Heiho,

ich habe folgendes Problem und hoffe Ihr könnt mir dabei helfen. In meinem System schwirren irgendwo alexa und whenu.savenow rum. Durch find.bat (Dank an den Autor) weiß ich mittlerweile wo die beiden rumlungern.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 02 09:27:23 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Oct 02 09:27:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 09:27:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 09:27:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 09:27:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 09:27:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 09:27:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 10:45:46 2005 => Scanning Folder: D:\Programme\AV\AntiVir\INFECTED\*.*
Sun Oct 02 10:56:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 02 09:27:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temporary internet files\content.ie5\gtqn8huf\common[1].js
Sun Oct 02 09:27:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temporary internet files\content.ie5\ojwzuzw3\common[1].js
Sun Oct 02 09:27:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temporary internet files\content.ie5\sbc705e7\common[1].js
Sun Oct 02 09:27:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\content.ie5\gtqn8huf\common[1].js
Sun Oct 02 09:27:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\content.ie5\ojwzuzw3\common[1].js
Sun Oct 02 09:27:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\content.ie5\sbc705e7\common[1].js
Sun Oct 02 10:56:12 2005 => Total Virus(es) Found: 7
Sun Oct 02 10:56:12 2005 => Total Errors: 167
Sun Oct 02 10:56:12 2005 => Time Elapsed: 01:30:29
Sun Oct 02 10:56:12 2005 => Total Objects Scanned: 64500
Sun Oct 02 09:24:17 2005 => Virus Database Date: 2005/09/27
Sun Oct 02 10:56:12 2005 => Virus Database Date: 2005/09/27
Sun Oct 02 11:55:29 2005 => Virus Database Date: 2005/09/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

Allderings gestaltet sich das Entfernen als etwas schwierig.
Bei whenu finde ich zwar die Dateien, allerdings lassen die sich nicht so einfach löschen. In den Ordnern werden die Dateien nicht angezeigt, obwohl ich im Desktop die Anzeige System- und versteckter Files aktiviert habe. Über die Suchenfunktion zu löschen hat zur Vermehrung der Dateien geführt, siehe 2nd log. Fragt mich nicht wie das geht, denn ich weiß es auch nicht. Ich habe Find laufen lassen und die logs so präsentiert bekommen.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 02 20:41:55 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:55 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:55 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:55 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:55 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:56 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:56 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:56 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:56 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:41:56 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sun Oct 02 20:42:14 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 02 20:41:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\gtqn8huf\common[1].js
Sun Oct 02 20:41:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\ojwzuzw3\adswrapper[1].js
Sun Oct 02 20:41:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\ojwzuzw3\common[1].js
Sun Oct 02 20:41:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\sbc705e7\adsend[1].js
Sun Oct 02 20:41:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\sbc705e7\common[1].js
Sun Oct 02 20:41:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\gtqn8huf\common[1].js
Sun Oct 02 20:41:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\ojwzuzw3\adswrapper[1].js
Sun Oct 02 20:41:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\ojwzuzw3\common[1].js
Sun Oct 02 20:41:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\sbc705e7\adsend[1].js
Sun Oct 02 20:41:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\sbc705e7\common[1].js
Sun Oct 02 20:42:14 2005 => Total Virus(es) Found: 10
Sun Oct 02 20:42:14 2005 => Total Errors: 124
Sun Oct 02 20:42:14 2005 => Time Elapsed: 00:02:14
Sun Oct 02 20:42:14 2005 => Total Objects Scanned: 13300
Sun Oct 02 20:42:14 2005 => Virus Database Date: 2005/09/27
Sun Oct 02 20:42:17 2005 => Virus Database Date: 2005/09/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

Was alexa betrifft, so habe ich danach in der Registry suchen lassen, aber ich erhalte nur die Mitteilung, dass das Durchsuchen der Registry beendet ist. Es werden keinerlei Ergebnisse präsentiert, ob was gefunden wurde oder nicht. Gibt es da eine Möglichkeit, wie ich den Eintrag finden kann, ohne dass ich jeden einzelnen Ordner per Hand durchsuche?


mfg
Cobrus


PS: Bevor ich es vergesse weder Spybot noch AdAware können die beiden finden und irgendwie hat dreimal Löschen sämtlicher Dateien des TempIntFiles-Ordners nichts genützt.

ich konnte savenow über programm und zugriffstandarts deinstall, aber aware hat ein tool im angebot. frag mich nich obs geht, hatte es erst nachher gefunden und nich ausprobiert.
http://updates.ls-servers.com/whenuremover.zip
von
http://www.lavasoftusa.com/default.shtml.en

Ja ich habe in den Boards gelesen, dass savenow manchmal deinstalliert werden kann. Allerdings find ich es nicht mit der Suchfunktion und unter den anderswo angegebenen Pfaden war/ist nicht das Gleiche bei mir. Ich probier mal das Tool. Mal schauen wie es geht.

Yay, go me!

Zitat:

WhenU has not been detected on your system.
Click "close" to terminate.

