Hallo allerseits!

Vor etwa einer woche bin ich zum ersten mal durch mein AVPersonal auf einige viren/trojaner aufmerksam geworden... Jene haben diverse Programme runtergeladen..unter anderem "SpyFalcon"...Ich Dachte! eigentlich alles entfernt zu haben...nun gestern gab es wieder nahezu die gleichen probleme...

Hier das aktuelle hjackthis log.. hab auch schon im abgesicherten modus Escan durchlaufen lassen und mit Killbox entsprechende entfernt..

Logfile of HijackThis v1.99.1
Scan saved at 18:36:43, on 11.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Janine\EIGENE~1\MCROSO~1.NET\csrss.exe
C:\WINDOWS\M?crosoft.NET\m?config.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\HjackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp53B3.tmp
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O20 - Winlogon Notify: winjvd32 - C:\WINDOWS\SYSTEM32\winjvd32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


----------

Ich hoffe, dass sich das mal wer anschaut...auf meinen ersten blick erkenn ich keine extremen schädlinge...doch diese sind da..Mal eine Aufzählung jener die ich bisher gefunden/bearbeitet habe:

TR/FakeAlert.AA
TR/Drop.Zlob.GW.1
TR/Dldr.Zlob.go.2
TR/Sced.A
DR/PurityScan.A (Heute aufgetaucht...auf google nichts dazu gefunden)

Mit den beiden "Zlobs" hatte ich wohl die meisten probleme...Fakealert ist auch wieder aufgetaucht mitlerweile..

--------

Einen eScan log habe ich auch...Doch weis ich nicht wie ich am besten nur die "Infizierten" Zeilen herausfiltern kann... Vielleicht geht das irgendwie



Vielen Dank im vorraus.

Dann lasse den PC mal hier online scannen und teile das Ergebnis mit.
Weiterhin prüfe den PC noch mit diesem Tool und teile das Ergebnis mit.

Blacklight hat nichts gefunden


mit Kaspersky Online scanner gibt es ein problem...es lässt sich nicht starten - Scheinbar ein ActiveX fehler...

Ich habe allerdings Kaspersky Anti-Virus Trial Version 5.0.388 installiert und soeben auf den neuesten stand gebracht...
Ich lasse diesen scanner nun mal durchlaufen und teile weitere ergebnisse mit.

Kaspersky hat 2 Viren gefunden...beim bearabeiten dieser ist der Pc abgestürzt... 2 mal.

Also habe ich Kaspersky nocheinmal im Abgesicherten Modus laufen lassen..dort dann alles entfernt was kam - Ebenso noch einen Escan laufen lassen, diese ergebnisse auch entfernt.

Adaware hat nur Tracking Cookies gefunden...S&D hingegen dinge wie "Vcodec" - Auch entfernt.


ich denke nicht, dass es damit gegessen ist...

Hallo Archibald,
gut wäre gewesen ,wenn du hättest sagen können,was im Einzelnen von Kaspersky gefunden und entfernt wurde.Mit EScan löscht du gar nichts,der zeigt nur auf,was sich auf deiner Kiste rumtreibt.Wenn du keine Log`s postest von den Dingen die dir angeraten werden,ist schlecht was dazu zu sagen bzw.weiteres Vorgehen zu empfehlen.
Irrlicht

Also die ergebnisse von eScan habe ich natürlich manuell..bzw durch Killbot entfernt.

Die ergebnisse von Kaspersky füge ich später nach, wenn ich wieder am dementsprechenden rechner bin. Soweit danke

Also, sowohl die Kaspersky als auch die eScan scans haben die Trojaner TrojanDownloader.Win32.small.cml und Trojan.Win32.Dialer.oy ergeben.

TrojanDownloader.Win32.small.cml : C:\Windows\System32\Winjvd32.dll
Trojan.Win32.Dialer.oy : C:\Windows\Temp\win178.tmp und C:\Windows\Temp\win179.tmp

Den Win32.small.cml hab ich per Abgesicherten Modus und eingabeaufforderung umbenannt und verschoben..Daraufhin konnte ich ihn über die Eingabeaufforderung löschen.
Mit Hjackthis dann entsprechende Einträge gefixt...
Adaware und S&D darüberlaufen lassen. Keine Ergebnisse.
Dann nocheinmal, nach einem neustart, eScan, wieder keine Ergebnisse.
Kaspersky nun, auch keine ergebnisse
(Hatte irgendwann zwischen drin auch noch nach allen verdächtigen Registry einträgen gesucht und jene gelöscht, evlt. deshalb nichtsmehr?)

Wie gesagt..vor etwa einer woche sah es genauso gut aus..doch sie kamen alle wieder.

Was empfehlt ihr?

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:43:03, 12.03.2006
+ Report-Checksumme: 420A58C8

+ Scanergebnis:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Gesäubert mit Backup
HKU\S-1-5-21-117609710-688789844-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2296428D-C133-4928-B76A-A200FF409572} -> Adware.Generic : Gesäubert mit Backup
HKU\S-1-5-21-117609710-688789844-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx -> Adware.MediaTickets : Gesäubert mit Backup

Hier noch zusätzlich der Ewido Scanlog...
Insgesamt sieht es recht sauber aus..Glaube ich...

falls diese gesäuberten objekte wirklich eine dringende gefahr mit sich ziehen..oder wieder kommen wäre das natürlich unschön

Vielleicht wisst ihr ja mehr darüber.