Hallo zusammen,

nachdem ich heute seit längerer Zeit wiedermal eScan über mein System habe laufen lassen, hat mich fast der Schlag getroffen: 129 Viren und 452 Toital Errors wurden gefunden.

Nun habe ich endgültig die Schnauze voll und werde IE gegen Firefox ersetzen und ein umfangreiches Security-Paket mit Firewall und Virenscanner installieren. Hätte ich allerdings schon viel früher machen sollen.....

Könntet Ihr bitte den mit Find.bat gefilterten Logfile analysieren und mir Tipps für die Beseitigung der Viren geben?

Vielen Dank an alle, die sich erbarmen mir zu helfen!
Matze

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
MiT Spybot immunisieren.
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Leere den Quarantäneordner des Antivirenprogrammes.

Installiere:
http://www.ewido.net/de/download/

Poste dann das Ergebnis.
Weiterhin neues HJT-log, sowie einen neuen escan. Lösche vorher im verzeichnis C:\bases_x die Datei mwav.log.

Hallo Felix ,

danke für Deine schnelle Antwort. Ich habe mir inzwischen die von Dir genannten Programme alle heruntergeladen. Meintest Du eigentlich CleanUp oder clearprog? War mir nicht ganz sicher, da der von dir gepostete Link (http://www.clearprog.de/) auf clearprog zeigt.

Was mache ich eigentlich, nachdem Ad-aware den Scan beendet hat und die gefundenen Fehler anzeigt? Soll ich die die Quarantäne-Funktion nutzen?

Leere den Quarantäneordner des Antivirenprogrammes.

Welches Antivirenprogramm meinst Du damit? Welches ich auch immer installiert habe oder eines der von Dir genannten Programme?

Sollten die entsprechenden Aktionen im abgesicherten Modus und mit deaktivierter Systemwiederherstellung ausgeführt werden?

Danke und herzliche Grüße
Matze

Schiebe die Sachen von Ad-Adaware in die Quarantäne.

Mit Quarantäneordner des Antivirenprog. meinte ich Dein von Dir installiertes.

Vergesse bei Spybot nicht das Immunisieren.

Abgesicherter Modus bei Spybot und Ad-adaware-> Da streiten sich die Gelehrten. Versuche es erst mal im Normalmodus.
Clearprog:aplaus:
Dann mache mal weiter

Hallo felix1,

ich habe alle von Dir genannten Schritte vollzogen. Immerhin ist die Zahl der von eScan gefundenen Viren von 129 auf 12 gesunken. Ich habe den mvav.log wieder mit Find.bat gefiltert und das Ergebnis unten gepostet. Allerdings sind in der mvav.logi jede Menge Einträge wie diese enthalten,

Thu Nov 03 20:40:59 2005 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Thu Nov 03 20:40:59 2005 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.
Thu Nov 03 20:41:00 2005 => Offending Key found: HKCU\Software\kazaa !!!
Thu Nov 03 20:41:00 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

die aber in der gefilterten Datei nicht angezeigt werden.

Wie sind diese zu behandeln? Stellen diese keine Gefahr dar?

