Hallo vielleicht könnt Ihr weiterhelfen.

Beim Surfen bekam ich gestern von Antivir die Nachricht, das "der Virus JS/Dldr.Small.B " in C:\Dokumente und Einstellungen\Mina is Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eh96p0k2.default\cache\b5d1fc72d01
gefunden wurde.

Zitat:

C:\Dokumente und Einstellungen\Mina is Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eh96p0k2.default\cache\9faf3799d01
[0] Archivtyp: GZ
--> unkwn
[FUND] Enthält Signatur des Java-Scriptvirus JS/Dldr.Small.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '447382b0.qua' verschoben!
C:\Dokumente und Einstellungen\Mina is Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eh96p0k2.default\cache\b5d1fc72d01
[0] Archivtyp: GZ
--> unkwn
[FUND] Enthält Signatur des Java-Scriptvirus JS/Dldr.Small.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44768284.qua' verschoben!

Kennt jemand das Ding. Hab auch nix bei ANTIVIR und nicht viel beim googeln gefunden. Nur das es event. ein Backdoor sein könnte !?

Poste mal mein hijackthis.log, da kommen mir einige Sachen auch nicht ganz koscha vor.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 11:32:49, on 11.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Leecher\NetPumper\NetPumperIEProxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\Totalcmd\TOTALCMD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\upload\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9F7E0BFB-0997-2D6D-DF44-2B91FEDB4CAB} - C:\DOKUME~1\MINAIS~1\ANWEND~1\ADMINP~1\ForFour.exe
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\Leecher\FlashGet\jccatch.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\Leecher\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\Leecher\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Base barb htm part] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Eggs Bleh Base Barb\amengpl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [KindRemote] C:\DOKUME~1\MINAIS~1\ANWEND~1\BLAHVI~1\Media Bib Active.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\Leecher\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\Leecher\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\Leecher\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Leecher\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Leecher\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140973449727
O17 - HKLM\System\CCS\Services\Tcpip\..\{334BB9A3-039D-4EDE-BDD1-B18C81EECA23}: NameServer = 217.237.151.33 217.237.149.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Habe mein System vor 2. Wochen neu aufgesetzt. Aber das hatte ich vorher nicht drauf. Was macht denn das Prog.?

Zitat:

O2 - BHO: (no name) - {9F7E0BFB-0997-2D6D-DF44-2B91FEDB4CAB} - C:\DOKUME~1\MINAIS~1\ANWEND~1\ADMINP~1\ForFour.exe

Hab mal in der Registry nachgeschaut, ob ich da was erfahre,
aber Name = ThreadingModel + Wert = Apartment sagt, mir gar nix.

Und das klingt auch verdammt seltsam.

Zitat:

O4 - HKLM\..\Run: [Base barb htm part] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Eggs Bleh Base Barb\amengpl.exe

Hat da jemand `ne Idee?

Vielleicht, hoffentlich ist ja auch alles i.O. Alle anderen Scans waren negativ.
Danke für Eure Hilfe

Ich hab wohl im falschen Thread gespostet? Wie auch immer, vielleicht kann es ja ins "richtige" Forum verschoben werden.

Da ich jetzt noch einmal umfangreiche Online-Scans durchgeführt habe, mußte ich feststellen, dass es sich bei den o.g. Programmen höchst wahrscheinlich um Trojaner handelt.

Während sowohl mein Antivir , als auch der OnlineScan von Symantic negativ waren, zeigten andere F-Secure und Kaspersky dieses Prog.

Danach hab ich mal die betroffene Datei bei

Zitat:

http://www.virustotal.com

gecheckt und bekam eine äußerst interesante Meldung.

Zitat:

This is a report processed by VirusTotal on 03/11/2006 at 14:24:13 (CET) after scanning the file "ForFour.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.11.2006 no virus found
Avast 4.6.695.0 03.10.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.11.2006 no virus found
BitDefender 7.2 03.11.2006 no virus found
CAT-QuickHeal 8.00 03.10.2006 no virus found
ClamAV devel-20060126 03.11.2006 Adware.Lop-130
DrWeb 4.33 03.11.2006 Trojan.Swizzor
eTrust-InoculateIT 23.71.99 03.10.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 Win32/Swizzor
Ewido 3.5 03.10.2006 no virus found
Fortinet 2.71.0.0 03.11.2006 suspicious
F-Prot 3.16c 03.09.2006 security risk named W32/Swizzor.DE@dl
Ikarus 0.2.59.0 03.10.2006 no virus found
Kaspersky 4.0.2.24 03.11.2006 not-a-virus:AdWare.Win32.Lop.ag
McAfee 4716 03.11.2006 Swizzor.gen
NOD32v2 1.1439 03.11.2006 no virus found
Norman 5.70.10 03.10.2006 Swizzor.gen
Panda 9.0.0.4 03.11.2006 Adware/Lop
Sophos 4.03.0 03.11.2006 no virus found
Symantec 8.0 03.11.2006 no virus found
TheHacker 5.9.5.110 03.09.2006 Trojan/Downloader.Swizzor
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.10.2006 Trojan-Downloader.Win32.Swizzor.bo

Zum Glück ist man jetzt schlauer!

Ich frage mich nur, wann ich mich wohl infiziert habe? Laut Datum und Uhrzeit, war es genau zur selben Zeit, als ich die Recoverversion (CD) vom Händler
neu aufgesetzt habe. Kann das sein?

Ist das Problem nun gelöst?
Eine Recover-Version sollte eigentlich sauber sein.

Zitat:

Eine Recover-Version sollte eigentlich sauber sein.

Und da gebe ich Dir vollkommen RECHT, nur is die Recover-Version vom Händler und nicht durch mich erstellt worden.

Zitat:

Ist das Problem nun gelöst?

Nein ist es nicht. Ich bin noch dabei herauszubekommen, was diese netten Programme eigentlich machen. Und wie ich die ausschalten kann.
Herausbekommen habe ich, dass es 2 Programme sind. Eines hat sich in den Admin - Anwendungen installiert und das andere in all User. Und wenn ich mal den IE nutze (so gut wie nie, außer bei OnlineScans etc., sonst nur firefox oder seamonkey!), dann öffnen sich ein Haufen popup`s mit Gewinnspiel, casino, sex etc. werbung.

Lösung?
Ich versuche erstmal die Prog. zu killen (killbox kannst leider nicht) und dann mit einem RegCleaner meine Registry säubern.
Ansonsten, bleibt mir wohl nix anderes übrig als mein System nochmal Neu aufzusetzen, hab leider nur die Recover-Version vom Händler.

Das eigentliche Problem bzw. das ärgerliche an der Sache ist/war , dass ANTIVIR die Programme gar nicht erkennt bzw. gemeldet hat.
Nun denke ich über eine Alternative zu ANTIVIR nach, leider kenne ich keine kostenlose bessere AntiVir-Software.

Gut ich könnte jederzeit OnlineScans durchführen. Umso auf Nr. sicher zu gehen ...

Installiere Clearprog, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
Lade und update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html

Lade RegSeeker
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.