Bei meinem Internetexplorer (IE6 unter W2k) fehlen manchmal die Menü- und Symbolleiste. Ich weiß es hört sich blöd an, aber der Zustand wechselt laufend. Selten werde ich bei Links zu anderen Seiten umgeleitet. Gebe ich die gewünschte Adresse in der Adressleiste ein, hatte ich diesen Effekt noch nicht.
Bei mir waren die Hosts-Datei und die DNS-Einträge verändert. Diese habe ich manuell korrigiert und bleiben jetzt unverändert.
Symantec Antivirus und Ad-Aware haben Alexa und Trojan.Flush.G festgestellt und entfernt. Das brachte aber beim IE6 nichts. Eine Neuinstallation des Internetexplorers hat auch nichts verändert.
Im Hijack-Protokoll kann ich nichts verdächtiges entdecken.

Kann mir jemand helfen oder noch irgendeinen Tip geben?

Das HiJack-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 02:01:02, on 05.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\ApacheGroup\Apache2\bin\Apache.exe
C:\DATEV\PROGRAMM\ASA\WinNT\Server\DBSRV6.EXE
C:\WINNT\SYSTEM32\ASDscSvc.exe
C:\veritastemp\beremote.exe
C:\Programme\ApacheGroup\Apache2\bin\Apache.exe
C:\veritastemp\benetns.exe
C:\veritastemp\benser.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\ntagent\ntagent.exe
C:\WINNT\Explorer.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\Programme\Borland\IntrBase\bin\ibguard.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\mksauth.exe
C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\nutsrv4.exe
C:\WINNT\system32\oodag.exe
e:\paisyas1\paisy\BATCH\PROG\spbatch.exe
e:\paisyas1\paisy\SRC\nameserver.exe
e:\paisyas1\paisy\src\superlistener.exe
C:\Program Files\MKS Toolkit\mksnt\rexecd.exe
C:\WINNT\System32\locator.exe
C:\Program Files\MKS Toolkit\mksnt\rshd.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\MKS Toolkit\bin\snmptrapd.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\h**pTunnel\service\TunnelService.exe
C:\PROGRAMME\UPS\UPSMAN\upsman.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\java.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\veritastemp\pvlsvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\MKS Toolkit\bin\rlogind.exe
C:\WINNT\System32\telnetd.exe
C:\WINNT\System32\msdtc.exe
C:\veritastemp\beserver.exe
C:\veritastemp\bengine.exe
C:\Programme\Borland\IntrBase\bin\ibserver.exe
C:\WINNT\System32\svchost.exe
C:\SysTrayX\SYSTRAYX.EXE
C:\VxUpdate\VxTaskbarMgr.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\asrouter\ASRouter.exe
C:\Programme\ApacheGroup\Apache2\bin\ApacheMonitor.exe
C:\Programme\Microsoft Office\Office\Osa.exe
D:\Paiproda\Batch\Prog\aspbtch11.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Mstools\bin\Wperf.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.21.10.63:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Bugnosis - {3A6514CD-A457-11D4-8AF3-000102686B79} - C:\WINNT\Downloaded Program Files\webbug.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~2\MKSTOO~1\bin\ncoeenv.exe
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ErrorDoctor] C:\Programme\SoftwareDoctor\ErrorDoctor\ErrorDoctor.exe
O4 - HKLM\..\RunOnce: [SYSTRAYX] C:\SysTrayX\RUNSTX.EXE
O4 - Startup: SYSTRAYX.LNK = C:\SysTrayX\SysTrayX.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Internetverb. - ASRouter.lnk = C:\asrouter\ASRouter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2000\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\ApacheGroup\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PAISY-Batchsteuerung.LNK = BATCH\PROG\aspbtch11.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Wperf.exe.lnk = C:\MSTOOLS\bin\WPERF.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Bugnosis - {630CB4FA-AA9E-4bf2-BBD1-81C239203E2F} - C:\WINNT\Downloaded Program Files\webbug.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {3A6514CD-A457-11D4-8AF3-000102686B79} (Bugnosis) - h**p://www.bugnosis.org/downloads/webbug.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/06a6e43a927b8b110716/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123775133843
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123775102546
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = adcnet1
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA160B3-1910-4B49-B4B4-2A8B3C27D9CA}: Domain = adcnet1
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA160B3-1910-4B49-B4B4-2A8B3C27D9CA}: NameServer = 172.21.10.11,217.237.151.225,217.237.149.225,217.237.149.161,194.25.2.131
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = adcnet1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = adcnet1,adctskd,adc,adc.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = adcnet1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = adcnet1,adctskd,adc,adc.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = adcnet1,adctskd,adc,adc.local
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: 46200 - Unknown owner - \\84.186.124.254\Admin$\eraseme_86327.exe (file missing)
O23 - Service: Apache2 - Unknown owner - C:\Programme\ApacheGroup\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: DatevAnySrvASA001 (ASANYs_DATEV_ANY_ASA001) - Sybase, Inc. - C:\DATEV\PROGRAMM\ASA\WinNT\Server\DBSRV6.EXE
O23 - Service: Cheyenne Discovery Service (ASDiscoverySvc) - Unknown owner - C:\WINNT\SYSTEM32\ASDscSvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\veritastemp\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\veritastemp\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\veritastemp\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\veritastemp\bengine.exe
O23 - Service: Backup Exec Naming Service (BackupExecNamingService) - VERITAS Software Corporation - C:\veritastemp\benser.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\veritastemp\beserver.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Agent f³r ARCserve (Client Agent for ARCserve) - Cheyenne Software division of Computer Associates - C:\ntagent\ntagent.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst f³r die Verwaltung logischer Datentrõger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ExecView Communication Module (ECM) (ECM Service) - VERITAS Software Corporation - C:\veritastemp\ECM\ECM.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Programme\Borland\IntrBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Programme\Borland\IntrBase\bin\ibserver.exe
O23 - Service: MKSAUTH - Mortice Kern Systems Inc. - C:\WINNT\System32\mksauth.exe
O23 - Service: MKS Rlogind (MKSRlogind) - DataFocus, Inc. - C:\Program Files\MKS Toolkit\bin\rlogind.exe
O23 - Service: MKS Secure Shell Service (MKSSecureSH) - DataFocus, Inc. - C:\Program Files\MKS Toolkit\bin\secshd.exe
O23 - Service: MKS Telnetd (MKSTelnetd) - DataFocus, Inc. - C:\WINNT\System32\telnetd.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINNT\System32\nutsrv4.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: PAISY Batchprozessor - Unknown owner - e:/paisyas1/paisy/BATCH/PROG/spbatch.exe
O23 - Service: PAISY Nameserver - Unknown owner - e:/paisyas1/paisy/SRC/nameserver.exe
O23 - Service: PAISY Superlistener - Unknown owner - e:\paisyas1\paisy\src\superlistener.exe
O23 - Service: REXECD - Mortice Kern Systems Inc. - C:\Program Files\MKS Toolkit\mksnt\rexecd.exe
O23 - Service: RSHD - Mortice Kern Systems Inc. - C:\Program Files\MKS Toolkit\mksnt\rshd.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SNMPTrapd Service (SNMPTrapdService) - DataFocus, Inc. - C:\Program Files\MKS Toolkit\bin\snmptrapd.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SQLAgent$DATEV_SV_SE01 - Unknown owner - C:\PROGRA~1\MI6841~1\MSSQL$~2\binn\sqlagent.exe (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WindowsCommandsys (TiServ) - Unknown owner - C:\WINNT\system32\scvohst.exe (file missing)
O23 - Service: TunnelService - Unknown owner - C:\h**pTunnel\service\TunnelService.exe
O23 - Service: UPSMAN Service (UPSMAN) - Quazar/Generex - C:\PROGRAMME\UPS\UPSMAN\upsman.exe

