Hallo, liebe Leute,
nachdem vor einigen Tagen activescan auf meinem Rechner mehrfach fündig wurde (HRG!) habe ich die vorhergegangenen posts zu diesen Problemen durchgestöbert und die dortigen Tipps befolgt. Einiges ging weg, keineswegs brav findet activescan aber immer wieder Folgendes:

Incident Status Location

Adware:adware/superspider No disinfected C:\WINDOWS\SYSTEM32\system32.dll
Adware:adware/cws.searchmeup No disinfected C:\WINDOWS\mstasks1.exe
Dialerialer.HX No disinfected C:\Dokumente und Einstellungen\F***s\Anwendungsdaten\Thunderbird\Pr ofiles\69dejtu5.default\Mail\Local Folders\Gelöschte Objekte[casino.zip][lucky-seven-casino.exe]
Dialerialer.HX No disinfected [casino.zip][lucky-seven-casino.exe]

Aber kein anderer onlinescan (bitdefender, kapersky) noch cws-shredder, ad-aware se, antivir noch search&destroy finden diese beiden Malwares cws.searchmeup und superspider (die Dialer bedrücken mich zwar auch, machen mich aber nicht fertig wegen DSL). Ich bin jetzt unsicher: wie kann ich erkennen, ob activescan recht hat oder nicht? Ich habe die Datei "mstasks2.exe", die ja ein Indikator für cws sein soll, gelöscht. Die entsprechenden typischen Reg-Einträge waren aber nicht da. Kann jemand anhand meines HiJack-Logs erkennen, wie die Lage so ist? Ich würde mich sehr freuen und bedanke mich vielmals im Voraus fürs Lesen,
Dr Sommer (das erste Mal)


Logfile of HijackThis v1.99.0
Scan saved at 19:37:52, on 10.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sicherheit\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\Pelmiced.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Sicherheit\SpywareGuard\sgmain.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Sicherheit\SpywareGuard\sgbhp.exe
C:\PROGRA~1\GIGASE~1\PRISMSVR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Friends\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\Sicherheit\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SICHER~1\SPF\smc.exe -startgui
O4 - Startup: SpywareGuard.lnk = C:\Programme\Sicherheit\SpywareGuard\sgmain.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131284924015
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sicherheit\SPF\smc.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sicherheit\SPF\smc.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sicherheit\SPF\smc.exe

Hi,
also anhand des HJT-Logs ist alles o.k.
Den dialer kannst ja aus dem mail-folder rauslöschen.
Die System32.dll und auch die mstasks1.exe kann auf den hier verweisen. MIch wundert dann aber, daß Kaspersky davon nichts gefunden hat.
Lösche mal auch diese Datei und scanne nochmal.
Edit: kannst sie ja mal zu Jotti hochladen und da scannen lassen.
Bin gespannt, was rauskommt.
cacatoa

Wow, vielen Dank für die schnelle Antwort. Erstmal der Dialer: ich wusste nicht, welche E-Mail im Ordner "Gelöschte Objekte" infiziert ist (Activescan kann ja nur den Ordner angeben, weil alle Mails in einer Datei gespeichert werden) Aber ich habe alle mails mit Anhang gelöscht (ausser .jpg), und so müsst ich doch sicher sein. Oder...?
Zweitens: system32.exe und mstasks1.exe Bei jotti konnte ich die beiden nicht hochladen, weil sie 0 KB haben. Beide sind gelöscht, im Moment läuft activescan . Wollte mich nur schnell zurückmelden, mich bedanken, poste später den activescan-log.
Viele Grüße!

Mhm, also der Dialer ist immer noch da, obwohl alle E-Mails mit Anhängen gelöscht sind (also gelöscht aus dem Ordner Gelöschte Objekte) und ich keine Datei "casino.zip" finden kann.
Activescan ist nach dem Löschen von mstasks.exe und System32.dll zufrieden, findet aber nun:

Adware:adware/superspider Nicht desinfiziert C:\WINDOWS\dl.exe

Auch diese Datei hat 0 KB und wird deshalb nicht von Jotti oder malwareupload.com akzeptiert. Kann ich diese Datei einfach löschen und sehen was passiert? Und zweitens, wo kann diese neue dl.exe herkommen? Wird sie von der alten malware produziert oder kommt sie von außen herein? Weiß das jemand?
Viele Grüße!

