EScan bringt einiges zum Vorschein. Hilfe beim entfernen?

IMortiI · 20.10.2005, 14:47

Sers TB Com

Habe heute einfach mal wieder routinemäßig alles aufs neueste Update gebracht und mal wieder durchlaufen lassen. und 'natürlich' leider wieder was gefunden...

Hier mal folgend: HiJackThis Log und Escan Auswertung

Logfile of HijackThis v1.99.1
Scan saved at 15:43:11, on 20.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Lager\Tools\hjthis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128783923015
O17 - HKLM\System\CCS\Services\Tcpip\..\{E16EC0B6-C05D-4C89-A345-7FCF164BF03F}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe

Der unbekannte Prozess (automatische Auswertung) InetKb.exe ist mir bekannt.

So nun der eigentlich fiese Log

Escan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 14:02:05 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Oct 20 14:02:11 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Oct 20 14:12:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Oct 20 15:29:58 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 15:03:11 2005 => File D:\Lager\Tools\kf141.zip tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.
Thu Oct 20 15:03:13 2005 => File D:\Lager\Tools\Microsoft Key Finder - XP - Office.exe tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 14:02:05 2005 => Offending file found: C:\DOKUME~1\Morti\LOKALE~1\Temp\insthelp.dll
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Eigene Dateien\nba live 2005\settings\settings.dat
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temp\insthelp.dll
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\41aruhat\adswrapper[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\41aruhat\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\8bsvuvqf\adsend[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\ejwv6tcf\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\temporary internet files\content.ie5\irqz8deb\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\41aruhat\adswrapper[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\41aruhat\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\8bsvuvqf\adsend[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\ejwv6tcf\common[1].js
Thu Oct 20 14:02:10 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Lokale Einstellungen\Temporary Internet Files\content.ie5\irqz8deb\common[1].js
Thu Oct 20 14:02:11 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 15:29:58 2005 => Total Virus(es) Found: 16
Thu Oct 20 15:29:58 2005 => Total Errors: 8
Thu Oct 20 15:29:58 2005 => Time Elapsed: 01:27:40
Thu Oct 20 15:29:58 2005 => Total Objects Scanned: 69288
Thu Oct 20 14:00:24 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 15:29:58 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 15:36:20 2005 => Virus Database Date: 2005/10/20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Da ist ja dann doch einiges zusammen gekommen. AdAware hatte von dem ganzen Spyware kram leider nichts entdeckt...

Könnte mir jemand von euch helfen das Zeug vollständig zu entfernen? Wäre euch sehr dankbar.