Hello,

da laufen rel. viele mir unbekannte Prozesse. Mach mal am besten einen Systemcheck mit eScan und poste das mit der FIND.BAT erstellte Logfile. Klick auf eScan in meiner Signatur, dort ist die Vorgehensweise beschrieben.

Hallo,

das escan lief schon eine Weile, aber hat schliesslich einiges gefunden. Ich habe noch nichts weiter mit dem System gemacht, denn ich denke, das ein einfaches Löschen der aufgeführten Dateien nicht reichen wird. Deshalb hier das Logfile.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 05 05:04:11 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Fri May 05 05:04:11 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Fri May 05 05:04:11 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Fri May 05 05:04:18 2006 => Object "tvmedia Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri May 05 05:04:23 2006 => Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri May 05 07:11:21 2006 => File C:\WINNT\system32\oports.exe infected by "Backdoor.Win32.HacDef.q" Virus! Action Taken: No Action Taken.
Fri May 05 07:12:55 2006 => File C:\WINNT\system32\up.exe infected by "Backdoor.Win32.RsCrt.a" Virus! Action Taken: No Action Taken.
Fri May 05 13:09:20 2006 => File K:\eM\Incoming_temp\Visual Dbase 7.5.zip infected by "Trojan-Dropper.Win32.Small.as" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 05 05:04:23 2006 => Offending Folder found: C:\WINNT\Profiles\All Users\Favoriten\online pharmacy
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri May 05 05:02:13 2006 => File C:\WINNT\DOWNLO~1\webbug.dll tagged as "not-a-virus:AdWare.Win32.Bugnosis". Action Taken: No Action Taken.
Fri May 05 05:03:00 2006 => File C:\WINNT\DOWNLO~1\webbug.dll tagged as "not-a-virus:AdWare.Win32.Bugnosis". Action Taken: No Action Taken.
Fri May 05 06:23:19 2006 => File C:\Programme\TV Media\TvmBho.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.b". Action Taken: No Action Taken.
Fri May 05 06:39:53 2006 => File C:\WINNT\Downloaded Program Files\webbug.dll.tmp tagged as "not-a-virus:AdWare.Win32.Bugnosis". Action Taken: No Action Taken.
Fri May 05 07:11:56 2006 => File C:\WINNT\system32\scvohst2.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.3017. No Action Taken.
Fri May 05 07:13:34 2006 => File C:\WINNT\unstall.exe tagged as "not-a-virus:AdWare.Win32.MediaMotor.a". Action Taken: No Action Taken.
Fri May 05 12:17:38 2006 => File K:\inst\Adobe\video\Adobe After Effects 6.5.zip tagged as not-a-virus:RiskTool.Win32.Hideit.a. No Action Taken.
Fri May 05 12:53:30 2006 => File K:\inst\SuSE.Linux.i386.x86.8.2.Professional.CD1.of.CD5.iso tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Fri May 05 05:04:18 2006 => Offending Folder found: C:\Programme\tv media
Fri May 05 05:04:23 2006 => Offending Folder found: C:\WINNT\Profiles\All Users\Favoriten\online pharmacy
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 05 13:25:55 2006 => Total Errors: 108
Fri May 05 13:25:55 2006 => Time Elapsed: 08:23:29
Fri May 05 13:25:55 2006 => Total Objects Scanned: 147306
Fri May 05 04:58:39 2006 => Virus Database Date: 4/28/2006
Fri May 05 05:00:26 2006 => Virus Database Date: 5/5/2006
Fri May 05 05:01:05 2006 => Virus Database Date: 5/5/2006
Fri May 05 13:25:55 2006 => Virus Database Date: 5/5/2006
Fri May 05 14:10:53 2006 => Virus Database Date: 5/5/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

