Hallo zusammen,

nachdem ich heute seit längerer Zeit wiedermal eScan über mein System habe laufen lassen, hat mich fast der Schlag getroffen: 129 Viren und 452 Toital Errors wurden gefunden.

Nun habe ich endgültig die Schnauze voll und werde IE gegen Firefox ersetzen und ein umfangreiches Security-Paket mit Firewall und Virenscanner installieren. Hätte ich allerdings schon viel früher machen sollen.....

Könntet Ihr bitte den mit Find.bat gefilterten Logfile analysieren und mir Tipps für die Beseitigung der Viren geben?

Vielen Dank an alle, die sich erbarmen mir zu helfen!
Matze

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
MiT Spybot immunisieren.
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Leere den Quarantäneordner des Antivirenprogrammes.

Installiere:
http://www.ewido.net/de/download/

Poste dann das Ergebnis.
Weiterhin neues HJT-log, sowie einen neuen escan. Lösche vorher im verzeichnis C:\bases_x die Datei mwav.log.

Hallo Felix ,

danke für Deine schnelle Antwort. Ich habe mir inzwischen die von Dir genannten Programme alle heruntergeladen. Meintest Du eigentlich CleanUp oder clearprog? War mir nicht ganz sicher, da der von dir gepostete Link (http://www.clearprog.de/) auf clearprog zeigt.

Was mache ich eigentlich, nachdem Ad-aware den Scan beendet hat und die gefundenen Fehler anzeigt? Soll ich die die Quarantäne-Funktion nutzen?

Leere den Quarantäneordner des Antivirenprogrammes.

Welches Antivirenprogramm meinst Du damit? Welches ich auch immer installiert habe oder eines der von Dir genannten Programme?

Sollten die entsprechenden Aktionen im abgesicherten Modus und mit deaktivierter Systemwiederherstellung ausgeführt werden?

Danke und herzliche Grüße
Matze

Schiebe die Sachen von Ad-Adaware in die Quarantäne.

Mit Quarantäneordner des Antivirenprog. meinte ich Dein von Dir installiertes.

Vergesse bei Spybot nicht das Immunisieren.

Abgesicherter Modus bei Spybot und Ad-adaware-> Da streiten sich die Gelehrten. Versuche es erst mal im Normalmodus.
Clearprog:aplaus:
Dann mache mal weiter

Hallo felix1,

ich habe alle von Dir genannten Schritte vollzogen. Immerhin ist die Zahl der von eScan gefundenen Viren von 129 auf 12 gesunken. Ich habe den mvav.log wieder mit Find.bat gefiltert und das Ergebnis unten gepostet. Allerdings sind in der mvav.logi jede Menge Einträge wie diese enthalten,

Thu Nov 03 20:40:59 2005 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Thu Nov 03 20:40:59 2005 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.
Thu Nov 03 20:41:00 2005 => Offending Key found: HKCU\Software\kazaa !!!
Thu Nov 03 20:41:00 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

die aber in der gefilterten Datei nicht angezeigt werden.

Wie sind diese zu behandeln? Stellen diese keine Gefahr dar?

Hier also nun die gefilterte Datei:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 20:40:59 2005 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Thu Nov 03 20:40:59 2005 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.
Thu Nov 03 20:41:03 2005 => System found infected with hotbar Spyware/Adware (ctor.dll)! Action taken: No Action Taken.
Thu Nov 03 20:41:03 2005 => System found infected with fastfind Spyware/Adware (setup.dll)! Action taken: No Action Taken.
Thu Nov 03 20:41:05 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Thu Nov 03 20:41:06 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Nov 03 20:41:10 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Nov 03 20:41:10 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Nov 03 20:45:42 2005 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\elena\ctthq3ub.slt\Mail\pop.1und1.de\Inbox infected by "Backdoor.Win32.Dumador.dk" Virus! Action Taken: No Action Taken.
Thu Nov 03 20:45:52 2005 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\elena\ctthq3ub.slt\Mail\pop.1und1.de\Trash infected by "Backdoor.Win32.Dumador.dk" Virus! Action Taken: No Action Taken.
Thu Nov 03 20:54:33 2005 => Scanning File C:\Erwin\e-scan\bases\infected.txt.txt
Thu Nov 03 21:30:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Nov 04 00:57:16 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 21:01:52 2005 => File C:\Matthias\PC\new_uninstall.exe tagged as "not-a-virus:AdWare.Win32.Lop". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 20:41:00 2005 => Offending Key found: HKCU\Software\kazaa !!!
Thu Nov 03 20:41:03 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\installshield\professional\runtime\0701\intel32\ctor.dll
Thu Nov 03 20:41:03 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\installshield\professional\runtime\0701\intel32\setup.dll
Thu Nov 03 20:41:05 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\internet.lnk
Thu Nov 03 20:41:06 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 2004\settings\settings.dat
Thu Nov 03 20:41:10 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 2004\settings\settings.dat
Thu Nov 03 20:41:10 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Nov 04 00:57:16 2005 => Total Virus(es) Found: 12
Fri Nov 04 00:57:16 2005 => Total Errors: 458
Fri Nov 04 00:57:16 2005 => Time Elapsed: 04:34:33
Fri Nov 04 00:57:16 2005 => Total Objects Scanned: 261177
Thu Nov 03 20:20:52 2005 => Virus Database Date: 2005/11/01
Fri Nov 04 00:57:16 2005 => Virus Database Date: 2005/11/01
Fri Nov 04 08:37:25 2005 => Virus Database Date: 2005/11/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Und, falls es noch passt, das HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:16:04, on 03.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Tools\Spyware\HijackThis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098451208671
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ich hoffe, du kannst etwas damit anfangen...

