Hallo, bin neu hier und hab gleich mal ein Problem: Mein NOD32 Virusscan findet gar nichts (nein, nicht das Problem..), aber Escan findet sage und schreibe 14 ! Viruse.

Scheint wohl vor allem spyware/adware zu sein. Ist mein System wirklich verseucht?

Hier das Logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 15 20:16:17 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Dec 15 20:16:21 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Dec 15 20:16:24 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.
Thu Dec 15 20:16:25 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Thu Dec 15 20:16:25 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Thu Dec 15 20:16:25 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Thu Dec 15 20:16:25 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Thu Dec 15 20:16:26 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Thu Dec 15 20:16:26 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.
Thu Dec 15 20:16:26 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Thu Dec 15 20:16:26 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Thu Dec 15 20:16:26 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Thu Dec 15 20:16:26 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Thu Dec 15 20:19:36 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 15 20:16:19 2005 => Offending Key found: HKCU\Software\gnu !!!
Thu Dec 15 20:16:21 2005 => Offending file found: C:\DOCUME~1\Karmen\CONFIG~1\Temp\insthelp.dll
Thu Dec 15 20:16:24 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\archivos temporales de internet\content.ie5\1nbhr9zg\ticker[1].js
Thu Dec 15 20:16:25 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\archivos temporales de internet\content.ie5\2bskzadu\formie[1].css
Thu Dec 15 20:16:25 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\archivos temporales de internet\content.ie5\4l2bohqr\blank[1].htm
Thu Dec 15 20:16:25 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\archivos temporales de internet\content.ie5\vmvpx17r\blank[1].htm
Thu Dec 15 20:16:25 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\archivos temporales de internet\content.ie5\vmvpx17r\formie[1].css
Thu Dec 15 20:16:26 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\temp\insthelp.dll
Thu Dec 15 20:16:26 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\Archivos temporales de Internet\content.ie5\1nbhr9zg\ticker[1].js
Thu Dec 15 20:16:26 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\Archivos temporales de Internet\content.ie5\2bskzadu\formie[1].css
Thu Dec 15 20:16:26 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\Archivos temporales de Internet\content.ie5\4l2bohqr\blank[1].htm
Thu Dec 15 20:16:26 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\Archivos temporales de Internet\content.ie5\vmvpx17r\blank[1].htm
Thu Dec 15 20:16:26 2005 => Offending file found: C:\Documents and Settings\Karmen\Configuración local\Archivos temporales de Internet\content.ie5\vmvpx17r\formie[1].css
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 15 20:19:36 2005 => Total Virus(es) Found: 14
Thu Dec 15 20:19:36 2005 => Total Errors: 29
Thu Dec 15 20:19:36 2005 => Time Elapsed: 00:04:15
Thu Dec 15 20:19:36 2005 => Total Objects Scanned: 24712
Thu Dec 15 15:23:02 2005 => Virus Database Date: 2005/12/12
Thu Dec 15 15:23:54 2005 => Virus Database Date: 2005/12/12
Thu Dec 15 15:24:11 2005 => Virus Database Date: 2005/12/15
Thu Dec 15 20:15:10 2005 => Virus Database Date: 2005/12/15
Thu Dec 15 20:19:36 2005 => Virus Database Date: 2005/12/15
Thu Dec 15 20:33:33 2005 => Virus Database Date: 2005/12/15






Wer kann mir helfen?

@Tapa01
lade spybot
installieren, updaten, in den abgesicherten modus wechseln und löschen was vorgeschlagen wird.
lade clearprog
alle häkchen bei windows und IE setzen, löschen.
poste auch ein HJT logfile
anleitung
chaosman

Werde ich machen, muss jetzt aber leider raus, melde mich morgen wieder.

PS: Kannst du mir vielleicht sagen, ob das schwerwiegende Probleme sind?

Gruss tapa

@Tapa01
PS: Kannst du mir vielleicht sagen, ob das schwerwiegende Probleme sind?
Nicht wirklich, wenn das alles ist....


chaosman

Danke, bis morgen dann (vielleicht)

Grüsse

Hallo,

habe erstmal spybot gemacht und vorgeschlagene Probleme behoben, BIS AUF 3 Sachen, wo ich mich nicht getraut habe:

Windows Security Center.AntiVirusDisableNotify
Windows Security Center.FirewallDisableNotify
Windows Security Center.UpdateNotify

Was sind das für Probleme? Soll ich die drei SAchen löschen oder nicht?

