Liebe Leute,
nachdem in letzter Zeit mein Internet extrem langsam war, habe ich mein System mit diversen Virenscannern durchsucht. Während meine dauerhaft installierten Schutzprogramme (AntiVir und ZoneAlarm-Firewall sowie AdAware und Spyot S&D) keinerlei Schädlinge finden konnten, hat eScan (MWAV) folgende Warnung ausgegeben:

Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "webdir parasite Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "webdir parasite Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.


Kann mir jemand helfen, wie genau ich diese Schädlinge loswerden kann?

Schöne Grüße,
Ben

@B.e.n
poste bitte die escan ergebnisse wie hier beschrieben
http://www.trojaner-board.de/showthread.php?t=17492


chaosman

Danke für den Hinweis auf das Tutorial zu eScan.
Da ich das Prog eben nicht wie dort beschrieben aktualisiert habe (was ich grad mache), werde ich mich gleich nochmal in den abgesicherten Modus verabschieden und einen neuen Scan machen. Danach kommt dann der komplette Log in der von aktiven Links und privaten Infos bereinigten Form.

Schon jetzt vielen Dank!
Ben

Hier ist jetzt das Logfile, wie ich es mit Hilfe der Find.bat generiert habe:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Sun Oct 09 14:44:21 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Sun Oct 09 14:55:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Oct 09 15:54:05 2005 => Total Disinfected Files: 0

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Oct 09 14:44:14 2005 => Offending Key found: HKLM\Software\freshdevices !!!
Sun Oct 09 14:44:19 2005 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Sun Oct 09 14:44:21 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Oct 09 15:54:05 2005 => Total Virus(es) Found: 3
Sun Oct 09 15:54:05 2005 => Total Errors: 131
Sun Oct 09 15:54:05 2005 => Time Elapsed: 01:10:28
Sun Oct 09 15:54:05 2005 => Total Objects Scanned: 60064
Sun Oct 09 14:43:03 2005 => Virus Database Date: 2005/10/09
Sun Oct 09 15:54:05 2005 => Virus Database Date: 2005/10/09
Sun Oct 09 16:00:51 2005 => Virus Database Date: 2005/10/09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



Würd mich freuen, wenn jemand mal draufgucken könnte!
Schöne Grüße,
Ben.

Hallo Ben
Du hast da was verloren !
Bitte das ganze Teil hier einstellen.
In anderen Thread `s kannst du dir mal ansehen wie das aussehen muß.
Irrlicht

Hallo,

deinstalliere Zipitpro, falls vorhanden, bitte über Systemsteuerung-> Software.

Lösche folgendes im abgesicherten Modus:
C:\WINDOWS\iun6002.exe

Überprüfe die Existens der hier genannten Dateien und entferne sie bei Bedarf.

Überprüfe diese Datei bitte bei http://virusscan.jotti.org und poste das Ergebnis
C:\WINDOWS\DOWNLO~1\conflict.1

Poste bitte ein HijackThis-Logfile.

@Irrlicht:
Die mit Hilfe von "Find.bat" aus der MWAW.log generierte File "eScan_neu.txt" habe ich vollständig gepostet.
Die gesamte Log-Datei MWAW.log besteht aus knapp 500.000 Wörtern, die zu posten weder möglich wäre noch nötig sein dürfte.
Wenn die automatisch generierte Logfile-Auswertung, die ich gepostet habe, nicht die relevanten Infos enthält, dann sag mir bitte an, welche Teile aus der MWAW.log konkret benötigt werden.

Schöne Grüße,
Ben

Es passt schon, du hast alles richtig gemacht.

@Haui45:
Danke für die Hinweise! ZipitPro ist als Programm nicht installiert (jedenfalls in der Liste der installierten Programme nicht vorhanden). Die Existenz der genannten Dateien überprüfe ich jetzt gleich.


Eine Datei "conflict.1" gibt es im angegebenen Windows-Ordner nicht, allerdings einen Ordner diesen Namens. Darin befindet sich eine Datei "ocget.dll" (C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ocget.dll)

Ein Scan mit Jotti's malware scan verlief ergebnislos:
-----------------------
File: ocget.dll
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 c1d9f50f86825a1a2302ec2449c17196
Packers detected:
-
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing
-----------------------



Hier ist dann schließlich das HjT-Logfile:
-----------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:17:29, on 09.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spy Emergency 2005\SpyEmergency.exe
C:\Programme\CNet\WConfig\WConfig.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Opera\Opera.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.uni-greifswald.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: HMLosung.lnk = C:\Programme\HMLosung\HMLosung.exe
O4 - Global Startup: WConfig.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A2A4430-3967-4461-94C7-BD95C419F3CF} - h**p://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121094563750
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CEC0297-FAFB-41FB-97EA-77E3081B1DFE} - h**p://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {6FDCDD41-6C97-4A3B-9E6D-0144B66A1CE4} - h**p://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - h**p://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International, Inc. - (no file)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe (file missing)



Schöne Grüße und besten Dank für die Unterstützung,
Ben

@Haui45:
Einen Ordner „Zipitpro“ gibt es nicht, auch keinerlei sonstigen Ordner oder Dateien mit dem Namensbestandteil „zipit“.

Die Datei „iun6002.exe“ gab es unter c:\WINDOWS - ich habe sie im abgesicherten Modus gelöscht.

Eine Datei „cabinet.dll“ gibt es in folgendem Ordner:
C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745
(außerdem im Dateiordner des bei mir installierten Programms “Quickzip“ und im Ordner c:\windows \system32). Die „cabinet.dll“ im erstgenannten Ordner habe ich gelöscht. Was ist mit den anderen?

Eine Datei „unace.dll“ gibt es im Dateiordner des Programms “Quickzip“, diese Datei ist vermutlich OK. Eine Datei „unrar.dll“ gibt es jeweils in verschiedenen Ordnern installierter Programme, denen ich vertraue, diese Dateien sind also vermutlich clean.

Sonst habe ich keine der angefragten Dateien gefunden.

Herzliche Grüße,
Ben

Moin moin,
ich habe, nachdem ich soweit Hauis Anwesiungen gefolgt war, jetzt nochmal eine neue Suche mit eScan durchgeführt, bei der leider nach wie vor zwei der Plagegeister gefunden werden, nämlich folgende:

Mon Oct 10 00:41:07 2005 => Object "fresh devices Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Oct 10 00:41:15 2005 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.


Hier die Logfile-Auswertung:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 10 01:06:46 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 10 02:56:34 2005 => Total Disinfected Files: 0

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 10 00:41:05 2005 => Offending Key found: HKLM\Software\freshdevices !!!
Mon Oct 10 00:41:15 2005 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 10 02:56:34 2005 => Total Virus(es) Found: 2
Mon Oct 10 02:56:34 2005 => Total Errors: 127
Mon Oct 10 02:56:34 2005 => Time Elapsed: 02:16:26
Mon Oct 10 02:56:34 2005 => Total Objects Scanned: 58351
Mon Oct 10 00:39:28 2005 => Virus Database Date: 2005/10/10
Mon Oct 10 02:56:34 2005 => Virus Database Date: 2005/10/10
Mon Oct 10 08:50:59 2005 => Virus Database Date: 2005/10/10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Zitat:

HKLM\Software\freshdevices

Diese Schlüssel wirst du wohl manuell aus der Registry entfernen müssen. Vorher aber sichern!

Zitat:

C:\WINDOWS\DOWNLO~1\conflict.1

Diesen Ordner würde ich ebenfalls entfernen.