Hallo,

ich habe eigentlich nur eine kurze Frage:

und zwar, kann ein schon gefundener und isolierter Virus noch systematische PC probleme in nachhinein anrichten und den Computer praktisch den Hals umdrehen. Obwohl er gefunden und isoliert worden ist, also kein Zugriff mehr darauf gestattet wird?

Ich benutze Symantec Antvirus Corporate Eddition auf der neusten Version, die ich mit dem Life Update bekommen konnte.

und

Ich benutze Ad-Aware SE Personal ebenfalls auf dem neusten Update!

Mein Computer fängt nach einiger Zeit an ständig irgendwelche kurzen Ladevorgänge zu starten, die zuerst die Pulldownnmenüs, in denen man gerade ist, beenden, ganze Programme beenden und sogar mein Keyboard aus der Funktion setzen, wobei ich ein Bluetooth von Logitech via Funk besitze.

Ich hab Euch ein Hijackthis.log erstellt und poste es auch mal gleich hier:


Logfile of HijackThis v1.99.1
Scan saved at 17:41:45, on 10.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\kernels32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
C:\Programme\Darkfix\Darkfix.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\kernels32.exe
C:\Programme\AceGain\LiveUpdate\aceagent.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Antivirensoftware\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.c-f-hh.de/orion/portal.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = h**p://top-find4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gamma] C:\Programme\Darkfix\Darkfix.exe -silent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/214496d8b97270f80d19/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124203533453
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.b******ld.de/hp/activexeditor/editlive4.cab
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\System32\higmjemm.dll (file missing)
O21 - SSODL: IEFilter - {3A97F680-B1B1-4E34-9054-1651C7A099B5} - IEFilter1.dll (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

________________________________________________________


p. s. mein XP-update auf SP 2 scheitert merkwürdigerweise und als zunehmendes weiteres übel hat mein PC auch ein ungeheuer lange Bootzeit. Meint Ihr man kann hier Microsoft Bootvis benutzen, hab auch viel negatives darüber gehört. Obwohl es sich schon auf dem PC befindet, heruntergeladen hab ich das schon.

Falls ich Euch noch eine Info über die Viren im Karantänebereich schicken soll, sagt bescheid.

@CFH-Destiny
Falls ich Euch noch eine Info über die Viren im Karantänebereich schicken soll, sagt bescheid.
Warum nicht gleich?

Ich benutze Ad-Aware SE Personal ebenfalls auf dem neusten Update!
Nützt nix gegen Viren!
lasse diese datei C:\WINDOWS\System32\kernels32.exe
hier überprüfen http://virusscan.jotti.org/de/
und poste das ergebnis

und zwar, kann ein schon gefundener und isolierter Virus noch systematische PC probleme in nachhinein anrichten und den Computer praktisch den Hals umdrehen. Obwohl er gefunden und isoliert worden ist, also kein Zugriff mehr darauf gestattet wird?
Wenn er gefunden und isoliert ist, dann wird er danach gelöscht. Warum sollte man ein isolierter Virus aufheben wollen?

chaosman

Also meine Prüfung hat dies ergeben:

Datei: kernels32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: FSG

AntiVir Trojan/Dldr.Small.agq.4 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Downloader.Small.AMA gefunden
ClamAV Trojan.Downloader.Small-627 gefunden
Dr.Web Trojan.DownLoader.2489 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.wf gefunden
NOD32 a variant of Win32/TrojanDownloader.Small.AWA gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Downloader.Small.25 gefunden (mögliche Variante)

Zitat:

Zitat von chaosman

Wenn er gefunden und isoliert ist, dann wird er danach gelöscht. Warum sollte man ein isolierter Virus aufheben wollen?

Nicht den Virus, aber die Datei an der er hängt retten zu können? Es sagt ja das es nichts unternehmen kann bis auf Zugriffsverweigerung.

Hier die Dateien die Symantec bei jeden Update zu reparieren versucht:

Datum,Dateiname,Virenname,Ursprungsadresse,Status
09.10.2005 15:50:52,chgfdndd.exe,Trojan.Dropper,C:\WINDOWS\system32\,Infiziert
06.10.2005 18:47:40,dwqhwaaa.exe,Trojan.Desktophijack.B,C:\WINDOWS\System32\,Infiziert
06.10.2005 18:47:39,higmjemm.dll,Trojan.KillAV,C:\WINDOWS\System32\,Infiziert
06.10.2005 18:47:32,aakopbkb.exe,Backdoor.Trojan,C:\WINDOWS\System32\,Infiziert
06.10.2005 18:46:58,count[1].jar,Trojan.ByteVerify,C:\Dokumente und Einstellungen\M*** W***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EE7Q83H9\,Infiziert
06.10.2005 18:48:10,update[1].exe,Trojan.Desktophijack.B,C:\Dokumente und Einstellungen\M*** W***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\57OZM5VL\,Infiziert
06.10.2005 18:57:12,update[1].exe,Trojan.Desktophijack.B,C:\Dokumente und Einstellungen\M*** W***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\57OZM5VL\,Infiziert

Das ist im irusprogramm allerdings ein wenig überschtlicher gewesen!

