*pffht*

Nu geht's rund...
Sobald ich bei Trendmicro mit dem IE einen Onlinescan starten will, stellt er ein Problem fest und beendet sich.
Spybot S&D bricht selbstständig bei jedem Scan beim DirectDialer ab und schreibt Benutzerabbruch hin... stimmt ja gar net...
Der Panda-Onlinescanner hat einmal Spyware entdeckt, ist aber noch nicht fertig, weiß deshalb auch noch nicht, wie, wo, warum...
Schaut net guat aus, gar net guat...
KAV-Onlinescan läuft noch, oder auch nicht, nach Update der Virendefinitionen tut sich im Moment gar nix...
Wenns nicht so traurig wär, müßt ich direkt lachen...

Gruß

Kurt

Also, es scheint, der Übeltäter ist gefunden.
Seit ich die "backup-20051231-001626-767.dll" gelöscht habe, läuft Spybot S&D wieder normal, nur Housecall von Trendmicro scheint nicht zu funktionieren. Der IE schließt sich jedesmal selbst aufgrund irgendeines Problems.
Scheint ja ein ganz fieses Teil gewesen zu sein, KAV hat es trotz expliziten Scans nicht erkannt, ich hab es mal an Kaspersky gesannt.
Pandasoft findet nun auch keine Spyware mehr.
Haltet mir die Daumen, daß es das war.

Gruß

Kurt

Naja, der Erfolg hat ja nicht lange angehalten.
Pandasoft hat CoolWebSearch entdeckt.
Da die Systemwiederherstellung bei mir nie aktiviert war, frage ich mich nun, wo der wohl herkommt.
Kurz vorher hat Ewido in meinem Programmarchiv eine mit Heuristik.Win32.Dialer infizierte *.exe entdeckt und gelöscht.
Hat sich daraus der CWS entwickelt?
Als ich den Übeltäter lokalisiert habe und löschen wollte, stürzte der Explorer ab und ich mußte das System neu starten.
Seither ist er unauffindbar...
Langsam frage ich mich, ob es denn noch Sinn macht, das System bereinigen zu wollen, wenn immer wieder Neuinfektionen auftreten.
Einen Backdoor habe ich aber mit allen zur Verfügung stehenden Programmen bisher nicht entdecken können.

Gruß

Kurt

poste bitte ein neues HJT logfile...

Hallo,

ok, hier ist's:

Logfile of HijackThis v1.99.1
Scan saved at 13:25:14, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\borland\interbase\bin\ibguard.exe
C:\Programme\borland\interbase\bin\ibserver.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O15 - Trusted Zone: h**p://www.ewido.net
O15 - Trusted Zone: h**p://de.trendmicro-europe.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

ergibt imho nichts auffälliges, auch Pandasoft findet jetzt nichts mehr auf meinem Rechner.
Kann es sein, daß der Onlinescan nicht ganz so zuverlässig ist?
Hab ich Paranoia oder Geisterscheinungen?

PS.: Seltsam kommt mir nur dieser Eintrag vor:
C:\WINDOWS\eHome\ehRecvr.exe
Ich hab das Mediacenter gar nicht in Betrieb, auf diesem Rechner sind noch nicht mal Lautsprecher angeschlossen....
Warum also ist diese Datei geladen?

Gruß

Kurt

also im logfile finde ich nun nix auffälliges mehr...
bezüglich der onlinescans..
diese sind eigentlich sehr sicher...
es sei denn es handelt sich um einen ziemlich neuen virus..
haste dir mal clearprog besorgt und laufen lassen??

Öhm, clearprog?

Wat'n dat?

Gruß

Kurt

ist ein programm..
musste mit tante google suchen..
hab im mom grad leider nicht die adresse da wo du es direkt runterladen kannst..

Also, jetzt ist mir beim Systemstart(wegen Initialisierung des WMF-Hacks) folgendes aufgefallen:
Der Windows Taskmanager führt eine "alg.exe" als lokalen Dienst aus, der im HJT-Log nirgens auftaucht.
Die Dateisuche hat ergeben, daß diese 2x existiert, einmal in C:\Windows\system32 und einmal in C:\Windows\system32\dllcache.
Kann das der Schädling sein oder handelt es sich dabei um eine Systemdatei?

PS.: Google-suche war erfolgreich!
Gruß

Kurt

kann ich so nicht sagen...
lasse bitte diese beiden dateien bei jotti online prüfen...
poste das ergebniss hier...
link zu jotti in meiner signatur..

Also, ich habs bei Jotti und bei Virus Total durchlaufen lassen, kein Ergebnis.
Allerdings wird es nun immer mysteriöser.
Pandasoft ActiveScan hat soeben wieder in meinen Favoriten CWS gefunden, aber als ich den Ordner öffnete, um nachzusehen, war da nix.
Ein erneuter Scan des betroffenen Ordners zeigte dann wiederum kein Ergebnis...???
Wer verar**t mich da nun?

Gruß

Kurt

führe bitte Diese option aus..
poste anschließend das ergebniss hier..

*pfhht*

Nach mehreren Anläufen hat es nun endlich geklappt.
Allerdings iss da nix zum updaten, kavupd.exe ist nicht da, weder in C:\Bases_X, noch im Paket.
Kann mir die einer zukommen lassen, oder wird die gar net mehr benötigt???

Gruß

Kurt

Hallo Kurt,
schau mal in der Anleitung unter dem rot unterlegtem Punkt 5 nach.da steht die (bei mir)blau unterlegte "find.rar" das ist ein direkter Link.
Irrlicht

Zitat:

Zitat von irrlicht

Hallo Kurt,
schau mal in der Anleitung unter dem rot unterlegtem Punkt 5 nach.da steht die (bei mir)blau unterlegte "find.rar" das ist ein direkter Link.
Irrlicht

Hallo Irrlicht,

Soweit schon klar, das ist aber nicht das Problem. Fehlen tut aber die kavupd.exe in MWAV, die dafür sorgen sollte, daß die Signaturen aktualisiert werden. Was bringt ein Scan mit veralteten Signaturen?

Gruß

Kurt