Also entweder irren eSCan und Find oder das Tool. Ich denke ich setze mal mein Vertrauen in die ersten zwei.

Hallo,

lösche die TIFs des Internet Explorers, entweder manuell oder mit ClearProg.


Hast du die alte mwav.log vor einem erneuten Scan mit eScan gelöscht?

Wie schon gesagt, die TIFs habe ich dreimal manuell für jeden Account auf diesem Rechner gelöscht. Es hat nicht viel geholfen. Aber ich probier gleichmal CleanProg aus.

Das alte Logfile habe ich nicht direkt gelöscht. Ich verschieb es immer erst in einen Unterordner, den ich einmal die Woche leere.

Yup, CleanProg hats gebracht.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 02 22:34:29 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Oct 02 22:34:29 2005 => Total Virus(es) Found: 0
Sun Oct 02 22:34:29 2005 => Total Errors: 164
Sun Oct 02 22:34:29 2005 => Time Elapsed: 00:02:40
Sun Oct 02 22:34:29 2005 => Total Objects Scanned: 21361
Sun Oct 02 22:31:39 2005 => Virus Database Date: 2005/09/27
Sun Oct 02 22:34:29 2005 => Virus Database Date: 2005/09/27
Sun Oct 02 22:34:32 2005 => Virus Database Date: 2005/09/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

Interessanterweise ist alexa auch weg, obwohl an der registry nichts geändert habe. Es heißt ja, dass man einem geschenkten Gaul nicht ins Maul schaut, ich zweifle aber trotzdem ob das so eine gute Nachricht ist.
Nun ja, mal schauen was Scans in den nächsten Tagen ergeben.

Vielen Dank erstmal für Eure Hilfe.
mfg
Cobrus

Okay alexa ist wieder aufgetaucht.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Oct 04 11:10:07 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Oct 04 12:31:03 2005 => Scanning Folder: D:\Programme\AV\AntiVir\INFECTED\*.*
Tue Oct 04 12:41:45 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statisktiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Oct 04 12:41:45 2005 => Total Virus(es) Found: 1
Tue Oct 04 12:41:45 2005 => Total Errors: 161
Tue Oct 04 12:41:45 2005 => Time Elapsed: 01:31:46
Tue Oct 04 12:41:45 2005 => Total Objects Scanned: 64488
Tue Oct 04 11:09:01 2005 => Virus Database Date: 2005/09/27
Tue Oct 04 12:41:46 2005 => Virus Database Date: 2005/09/27
Tue Oct 04 12:52:01 2005 => Virus Database Date: 2005/09/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

Welche Optionen gibt es für mich, den Eintrag in der Registry zu finden, wenn ich die Suchen-Funktion nicht verwenden kann und manuell nicht jeden Ordner durchsuchen will?

mfg
Cobrus

Poste mal einen Hijackthis-Log.
Dann werden wir das Ding manuell los.

Okay hier ist das Log


Logfile of HijackThis v1.99.1
Scan saved at 21:57:34, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AV\0190 Warner\w0svc.exe
D:\Programme\AV\AntiVir\AVGUARD.EXE
C:\WINDOWS\System32\ati2evxx.exe
D:\Programme\AV\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Atiptaxx.exe
D:\Programme\AV\ZoneAlarm\zlclient.exe
D:\Programme\AV\AntiVir\AVGNT.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Programme\AV\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - D:\PROGRA~1\AV\0190WA~1\whelper1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\AV\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AV\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - Startup: Verknüpfung mit Common Information.rtf.lnk = D:\Own Files\Texte\random stuff\Common Information.rtf
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F00D36A-0C21-4AB9-9A49-8C0864702512}: NameServer = 139.174.240.100,139.174.2.5
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - D:\Programme\AV\0190 Warner\w0svc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AV\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV\AntiVir\AVWUPSRV.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

bei dem Registry-Eintrag handelt es sich darum:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Ergo harmlos.
@Coburas,

mit Spybot S&D (installieren und updaten) sollte auch das entfernt werden.

dartus

Heiho

Spybot und AdAware finden alexa erst gar nicht, auch nicht nach updaten.

Zitat:

C:\WINDOWS\web\related.htm

Die Datei existiert in dem Pfad bei mir nicht. Stattdessen habe ich sie oder zumindest eine mit gleichem Namen im unistall-Ordner von SP2 gefunden. Nachdem Löschen war alexa tatsächlich weg. Ich bin mal gespannt für wie lange

Vielen Dank für Eure Hilfe :aplaus:
Cobrus

Hallo Cobrus,

mit meinem Post wollte ich nicht sagen, dass Du die Datei hast.
Es sollte nur aufgezeigt werden, dass dieser Schlüssel nicht "Alexa" angelegt wurde, sondern von Windows. Siehe auch --> http://www.safer-networking.org/de/faq/8.html

dartus

Ich verstehe. Aber da ich die mit der Datei verbundene Seite eh nicht benutzen würde, ist es mir lieber, die Sache aus der Welt zuschaffen, egal wie harmlos das alles ist.
Nochmals Danke.

mfg
Cobrus