Na ja, so viel von meiner Seite.

@CFH-Destiny
diese datei in den abgesicherten modus bei deaktivierte systemwiederherstellung löschen
C:\WINDOWS\System32\kernels32.exe

neu booten, systemwiederherstellung aktivieren, lade clearprog
alle häkchen bei IE und Windows setzen, löschen

scanne dein system danach bitte trotzdem mit escan

chaosman
Edit:Servus Cacatoa

Ich kann mir gar nicht vorstellen, dass dein Log noch so "sauber" ist. Die Datei müsste eigentlich Massen an weiterer Malware nachladen...

Sorry ich kann C:\WINDOWS\System32\kernels32.exe leider nicht im abgesichertem Modus löschen. Er sagt mir dann das die Datei verwendet wird oder ob der Datenträger voll ist und er sie nicht löschen kann.

Beende den Prozess mit HijackThis (in der "misc tools section" unter "open process manager") oder verwende KillBox (Option "Delete on Reboot").

Hallo,
ich habe escan wie gewünscht ausgeführt und poste hier mal eine der Logdateien, die mir escan rausgegeben hat. Da ich an die Datei Find.bat nicht mehr herankomme.

mwXface.log:

[msvLclnt.dll] [0x00000358] 11/10/2005 14:44:17:015 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x00000358] 11/10/2005 14:44:20:281 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000358] 11/10/2005 14:44:20:281 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000358] 11/10/2005 14:44:20:281 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000358] 11/10/2005 14:44:20:281 :Priority : NORMAL
[msvLclnt.dll] [0x00000358] 11/10/2005 14:44:34:796 :VirusCount = 152936 Latest Date = 2005/10/08
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:46:07:343 :[00000001] File C:\WINDOWS\System32\Service.exe infected by Trojan-Spy.Win32.Agent.gw
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:406 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03340000.VBN infected by Virus.Win9x.CIH.dam
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:578 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04B40000.VBN infected by Virus.Win9x.CIH.dam
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:640 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\08900000.VBN infected by Trojan.Win32.Small.ev
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:687 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09000000.VBN infected by Trojan.Win32.Small.ev
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:750 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09140000.VBN infected by Exploit.Java.ByteVerify
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:796 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09140001.VBN infected by Trojan-Downloader.Win32.Small.bnk
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:859 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09180000.VBN infected by Worm.Win32.Prox.j
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:34:906 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\091C0000.VBN infected by Trojan.Win32.Small.ev
[msvLclnt.dll] [0x0000041c] 11/10/2005 14:47:35:109 :[00000001] File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\091C0001.VBN infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x0000041c] 11/10/2005 15:05:06:687 :[00000001] File C:\lo-1468779750.exe infected by Trojan-Downloader.Win32.Agent.wf
[msvLclnt.dll] [0x0000041c] 11/10/2005 15:53:44:312 :[00000001] File C:\WINDOWS\Downloaded Program Files\update.exe infected by Trojan-Dropper.Win32.Small.agh
[msvLclnt.dll] [0x0000041c] 11/10/2005 15:53:44:375 :[00000001] File C:\WINDOWS\Downloaded Program Files\UWFX5UNetInstaller.exe infected by not-a-virusownloader.Win32.Agent.d
[msvLclnt.dll] [0x0000041c] 11/10/2005 15:53:44:468 :[00000001] File C:\WINDOWS\Downloaded Program Files\win32.exe infected by Trojan-Downloader.Win32.Agent.wf
[msvLclnt.dll] [0x0000041c] 11/10/2005 16:01:40:625 :[00000001] File C:\WINDOWS\system32\ddbgaaaa.exe infected by Net-Worm.Win32.Maslan.e
[msvLclnt.dll] [0x0000041c] 11/10/2005 16:06:29:515 :[00000001] File C:\WINDOWS\system32\drivers\df_kmd.sys infected by Rootkit.Win32.Agent.af
[msvLclnt.dll] [0x0000041c] 11/10/2005 16:06:58:078 :[00000001] File C:\WINDOWS\system32\kernels32.exe infected by Trojan-Downloader.Win32.Agent.wf
[msvLclnt.dll] [0x0000041c] 11/10/2005 16:08:48:500 :[00000001] File C:\WINDOWS\system32\wins32.dll infected by Net-Worm.Win32.Maslan.e
[msvLclnt.dll] [0x0000041c] 11/10/2005 16:25:11:328 :VirusCount = 152936 Latest Date = 2005/10/08
[msvLclnt.dll] [0x00000358] 11/10/2005 16:42:28:656 :VirusCount = 152936 Latest Date = 2005/10/08
____________________________________________________

Die Hauptdatei MWAV.log hab ich erstmal beiseite gelassen, da sie unheimlich lang ist und ich glaube das die mwXface.log eine Art von Find.bat darstellen soll.

Sollte die Datei MWAV.log dennoch gebraucht werde poste ich sie gerne nach!

Sag mir bitte was ich noch löschen, bzw. fixen musss.

Zitat:

Zitat von CFH-Destiny

Da ich an die Datei Find.bat nicht mehr herankomme.