MfG Morti

~~~
Edit: Jotti Online Scan

Datei: iun6002.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)

felix1 · 20.10.2005, 15:24

Lade und update Spybot und lasse das Programm laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

IMortiI · 20.10.2005, 15:41

SpyBot S&D hatte ich zuvor schon installiert, aktualisiert und durchlaufen lassen. Fand nichts bis auf einen einzigen Eintrag den ich schon entfernt hatte (vor dem EScan)

ClearProg:

Cookies des IE 10 Cookies 1,616 KB
Cache des IE 51 Dateien 780,6 KB
Verlauf des IE 19 Einträge 226 Byte
URLs des IE 6 Einträge ------
AutoComplete-Einträge des IE 1 Eintrag ------
Opera-Ordner nicht gefunden !
Kein Netscape-Profile gewählt!
Papierkorb 0 Dateien 0 Byte
User-Temp-Verzeichnis 101 Dateien 25,10 MB
System-Temp-Verzeichnis 0 Dateien 0 Byte
Ausführen-Einträge im Startmenü 2 Einträge ------
Dokumente im Start-Menü 62 Einträge 46,01 KB
Datei-Liste bei Öffnen/Speichern 39 Einträge ------
Datei Such-Liste 2 Einträge ------
Computer Such-Liste 1 Eintrag ------
Netzlaufwerk-Liste 1 Eintrag ------
LastKey bei Regedit 0 Einträge ------
Windows-Zwischenablage ---------- ------
Access Datei-Liste 0 Einträge ------
Excel Datei-Liste 0 Einträge ------
FrontPage Datei-Liste 0 Einträge ------
PowerPoint Datei-Liste 0 Einträge ------
Word Datei-Liste 0 Einträge ------
Publisher Datei-Liste 0 Einträge ------
Datei-Liste des Media Players 0 Einträge ------
Datei-Liste des RealPlayers 0 Einträge ------
Datei-Liste des Photo Editor 3 0 Einträge ------
Datei-Liste von MS Paint 2 Einträge ------
Datei-Liste des Acrobat Reader 0 Einträge ------
Datei-Liste von WordPad 2 Einträge ------
Datei-Liste von GetRight 0 Einträge ------
Suchbegriffe der Google Toolbar 0 Einträge ------
Datei-Liste von WinZip 0 Einträge ------
Datei-Liste von PowerArchiver 0 Einträge ------
------------------------------------------------------------------------
Gelöschte Anzahl: 299 Einträge/Dateien
Gelöschte Datenmenge: 25,91 MB (27.174.889 Byte)

Sicher das nun alles weg ist? óÒ
Danke für die Hilfe

felix1 · 20.10.2005, 15:52

Lade Dir jetzt noch den Regseeker und führe eine Bereinigung durch:
http://www.zdnet.de/downloads/prg/3/c/de0T3C-wc.html

Ob das System sauber ist, kann nur ein erneuter escan zeigen. Lösche aber vorher die Datei mwav.log im Verzeichnis c:\bases_x.

IMortiI · 20.10.2005, 16:01

Jop ist geschehen...

meine herren, hatte das des öfteren mal mit Tune Up Utilities 2006 gemacht und dachte eig. das ist ausreichend. aber das prog das du mri empfohlen hast hat trotzdem noch über 100 fehlerhafte einträge gefunden...
lass grad noch mal drüberlaufen und bereinige das was da nochma gefunden wird...

danach werd ich wohl nochmal nen escan machen....

IMortiI · 20.10.2005, 20:39

So da hab ich dann jetzt den neuen EScan, vieles ist weg, manches immer noch da.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 17:06:32 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Oct 20 17:06:33 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Oct 20 17:10:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Oct 20 17:46:52 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 17:35:46 2005 => File D:\Lager\Tools\kf141.zip tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.
Thu Oct 20 17:35:49 2005 => File D:\Lager\Tools\Microsoft Key Finder - XP - Office.exe tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 17:06:32 2005 => Offending file found: C:\Dokumente und Einstellungen\Morti\Eigene Dateien\nba live 2005\settings\settings.dat
Thu Oct 20 17:06:33 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Oct 20 17:46:52 2005 => Total Virus(es) Found: 4
Thu Oct 20 17:46:52 2005 => Total Errors: 4
Thu Oct 20 17:46:52 2005 => Time Elapsed: 00:41:48
Thu Oct 20 17:46:52 2005 => Total Objects Scanned: 69669
Thu Oct 20 17:03:00 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 17:46:52 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 21:36:20 2005 => Virus Database Date: 2005/10/20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Die tagged Einträge sind mir bekannt, schädlch wohl nicht oder?
Was macht die NBA Live Datei im offending?

was hat desn zu bedeuten?
Und ja, die infected files. was ist damit zu tun?

Hoffe auf weitere Hilfe

IMortiI · 21.10.2005, 14:44

Hab leider bisher noch nicht rausgefunden wie ich die entfernen kann -.-

felix1 · 21.10.2005, 15:04

Eigentlich sollte den Spybot den Cydoor entfernen?
Versuche es mal damit:
http://www.vollversion.de/download/c...ller_1446.html

C:\WINDOWS\iun6002.exe:

Solltest Du im abgesicherten Modus löschen. Wenn es nicht geht, benutze die killbox.

IMortiI · 21.10.2005, 16:54

Hrm wenn ich cydoor killer starten will erscheint folgende fehlermeldung:

Run-Time Error 339:
Component mscomctl.ocx or one of its dependencies not correctly registered: a file is missing or invalid

-.-

20.10.2005, 15:24	#2
felix1 /// Helfer-Team	EScan bringt einiges zum Vorschein. Hilfe beim entfernen? Lade und update Spybot und lasse das Programm laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ __________________

20.10.2005, 15:52	#4
felix1 /// Helfer-Team	EScan bringt einiges zum Vorschein. Hilfe beim entfernen? Lade Dir jetzt noch den Regseeker und führe eine Bereinigung durch: http://www.zdnet.de/downloads/prg/3/c/de0T3C-wc.html Ob das System sauber ist, kann nur ein erneuter escan zeigen. Lösche aber vorher die Datei mwav.log im Verzeichnis c:\bases_x.

21.10.2005, 15:04	#8
felix1 /// Helfer-Team	EScan bringt einiges zum Vorschein. Hilfe beim entfernen? Eigentlich sollte den Spybot den Cydoor entfernen? Versuche es mal damit: http://www.vollversion.de/download/c...ller_1446.html C:\WINDOWS\iun6002.exe: Solltest Du im abgesicherten Modus löschen. Wenn es nicht geht, benutze die killbox.

EScan bringt einiges zum Vorschein. Hilfe beim entfernen?

Log-Analyse und Auswertung: EScan bringt einiges zum Vorschein. Hilfe beim entfernen?