Bitte um Hilfe für weiteres Verfahren

Gruss tapa

Hallo, jemand hier, der mir bei obiger Frage weiterhelfen kann?

Hallo Tapa,
das kannst du in Ruhe lassen.Der Sicherheitscenter behauptet er hätte kein Antivirusprogramm gefunden,ebenso keine Fitewall.
Was ist mit dem HijacjThis Logfile ?
Das wäre viel wichtiger.Du weißt noch......der Link in von Chaosman,da steht es drin.
Irrlicht

Hallo Irrlicht,
Danke für deine Antwort. Habe aber zu Spybot noch mal zwei Fragen:
1) Hatte beim Scan "Systemdateien versteckt" in Windows gehabt
2) Habe immer wieder was gelesen über "deaktiviere Systemherstellung", wenn man was löscht. Habe ich bei der automatischen Problembehebung von Spybot aber nicht deakttiviert gehabt (weiss auch nicht wie das geht und ob das hier notwendig ist).

->Muss ich jetzt Spybot nochmal machen?


Hier mein aktuelles Logfile mit HJT:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 23:57:51, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\P2Phazard\P2PHazard.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCSVR.EXE
C:\Archivos de programa\Scan&Logfile\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Archivos de programa\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132485873328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: IntelWireless - C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
         

Gruss Tapa01

Hallo Tapa,
soweit ist dein Log in Ordnung.Ich gehe davon aus,das die Einträge in spanisch so gewollt sind,richtig ?
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion. Tapa und Archivos de programa deuten für mich auf einen Spanischfreak oder ein Originalspanier hin,liege ich richtig ?
Irrlicht

Du liegst fast richtig: Das ist der PC meiner Freundin, und die ist Spanierin. Lebe im Moment mit ihr in Spanien.

Ich habe ja wie gesagt Spybot gemacht. Wenn ich jetzt nochmal Escan machen will, muss (und wie mache ich das) diese vielbesagtge mwav.log löschen? Ich finde die gar nicht.

Wer kann mir helfen?

Zitat:

Wer kann mir helfen?

Das HjT-Forum...
Crosspostings werden übrigens auch dort nicht gerne gesehen.

Schön und gut, aber liebe Leute, ich brauche ja hilfe..

Nach allen Massnahmen (Spybot, CCleaner, Ad-Aware) bleiben zwei Probleme mit Spyware:

1) searchexe

2)bearshare


Hier escan-Logfile:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Funde für "infected" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Mon Dec 19 17:37:36 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Mon Dec 19 17:40:07 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Funde für "tagged" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Funde für "offending" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Mon Dec 19 17:37:38 2005 => Offending Key found: HKCU\Software\gnu !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Mon Dec 19 17:40:07 2005 => Total Virus(es) Found: 2
Mon Dec 19 17:40:07 2005 => Total Errors: 15
Mon Dec 19 17:40:07 2005 => Time Elapsed: 00:03:26
Mon Dec 19 17:40:07 2005 => Total Objects Scanned: 24789
Mon Dec 19 17:36:01 2005 => Virus Database Date: 2005/12/15
Mon Dec 19 17:40:07 2005 => Virus Database Date: 2005/12/15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~ © Haui ;-) ~~~~~~~ 
~~~~~~~ Dank an Cidre ~~~~~~~
         

Leute, bitte helft mir weiter, wahrscheinlich muss man das manuell entfernen, oder???

Wer weiss was?

Zitat:

Schön und gut, aber liebe Leute, ich brauche ja hilfe..

1.) Darum erstellst du Crosspostings? Es ist für uns nicht nur nervig, sondern zudem äußerst kontraproduktiv. Wenn du die Tipps von verschiedenen Foren ausführst, kann dies im schlimmsten Fall zu einem nicht mehr lauffähigen System führen...

2.) Wenn du Hilfe brauchst, solltest du dich an die gegebenen Anleitungen halten (dies war bei eScan nicht der Fall!).

Zudem befinden sich auf dem System einige Programme, die die Systemsicherheit nicht unbedingt erhöhen (emule, MsgPlus!)

Ja, den Einwand mit kontraproduktiv kann ich verstehen. Aber was meinst du mit inkorrektem Escan?


Mir bleiben nach allen Massnahmen 2 Probleme:

searchexe "Spyware/Adware"
bearshare "Spyware/Adware"

Wie krieg ich das denn nun weg? Wer weiss was?