Auch wenn ich nicht weiß, warum das so ist:
Stell sicher, dass die Datei C:\bases_x\mwav.log existiert.
Speichere den Anhang auf deinem PC ab und ändere die Dateierweiterung von "txt" in "bat"
Führe diese Datei aus und poste den Inhalt der c:\escan_neu.txt

Hi, hier also nochmals der Inhalt meiner eScan_neu.txt:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 11 14:46:47 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Tue Oct 11 14:46:47 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Tue Oct 11 14:46:47 2005 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Tue Oct 11 14:46:47 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Tue Oct 11 14:46:50 2005 => System found infected with cws.loadadv.400 Browser Hijacker (wins32.dll)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (categories.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with whenu.sidefinder Spyware/Adware (search.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (categories.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:52 2005 => System found infected with whenu.sidefinder Spyware/Adware (search.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with xrenoder Spyware/Adware (display.php)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (categories.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with whenu.sidefinder Spyware/Adware (search.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (categories.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:53 2005 => System found infected with whenu.sidefinder Spyware/Adware (search.html)! Action taken: No Action Taken.
Tue Oct 11 14:46:55 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 11 14:46:49 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: acegain liveupdate !!!
Tue Oct 11 14:46:50 2005 => Offending file found: C:\WINDOWS\System32\wins32.dll
Tue Oct 11 14:46:51 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\acegain liveupdate
Tue Oct 11 14:46:51 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\acegain liveupdate
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\admin\display.php
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\templates\default\admin\categories.html
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\templates\default\player.html
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\templates\default\search.html
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\templates\original\admin\categories.html
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\templates\original\player.html
Tue Oct 11 14:46:52 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\html\bfvstats\templates\original\search.html
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\admin\display.php
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\templates\default\admin\categories.html
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\templates\default\player.html
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\templates\default\search.html
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\templates\original\admin\categories.html
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\templates\original\player.html
Tue Oct 11 14:46:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Marc Wilken\Eigene Dateien\eigene webs\cfh\homepage\original\html\bfvstats\templates\original\search.html
Tue Oct 11 14:46:55 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~
_________________________________________________

Danke für die Datei!!!

Die beiden Logfiles stammen von verschiedenen Überprüfungen!

Zitat:

[msvLclnt.dll] [0x0000041c] 11/10/2005 16:06:29:515 :[00000001] File C:\WINDOWS\system32\drivers\df_kmd.sys infected by Rootkit.Win32.Agent.af

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 11 14:46:47 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.

Ausgegend vom ersten Scan (10.11.05) solltest du dein System neu aufsetzen!

Hallo Haui45,

Das heißt dann ja zu Deutsch alles völlig neu machen

Schade gerade das wollte ich mir ja eigentlich ersparen. Also alles neuaufsetzen.

Aber Danke für deine Hilfe

_______________________________________

Nachtrag 11.10.05 20:45 Uhr.

Na ja, ich hab ja auch meine Windows xp Version aktualisiert, so mach ich wenigstens mal was...

Wäre schön wenn Du mir noch sagen könntest ob es rein nur um Windows XP geht oder ob meine ganzen Programme auch angegriffen wurden?
Kann ich Sicherungskopien anlegen oder nicht? Ich mein gewisse update´s kamen ja auch aus dem Internet.

Und vorallem welcher Virusfinder findet diese Malware oder welchen sollte ich einsetzen?

Danke CFH-Destiny

Zitat:

Zitat von CFH-Destiny

Das heißt dann ja zu Deutsch alles völlig neu machen

Ja.

Zitat:

Wäre schön wenn Du mir noch sagen könntest ob es rein nur um Windows XP geht oder ob meine ganzen Programme auch angegriffen wurden?

Nein, du musst die Systempartition (besser die ganze Festplatte) formatieren und Windows komplett neu aufsetzen. Ein einfaches "Drüberinstallieren" reicht definitiv nicht!

Zitat:

Kann ich Sicherungskopien anlegen oder nicht?

Nicht ausführbare Dateien kannst du relativ gefahrlos sichern. Vor dem Zurückspielen trotzdem mit einem aktuellen Virenscanner gegenprüfen.

Zitat:

Und vorallem welcher Virusfinder findet diese Malware oder welchen sollte ich einsetzen?

Wenn du dein System richtig absicherst (Dienste abschalten, System updaten, sicheren Browser verwenden etc.) ist ein Virenscanner eigentlich überflüssig.

Hallo Haui45,

Falls HijackThis alle Komponenten eines sicheren Systems anzeigt, würde ich das gerne nochmals hier posten wenn ich meinen Computer neuaufgesetzt habe.
Ich werd es zwar nach der Anleitung von Cidre machen aber Sicher ist Sicher.

CFH-Destiny

Hi,

Zitat:

Zitat von CFH-Destiny

Falls HijackThis alle Komponenten eines sicheren Systems anzeigt,

Tut es selbstverständlich nicht, das würde den Rahmen des Forums mehr als sprengen.

Trotzdem kannst du dein Log gerne nochmals posten.