Hallo Leute,
erst 'mal ein Gruesken an alle !
Seit gestern erscheint beim Start von Spybot immer ein Meldungsfenster mit folgendem Text:
"This application has been changed since it was created.
Since Spybot-S&D does not change itself, we recommend you check your system for malware and viruses instantly!"
...also eine Warnung, das die Spybot-Einträge unauthorisiert verändert wurden.

Ausserdem bekomme ich ständig eine Meldung, dass kein Datenträger im Laufwerk eingelegt sei....
Ist es möglich, das Spybot inzwischen selbst Ziel von Trojaner- oder Virus-Angriffen geworden ist ?

Ein Scann mit Antivir und Ad-Aware brachten kein Ergebnis, eine Überprüfung mit HiJackthis (Online-Auswertung) ebenfalls nicht.
Auf eine Überprüfung mit Spybot habe ich aus ersichtlichen Gründen verzichtet.

...kann sein dass ich mir diesen neuen Wurm ( W32.Secefa.A) eingefangen habe ? Beim Versuch, einen Scann mit Trendmicro-HouseCall durchzuführen hagelt es plötzlich Fehlermeldungen, vor allem mit fehlgeschlagenen Pattern-Downloads
Hier die entsprechende Java-Meldung:
2005-11-25 13:54:30.219 SEVERE [java:hc.impl.lib.activeupdate.UpdateImpl#Native] Update error=28, ActiveUpdate was unable to connect to the network. Please check whether the network connection is functional and then try again.
2005-11-25 13:55:00.192 SEVERE [java:hc.applet.process.UpdateActiveUpdate] Failed to update:updating-pattern-grayware

Hier mein aktuelles HiJackthis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 12:34:49, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRAMME-SI\AVPERSONAL\AVGUARD.EXE
G:\Programme-Si\AVPersonal\AVWUPSRV.EXE
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\WINDOWS\system32\SLEE503.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4gui.exe
G:\WINDOWS\Explorer.EXE
G:\Programme-Si\AVPersonal\AVGNT.EXE
G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe
G:\WINDOWS\Twain_32\FlatBed\HotKey.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme-2\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
G:\Programme-Si\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme-Si\Steganos\Secure\install\spm.exe
G:\Programme-Inet\1 & 1\SMS\install\SMS-Manager\SMSMngr.exe
G:\Programme-Si\Steganos\Secure\install\itd.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4gui.exe
G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe
G:\WINDOWS\System32\wbem\wmiapsrv.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme-Si\HIJACKTHIS1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~3\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme-Si\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe"
O4 - HKLM\..\Run: [HotKey] G:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] G:\Programme-2\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme-Si\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SSS6_SPM] "G:\Programme-Si\Steganos\Secure\install\spm.exe" /booting
O4 - HKCU\..\Run: [1&1 SMS-Manager] G:\Programme-Inet\1 & 1\SMS\install\SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [SSS6_ITD] "G:\Programme-Si\Steganos\Secure\install\itd.exe" /booting
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme-Sys\java\java-environment 5-0 update 4\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme-Sys\java\java-environment 5-0 update 4\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EB662A0-F583-4A14-9E16-CD6E8AB9A9D3}: NameServer = 192.168.178.1,192.168.178.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\PROGRAMME-SI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme-Si\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - G:\WINDOWS\system32\SLEE503.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe


Irgendwie kommt mir das Log auch etwas kurz vor... kriege ich nun schon Paranoa ?

Kann mir jemand helfen ?
Gruss...
kesrith

Hast Du das Log im Normalmodus oder im abgesicherten Modus erstellt?

oh - shit, im normal-Modus.

OK, ich poste nachher ( muss erst ma' was essen...) ein Log im abgesicherten modus.

Gruss...
kesrith

Normalmodus ist schon richtig. Mir kam es, wie Dir auch, recht kurz vor. Deshalb meine Nachfrage
Lade Dir mal die 14-Tage-Version von Ewido, update sie:
http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.

nu-ja, zu spät.
Aber das Log des abgesicherten Modus sieht noch ärmlicher aus... kann doch nicht normal sein:

Logfile of HijackThis v1.99.1
Scan saved at 20:39:06, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\Programme-Si\HIJACKTHIS1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~3\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme-Si\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe"
O4 - HKLM\..\Run: [HotKey] G:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme-Sys\java\java-environment 5-0 update 4\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme-Sys\java\java-environment 5-0 update 4\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EB662A0-F583-4A14-9E16-CD6E8AB9A9D3}: NameServer = 192.168.178.1,192.168.178.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\PROGRAMME-SI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme-Si\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - G:\WINDOWS\system32\SLEE503.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe

...ok, ewido also.
Nu bis später...
kesrith

Hi,
Ewido scheint in der DSLTest-exe fündig geworden zu sein.

Spybot und Trendmicro-HouseCall funken wieder, die Updates laufen wieder ohne Fehlermeldungen, wobei mir HouseCall im Vergleich zu früher etwas recht lahm vorkam.
Hier nochmal die Logfiles:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:21:45, 25.11.2005
+ Report-Checksumme: 7E950E12

+ Scanergebnis:

G:\Programme-Inet\DSL\DSL-test\install\DSLC.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup


::Report Ende

Logfile of HijackThis v1.99.1
Scan saved at 23:03:11, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRAMME-SI\AVPERSONAL\AVGUARD.EXE
G:\Programme-Si\AVPersonal\AVWUPSRV.EXE
G:\Programme-Si\ewido-malewareScanner\install\security suite\ewidoctrl.exe
G:\Programme-Si\ewido-malewareScanner\install\security suite\ewidoguard.exe
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\WINDOWS\system32\SLEE503.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4gui.exe
G:\Programme-Si\AVPersonal\AVGNT.EXE
G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe
G:\WINDOWS\Twain_32\FlatBed\HotKey.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme-2\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
G:\Programme-Si\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme-Si\Steganos\Secure\install\spm.exe
G:\Programme-Inet\1 & 1\SMS\install\SMS-Manager\SMSMngr.exe
G:\Programme-Si\Steganos\Secure\install\itd.exe
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4gui.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe
G:\WINDOWS\System32\wbem\wmiapsrv.exe
G:\Programme-Inet\FIREFOX_1_0_7_Okt_2005\install\firefox.exe
G:\WINDOWS\system32\NOTEPAD.EXE
G:\Programme-Si\HIJACKTHIS1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~3\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme-Si\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe"
O4 - HKLM\..\Run: [HotKey] G:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] G:\Programme-2\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme-Si\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SSS6_SPM] "G:\Programme-Si\Steganos\Secure\install\spm.exe" /booting
O4 - HKCU\..\Run: [1&1 SMS-Manager] G:\Programme-Inet\1 & 1\SMS\install\SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [SSS6_ITD] "G:\Programme-Si\Steganos\Secure\install\itd.exe" /booting
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme-Sys\java\java-environment 5-0 update 4\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme-Sys\java\java-environment 5-0 update 4\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EB662A0-F583-4A14-9E16-CD6E8AB9A9D3}: NameServer = 192.168.178.1,192.168.178.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\PROGRAMME-SI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme-Si\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - G:\Programme-Si\ewido-malewareScanner\install\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - G:\Programme-Si\ewido-malewareScanner\install\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - G:\WINDOWS\system32\SLEE503.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe

War's das schon oder gibt es noch was zu tun ? Das Backup löschen ?

Jedenfalls schon 'mal herzlichen Dank für deine (eure) Hilfe...

Kesrith