Hallo,
ich habe heute c formatiert um die viren darin loszuwerden und anschließend windows neu installiert.

Jetzt habe ich noch mal einen escan gemacht und leider hat er folgendes gefunden(2x):

Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Ich muss zugeben, dass ich die internetverbindung schon bestehen hatte und dann erst service pack 2 und andere windows updates heruntergeladen habe.
Nun ist meine Frage, muss ich schon wieder formatieren oder kann man diese Spyware irgendwie entfernen, welcher Natur ist sie?
Außerdem hat er 21 Meldungen zu Einträgen ausgegeben, die sich auf ein invalides Objekt beziehen. Was bedeuted das genau, muss ich mich darum auch kümmern oder kann ich das ignorieren?

whenu hatte ich auch...savenow ...
unter c/programme müsste ein ordner "savenow" oä sein (evtl topmoxie)
savenow unter programm- und zugriffstandarts deinstallieren
unter c/programme reste löschen (wenn ordner savenow und topmoxie noch vorhanden)
einen reg-cleaner laufen lassen ...

ich hatte savenow von computerbild (mit nem bildschirmschoner) "bekommen". auf mails hat man nie geantwortet. absicht?
fakt - savenow(whenu) soll sich angeblich "legal" install - in den lizensbest. soll was davon drin stehen, das es mitinstall wird.
sagen von sich, sie sammeln nur konsumverhalten.
hatte mal die internetseite von denen über google gefunden - jetz aber nich mehr weil - http://www.heise.de/newsticker/meldung/47369

:aplaus:

ansonsten mal ein hjtlog posten ...

Das hört sich zum Glück nicht so gefährlich an.

Wo finde ich denn die programm- und zugriffstandarts?

den ordner savenow oder topmoxie gibt es bei mir nicht unter c:\programme

@wuhu

Zitat:

Wo finde ich denn die programm- und zugriffstandarts?

unter "start"
oder unter systemsteuerung - software
...dort dann auf "programme ändern/entfernen" und "savenow" (wenn vorhanden) deinstall.

Zitat:

Ich muss zugeben, dass ich die internetverbindung schon bestehen hatte und dann erst service pack 2 und andere windows updates heruntergeladen habe.

... ein hijackthis-logfile kann nicht schaden (anleitung hier auf dem trojanerboard) (und die log bitte hier posten)

@all

Zitat:

Außerdem hat er 21 Meldungen zu Einträgen ausgegeben, die sich auf ein invalides Objekt beziehen. Was bedeuted das genau, muss ich mich darum auch kümmern oder kann ich das ignorieren?

versteh ich auch ((hoffentlich)noch) nich ...

Heiho

Zitat:

Zitat:
Außerdem hat er 21 Meldungen zu Einträgen ausgegeben, die sich auf ein invalides Objekt beziehen. Was bedeuted das genau, muss ich mich darum auch kümmern oder kann ich das ignorieren?

versteh ich auch ((hoffentlich)noch) nich ...

@wuhu
Diese "invalid objects" wirft er bei mir immer aus, wenn ich irgendwelche Programme lösche, aber die registry-Einträge bestehen bleiben. Lass einfach mal einen Windows Optimizer (TuneUp, Ashampoo, Norton Utilies, etc.) laufen, der sollte das in Ordnung bringen.


mfg
Cobrus

hier die HijackThis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:01:13, on 02.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Antivir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Acrobat Reader\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128003474836
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE

hey,
hast du antivir? wenn nich wäre schlecht. antivir is ja normal in C/programme/avpersonal ...
bei dir auf D/antivir ...
?
würde denken, das ist nicht normal. kanst ja mal die
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
D:\Antivir\AVGNT.EXE
bei http://virusscan.jotti.org/ prüfen lassen ...
aaaahh. oder hast du die kaufversion von AV?
(...ich lern auch noch... )

ja, ich habe Antivir, aber nicht die Kaufversion.
dass es nicht in C sondern in D ist liegt daran, dass ich es dorthin installiert habe, und absichtlich ohne den überordner "programme"

was mich nur wundert, ist das so viel von windows messenger und icq lite in der logfile drinsteht, denn ich starte icq lite manuell und habe es nicht im autostart drin (soweit ich weiß) und windows messenger benutze ich gar nich...

mfg wuhu

icq... is im autostart.
windows messenger kann man deinstall. start/systemsteu/software/nicht benötigte windowskompo... oä
das mit antivir - lad mal (siehe oben )bei jotti hoch
ansonsten hoff ich, guckt noch jemand anderes in deine log.
(sag ja, lern auch noch...)

jotti findet nichts bei den 3 antivir dateien...

mfg wuhu