Vielen Dank und viele Grüße
Matze

Lade RegSeeker


Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Gehe mal in die Systemsteuerung->Software und entferne Dir unbekannte Programme. Auch Kazaa, ist sowieso nur ein Sicherheitsrisiko.
Um den Rest wird sich noch gekümmert

@ matze:
Was hast Du alles in Deiner Mozilla Inbox?
Hast du irgendwelche Dateianhänge geöffnet?
Wenn nein, dann laß es auch bleiben und lösche die Inbox komplett und mach dann bitte nochmal einen eScan.
Normalerweise sollte dann aber vom Dumador nichts mehr gefunden werden.
Und bitte diese Datei:
C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawpr oxy.exe
mal bei Jotti online scannen lassen und über das Ergebnis berichten.
cacatoa

@ll
Wenn ich ehrlich bin, sehe ich hier keinen Grund für eine Diskussion:
129 gemeldeten Viren + kein SP2 = ein guter Anlass, das System neu aufzuspielen und auf den aktuellen Sicherheits-Stand zu bringen.

Hallo Cacatoa,

vielen Dank für Deine Tipps. Ich habe gerade nach der Datei "Interdrawpr oxy.exe" gesucht, konnte sie aber nirgends finden. Kann es sein, dass es sich hierbei nur um einen Registry-Eintrag handelt und die dazugehörige Datei nicht mehr existiert? Falls ja, sollte ich diesen Registry-Eintrag löschen oder ist er harmlos?

Ich bin bis morgen nachmittag unterwegs und werde dann die Inbox wegschmeissen und das System nochmal scannen.

Bis dahin, danke!
Matze

Hallo,
@Rene-gad
Also das sehe ich ja ganz anders, 95% der von Escan als Viren bezeichneten Objekte sind gerade mal hauchdünn Spy/Adware und sind mit einem einfachen leeren der TIFs zu beseitigen.
Ansonsten liegen noch zwei Backdoors in der Mailbox, die, wenn ungeöffnet, auch harmlos sind, und eine Lop-Verseuchte exe.
Woraus sich hier eine Kompromittierung ergeben soll erschließt sich mir nicht und nur weil der User nicht auf dem aktuellsten Patchlevel ist(was allerdings zügigst nachzuholen ist!) kann man doch nicht einfach ein plattmachen empfehlen.


Grüße Wildone

@Wildone

Zitat:

Also das sehe ich ja ganz anders, 95% der von Escan als Viren bezeichneten Objekte sind gerade mal hauchdünn Spy/Adware und sind mit einem einfachen leeren der TIFs zu beseitigen.

Woll' ma' auf eine Runde virtuelles Bier wetten, dass matze62, wenn er dir oder cacatoa nachgeht, meldet sich spätestens in einer Woche wieder mit gleichem und/oder anderen Problemen ?

Hallo,
da würde ich wohl verlieren
Aber mal ganz ehrlich, dieses whenu/savenow Zeug ist nun wirklich nicht gefährlich, soweit ich das überblicken kann (würde es in die Tracking cookies Liga einordnen).
Ich denke falls er neu aufsetzen würde, hätte er das ganze auch sehr schnell wieder auf dem Rechner. Unter anderem weil es an den Programmen liegt die er installiert, z.B. den allseits beliebte MessengerPlus3, der wohl gleich den Swizzor mitgeliefert hat:
O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawpr oxy.exe
Und das mal Backdoors in der Inbox liegen kann man auch durch ein Neuaufsetzen nicht verhindern.


Grüße Wildone

moin alle,
seit ein paar tagen versuche ich alles über escan und seine Funde zu erfahren.
den hier, von Matze, habe ich auch und der ist auch mein einziger,
an dem ich mir die Zähne ausbeiße:
>System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.<
Und dazu wurde hier noch nichts geschrieben.
Ist das vielleicht harmlos?
powerstrip ist schließlich ein tuningtool für die Grafikkarte und mir nicht als schädlich bekannt.
dazu kommt: ich hatte es vor einem Jahr mal ausprobiert, dann wieder deinstalliert und inzwischen auch die Festplatte neu formatiert. ich weiß nicht, wie das jetzt noch als Spy -, Adware erkannt wird.
Ich erbitte Aufklärung. (mein betriebssystem: Win 98 SE)
Danke und Grüße
widder

Tja,
danke für die vielen Antworten.
's geht ja auch ohne euch. http://www.trojaner-board.de/images/icons/icon16.gif
widder

@widder26

Zitat:

Tja, danke für die vielen Antworten. 's geht ja auch ohne euch.

Klar, geht`s auch ohne...Besonders, wenn man einen Verstoß gegen NUB (nämlich Dialogstörung) begeht. Wenn du aber hier jemanden angestellt hast, der dir antworten muss, nenne nur den Nicknamen - und der Boardy wird bestrafft.