Hier also nun die gefilterte Datei:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 20:40:59 2005 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Thu Nov 03 20:40:59 2005 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.
Thu Nov 03 20:41:03 2005 => System found infected with hotbar Spyware/Adware (ctor.dll)! Action taken: No Action Taken.
Thu Nov 03 20:41:03 2005 => System found infected with fastfind Spyware/Adware (setup.dll)! Action taken: No Action Taken.
Thu Nov 03 20:41:05 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Thu Nov 03 20:41:06 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Nov 03 20:41:10 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Nov 03 20:41:10 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Nov 03 20:45:42 2005 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\elena\ctthq3ub.slt\Mail\pop.1und1.de\Inbox infected by "Backdoor.Win32.Dumador.dk" Virus! Action Taken: No Action Taken.
Thu Nov 03 20:45:52 2005 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\elena\ctthq3ub.slt\Mail\pop.1und1.de\Trash infected by "Backdoor.Win32.Dumador.dk" Virus! Action Taken: No Action Taken.
Thu Nov 03 20:54:33 2005 => Scanning File C:\Erwin\e-scan\bases\infected.txt.txt
Thu Nov 03 21:30:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Nov 04 00:57:16 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 21:01:52 2005 => File C:\Matthias\PC\new_uninstall.exe tagged as "not-a-virus:AdWare.Win32.Lop". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 03 20:41:00 2005 => Offending Key found: HKCU\Software\kazaa !!!
Thu Nov 03 20:41:03 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\installshield\professional\runtime\0701\intel32\ctor.dll
Thu Nov 03 20:41:03 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\installshield\professional\runtime\0701\intel32\setup.dll
Thu Nov 03 20:41:05 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\internet.lnk
Thu Nov 03 20:41:06 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 2004\settings\settings.dat
Thu Nov 03 20:41:10 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 2004\settings\settings.dat
Thu Nov 03 20:41:10 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Nov 04 00:57:16 2005 => Total Virus(es) Found: 12
Fri Nov 04 00:57:16 2005 => Total Errors: 458
Fri Nov 04 00:57:16 2005 => Time Elapsed: 04:34:33
Fri Nov 04 00:57:16 2005 => Total Objects Scanned: 261177
Thu Nov 03 20:20:52 2005 => Virus Database Date: 2005/11/01
Fri Nov 04 00:57:16 2005 => Virus Database Date: 2005/11/01
Fri Nov 04 08:37:25 2005 => Virus Database Date: 2005/11/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Und, falls es noch passt, das HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:16:04, on 03.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Tools\Spyware\HijackThis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [hopeflaw] C:\DOKUME~1\adebiasi\ANWEND~1\BURNBA~1\Interdrawproxy.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098451208671
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFBB44C-B633-45C4-9F1C-0FED32E83684}: NameServer = 192.168.1.1,0.0.0.0
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ich hoffe, du kannst etwas damit anfangen...

Vielen Dank und viele Grüße
Matze

Lade RegSeeker


Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Gehe mal in die Systemsteuerung->Software und entferne Dir unbekannte Programme. Auch Kazaa, ist sowieso nur ein Sicherheitsrisiko.
Um den Rest wird sich noch gekümmert

moin alle,
seit ein paar tagen versuche ich alles über escan und seine Funde zu erfahren.
den hier, von Matze, habe ich auch und der ist auch mein einziger,
an dem ich mir die Zähne ausbeiße:
>System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: No Action Taken.<
Und dazu wurde hier noch nichts geschrieben.
Ist das vielleicht harmlos?
powerstrip ist schließlich ein tuningtool für die Grafikkarte und mir nicht als schädlich bekannt.
dazu kommt: ich hatte es vor einem Jahr mal ausprobiert, dann wieder deinstalliert und inzwischen auch die Festplatte neu formatiert. ich weiß nicht, wie das jetzt noch als Spy -, Adware erkannt wird.
Ich erbitte Aufklärung. (mein betriebssystem: Win 98 SE)
Danke und Grüße
widder

Tja,
danke für die vielen Antworten.
's geht ja auch ohne euch. http://www.trojaner-board.de/images/icons/icon16.gif
widder

@widder26

Zitat:

Tja, danke für die vielen Antworten. 's geht ja auch ohne euch.

Klar, geht`s auch ohne...Besonders, wenn man einen Verstoß gegen NUB (nämlich Dialogstörung) begeht. Wenn du aber hier jemanden angestellt hast, der dir antworten muss, nenne nur den Nicknamen - und der Boardy wird bestrafft.

@ll
Wenn ich ehrlich bin, sehe ich hier keinen Grund für eine Diskussion:
129 gemeldeten Viren + kein SP2 = ein guter Anlass, das System neu aufzuspielen und auf den aktuellen Sicherheits-Stand zu bringen.