich die Sache auf meiem PC wieder hin bekommen hab, einfach eine vorher gemachte Sicherungskopie (die habe ich nämlich erst vor ein paar Tagen mit der Nokia Pc Suite gemacht) auf das Handy wieder her zu stellen? Oder reicht das nicht aus, um auch das Handy wieder frei von allen Plagegeistern zu bekommen??

k.a. - hast Du schon die auf den von mir oben verlinkten Seiten beschriebenen Meldungen am Handy gehabt? Wenn ja, probier mal die Instruktion der Symantec HP

Zitat:

To remove SymbOS.Commwarrior.A:
Install a file manager program on the phone.
Enable the option to view the files in the system directory.
Search the drives, A through Y, for the \system\apps\commwarrior directory.
Delete the files commwarrior.exe and commrec.mdl.
Go to the \system\updates\commwarrior directory.
Delete the files commwarrior.exe, commrec.mdl, and commw.sis.
Go to the \system\recogs directory.
Delete the file commrec.mdl.

In Deinem HJT-Log finde ich iÜ nichts!
Viel Erfolg und poste bitte Deine Ergebnisse
stupormundi

Hab von der Website auf den PC gedownloadet und daraufhin per bloototh auf´s Hady übertragen und dort installiert. Die von dir genannten Seiten habe ich gelesen und die instructions alle durchgeführt. Außerdem kann ich per Kundenbetreuung Online bei E-Plus dirkekt nachgucken, was meine Handyrechnung sagt. Verschickt hat sich da noch nix, könnte also "noch Glück gehabt haben". Werde aber, nachdem ich die Datei
D:\Handy\Sonstiges\Games\Resistance13_FullCracked. sis
mit einem, der von Dir genannten Programme gelöscht habe, einfach die letzte Sicherung auf´s Handy zurückspielen und denke, dass ich dann "aus dem Schneider sein sollte" - HOFFENTLICH!!!
Werd jetzt in den abgesicherten Modus und löschen.

Servus, AirKnee!

Naja, hast wahrscheinlich Glück gehabt!
Meide in Zukunft die yahoo-groups - die sind als Virenschleudern bekannt!
Viel Glück, stupormundi

Nachtrag: die anderen von escan gefundenen infizierten Dateien

Zitat:

D:\Bluetooth\inbox\4mk453__.sis
D:\Bluetooth\inbox\e6kcpd37.sis
D:\Bluetooth\inbox\iwgmh_vj.sis
D:\Bluetooth\inbox\ygsivfv9.sis

natürlich auch löschen!
sry, stupormundi