Hi,
mach mal einen kompletten escan und poste das Ergebnis der "find.bat".
cacatoa

So, endlich kann ich posten:
der escan ergab:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Nov 11 15:42:21 2005 => Total Disinfected Files: 0
Fri Nov 11 15:42:24 2005 => Total Disinfected Files: 0
Fri Nov 11 16:05:02 2005 => System found infected with edonkey2000 Spyware/Adware ({320154bb-d666-48f6-990e-172b32954620})! Action taken: No Action Taken.
Fri Nov 11 16:05:07 2005 => System found infected with adbars Spyware/Adware (toolbar.ini)! Action taken: No Action Taken.
Fri Nov 11 16:05:09 2005 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: No Action Taken.
Fri Nov 11 16:05:09 2005 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.
Fri Nov 11 16:05:12 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Fri Nov 11 16:05:12 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Fri Nov 11 16:05:21 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Fri Nov 11 16:05:21 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
Fri Nov 11 16:19:00 2005 => File C:\Dokumente und Einstellungen\?????s\Anwendungsdaten\Thunderbird\Profiles\69dejtu5.default\Mail\Local Folders\Junk infected by "Trojan-Spy.HTML.Bayfraud.hn" Virus! Action Taken: No Action Taken.
Fri Nov 11 16:20:17 2005 => File C:\Dokumente und Einstellungen\?????s\Anwendungsdaten\Thunderbird\Profiles\69dejtu5.default\Mail\Local Folders\Trash infected by "Email-Worm.Win32.NetSky.q" Virus! Action Taken: No Action Taken.
Fri Nov 11 16:36:35 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Nov 11 18:34:47 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Nov 11 16:05:03 2005 => Offending Key found: HKLM\Software\gnu !!!
Fri Nov 11 16:05:03 2005 => Offending Key found: HKLM\Software\kazaa !!!
Fri Nov 11 16:05:03 2005 => Offending Key found: HKCU\Software\gnu !!!
Fri Nov 11 16:05:03 2005 => Offending Key found: HKCU\Software\kazaa !!!
Fri Nov 11 16:05:07 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Anwendungsdaten\opera\opera7\profile\toolbar.ini
Fri Nov 11 16:05:09 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Desktop\skins\base\skin.ini
Fri Nov 11 16:05:09 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Favoriten\ebay.url
Fri Nov 11 16:05:12 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Eigene Dateien\fifa 2003\user\config.dat
Fri Nov 11 16:05:12 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Eigene Dateien\fifa 2005\user\config.dat
Fri Nov 11 16:05:21 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Eigene Dateien\fifa 2003\user\config.dat
Fri Nov 11 16:05:21 2005 => Offending file found: C:\Dokumente und Einstellungen\?????s\Eigene Dateien\fifa 2005\user\config.dat
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Nov 11 15:42:21 2005 => Total Virus(es) Found: 0
Fri Nov 11 15:42:24 2005 => Total Virus(es) Found: 0
Fri Nov 11 18:34:47 2005 => Total Virus(es) Found: 14
Fri Nov 11 15:42:21 2005 => Total Errors: 0
Fri Nov 11 15:42:24 2005 => Total Errors: 0
Fri Nov 11 18:34:47 2005 => Total Errors: 172
Fri Nov 11 15:42:21 2005 => Time Elapsed: 00:00:08
Fri Nov 11 15:42:24 2005 => Time Elapsed: 00:00:08
Fri Nov 11 18:34:47 2005 => Time Elapsed: 02:34:04
Fri Nov 11 15:42:21 2005 => Total Objects Scanned: 99
Fri Nov 11 15:42:24 2005 => Total Objects Scanned: 99
Fri Nov 11 18:34:47 2005 => Total Objects Scanned: 147911
Fri Nov 11 15:42:21 2005 => Virus Database Date: 2005/11/07
Fri Nov 11 16:00:19 2005 => Virus Database Date: 2005/11/07
Fri Nov 11 18:34:47 2005 => Virus Database Date: 2005/11/07
Fri Nov 11 18:40:49 2005 => Virus Database Date: 2005/11/07
Fri Nov 11 19:33:59 2005 => Virus Database Date: 2005/11/07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



Sagt Euch das was? (königliches Euch)
Und, in diesem Zusammenhang: in diesem oder ähnlichen Foren findet man öfter die Einstellung, Virencleaning sei sinnlos, nur ein Neuaufsetzen des Systems sei wirklich richtig. Hat jemand eine Meinung dazu?

Servus,
ist nicht so tragisch:
löschen:
C:\Dokumente und Einstellungen\?????s\Anwendungsdaten\Thunderbird\P rofiles\69dejtu5.default\Mail\Local Folders\Trash
C:\Dokumente und Einstellungen\?????s\Anwendungsdaten\Thunderbird\P rofiles\69dejtu5.default\Mail\Local Folders\Junk
und nach Prüfung die vier:
C:\Dokumente und Einstellungen\?????s\Eigene Dateien\fifa 2005\user\config.dat
wobei ich vorschlage, diese erst mal bei Jotti zu prüfen. Wenn sie von dir beabsichtigt und o.k sind, dann kannst es vernachlässigen.
Außerdem mal mit http://www.chip.de/downloads/c1_downloads_13009733.html (regseeker) die registrierung säubern.
cacatoa

Okay, dann bin ich erleichtert. Habe Deine Tipps befolgt und vorsichtig Dateien entfernt, die Reg Seeker mir als ungültig oder ähnliches gefunden hat und von denen ich weiß, dass sie zu eigentlich deinstallierten Programmen gehören. Vielen Dank, cacatoa!