Hallo zusammen.

Seit ein paar Tagen kann ich bestimmte Internetseiten einfach nicht mehr anwählen - dann bemerkte ich, dass sich mein Antivirenprogramm
ausgeschaltet hat und eine Neuinstallation war/ist nicht mehr möglich.
Aufgrund einer Fehlermeldung kam ich im Internet zur Info, dass sich evtl.
Win32.BagleDC.mm bei mir eingenistet hat.
Irgendwann gelangte ich zu eurer Seite und ... da bin ich.
Ich habe einen Scan mit escan durchgeführt.
Hier die infected file-Angaben:

Wed Nov 09 08:17:25 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.

Wed Nov 09 08:17:38 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Wed Nov 09 08:17:39 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Wed Nov 09 08:25:51 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.

Wed Nov 09 08:25:54 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Wed Nov 09 08:25:55 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Wed Nov 09 10:47:57 2005 => Total Objects Scanned: 95602
Wed Nov 09 10:47:57 2005 => Total Virus(es) Found: 5

Bitte erklärt mir, was ich jetzt tun soll.
Grüsse
quasi

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
Außerdem wäre mehr Info zum Scan mit escan interessant - poste bitte das logfile der find.bat wie hier http://www.trojaner-board.de/showthread.php?t=17492 beschrieben. Falls Du damit nicht klar kommst, nutze die angeführte Alternative!
stupormundi

Hallo stupormundi,

danke für die rasche Antwort.
Ich hänge gleich die HJT-Logfile nach Cidres Anleitung an. Bei der escan-
logfile kam ich mit dem find.bat nicht klar. Es öffnete sich nur kurz das Fenster
der Eingabeaufforderung und sonst passierte nichts. auch eine Datei ist in
diesem Zusammenhang nicht zu finden.
Ich hatte allerdings schon die Alternative genutzt und die beschädigten
Einträge rauskopiert und gepostet. Ansonsten hätte ich noch die komplette,
wirklich sehr lange MWAV_log im Angebot.
Kurze Info dazu bitte noch mal

Grüsse _quasi

Logfile of HijackThis v1.99.1
Scan saved at 15:05:23, on 09.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
G:\Programme\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
G:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
G:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\WISPTIS.EXE
G:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
G:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\downloads\antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] G:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - Global Startup: Acrobat Assistant.lnk = Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\WinStylerThemeSvc.exe

Das mit dem kurzen Aufpoppen ist schon ok, aber die Datei "C:\eScan_neu.txt" findest Du dann nicht? Tja, dann passt irgendetwas mit escan-Scan nicht - alles nach Anleitung gemacht (nach C:/bases_x entpackt, Spracheinstellung "English", im abgesicherten Modus gescannt, alle Häkchen wie beschrieben gesetzt)?
Diese Infos

Zitat:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

wären ebenfalls interessant.
Naja der Bagle, der war/ist da!

Zitat:

O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe

Probier mal die hier http://www.trojaner-info.de/programme.shtml zu Deinem Wurm verlinkten Tools bei ausgeschalteter Systemwiederherstellung
laufen zu lassen! Anschließend booten und neues HJT Log und escan log
Nachtrag:http://www.nod32.it/tools/BAGLEFIX.ZIP Auch noch möglich aber auf eigene Gefahr (wie bei allen verlinkten tools)
stupormundi

Hallo stupormundi.

So, jetzt bin ich auch soweit. Ab in die nächste Runde.
Ich habe die verlinkten Tools alle durchlaufen lassen, es wurde aber angeblich
nichts gefunden. Komischerweise zeigt mir escan jetzt nur noch 3 Viren an.
Das Problem mit "find" hat sich gerade geklärt - ich habe diesen Schritt bisher
nicht mehr im abgesicherten Modus durchgeführt.

Hier die Files:


Logfile of HijackThis v1.99.1
Scan saved at 18:43:52, on 10.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
G:\Programme\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
G:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
G:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\downloads\antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] G:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - Global Startup: Acrobat Assistant.lnk = Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\WinStylerThemeSvc.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 10 19:02:58 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Nov 10 19:16:42 2005 => Scanning File C:\Dokumente und Einstellungen\katja\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\infected system.LNK
Thu Nov 10 21:26:57 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 10 20:16:33 2005 => File D:\downloads\serials2000 8-02\s2k.081502.zip tagged as "not-a-virusialer.Win32.gen". Action Taken: No Action Taken.
Thu Nov 10 20:16:35 2005 => File D:\downloads\serials2000 8-02\s2k.serials2k71.zip tagged as "not-a-virusialer.Win32.gen". Action Taken: No Action Taken.
Thu Nov 10 20:50:50 2005 => Scanning File G:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Attributes.apln
Thu Nov 10 20:50:50 2005 => Scanning File G:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Export Filter.apln
Thu Nov 10 20:50:51 2005 => Scanning File G:\Programme\Adobe\InDesign CS\Plug-Ins\Filters\Tagged Text Import Filter.apln
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Nov 10 21:26:57 2005 => Total Virus(es) Found: 3
Thu Nov 10 21:26:57 2005 => Total Errors: 158
Thu Nov 10 21:26:57 2005 => Time Elapsed: 02:23:40
Thu Nov 10 21:26:57 2005 => Total Objects Scanned: 95996
Thu Nov 10 19:01:31 2005 => Virus Database Date: 2005/11/07
Thu Nov 10 21:26:57 2005 => Virus Database Date: 2005/11/07
Thu Nov 10 23:28:26 2005 => Virus Database Date: 2005/11/07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ich hoffe, das hilft dir weiter und somit schlußendlich mir

Grüsse
_quasi

Hallo quai26,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe

Lösche manuell:
D:\downloads\serials2000 8-02\s2k.081502.zip.
D:\downloads\serials2000 8-02\s2k.serials2k71.zip

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

dartus

Hallo Dartus,

ich habe alles so gemacht, wie du es beschrieben hast. Allerding ist folgende
Datei nicht mehr angezeigt worden:

O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe

Komische Sache.

Was muß ich jetzt noch tun?
Ich kann weiterhin bestimmte I-Adressen nicht anwählen und wenn ich mein Antivir neu installieren möchte, kommt folgende Fehlermeldung:
Fehler beim Schreiben auf -mein Temp-Verzeichnis - möglicher Ursache:
Datenträger voll. <-- er ist nicht voll.

Ich weiß einfach nicht, was jetzt zu tun ist.

Grüsse
_quasi

Hallo.

Ich habe schon einmal mein Problem unter folgendem Titel gepostet:

Bekam vermutlich Besuch von Bagle.DC

und bekam auch super schnell Hilfe (Danke nochmal an Dartus + stupormundi)
Allerdings sind ein/zwei Probleme über geblieben:

Ich kann weiterhin bestimmte I-Adressen nicht anwählen und wenn ich mein Antivir neu installieren möchte, kommt folgende Fehlermeldung:
Fehler beim Schreiben auf -mein Temp-Verzeichnis - möglicher Ursache:
Datenträger voll. <-- er ist nicht voll.

Ich weiß einfach nicht, was jetzt zu tun ist.

Grüsse
_quasi