diese Datei bei Virustotal oder jotti (siehe Signatur) gegenchecken:

C:\WINNT\system32\oports.exe
C:\WINNT\system32\up.exe

Hallo,

ich habe diese Dateien und auch die scvohst2.exe bei VirusTotal testen lassen. Es ist schon erstaunlich zu welch unterschiedlichen Ergebnissen die einzelnen Programme kommen. Aber so wie die Protokolle aussehen habe ich erstmal alle 3 Dateien umbenannt. Zunächst ist der beschriebene Effekt auch weg. Ich bin gespannt ob dieser Zustand anhält.

Muß/Sollte ich weiteres tun?

Die Protokolle von VirusTotal:

STATUS: FINISHEDComplete scanning result of "oports.exe", received in VirusTotal at 05.05.2006, 16:11:52 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 BDS/HacDef.Q.2
Avast 4.6.695.0 05.05.2006 no virus found
AVG 386 05.04.2006 BackDoor.Hacdef.2.AH
Avira 6.34.1.58 05.05.2006 BDS/HacDef.Q.2
BitDefender 7.2 05.05.2006 Backdoor.Hacdef.Q
CAT-QuickHeal 8.00 05.05.2006 Backdoor.HacDef.q
ClamAV devel-20060426 05.05.2006 no virus found
DrWeb 4.33 05.05.2006 BackDoor.HackDef.83
eTrust-InoculateIT 23.72.0 05.05.2006 Win32/OpenPorts!Trojan
eTrust-Vet 12.4.2194 05.04.2006 Win32/OpenPorts.11
Ewido 3.5 05.05.2006 no virus found
Fortinet 2.71.0.0 05.04.2006 suspicious
F-Prot 3.16c 05.05.2006 no virus found
Ikarus 0.2.65.0 05.05.2006 no virus found
Kaspersky 4.0.2.24 05.05.2006 Backdoor.Win32.HacDef.q
McAfee 4755 05.04.2006 HackerDefender.sys
Microsoft 1.1372 05.05.2006 Tool:Win32/OpenPorts.1_1
NOD32v2 1.1522 05.05.2006 a variant of Win32/HacDef
Norman 5.90.17 05.05.2006 no virus found
Panda 9.0.0.4 05.05.2006 Suspicious file
Sophos 4.05.0 05.05.2006 Troj/Hacdef-J
Symantec 8.0 05.05.2006 no virus found
TheHacker 5.9.7.139 05.05.2006 no virus found
UNA 1.83 05.04.2006 no virus found
VBA32 3.11.0 05.04.2006 Backdoor.Win32.HacDef.q


Aditional Information
File size: 14848 bytes
MD5: 5d53fef710202df07465c641eaf92760
SHA1: 52d22d21771de366a1e644af016cefe3368dd53d



STATUS: FINISHEDComplete scanning result of "up.exe", received in VirusTotal at 05.05.2006, 16:21:21 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 Heuristic/Crypted.Modified
Avast 4.6.695.0 05.05.2006 Win32:RsCrt
AVG 386 05.04.2006 BackDoor.RsCrt.A
Avira 6.34.1.58 05.05.2006 no virus found
BitDefender 7.2 05.05.2006 Backdoor.RsCrt.A
CAT-QuickHeal 8.00 05.05.2006 Backdoor.RsCrt
ClamAV devel-20060426 05.05.2006 Trojan.RSCrt.A
DrWeb 4.33 05.05.2006 Trojan.Uploader.1536
eTrust-InoculateIT 23.72.0 05.05.2006 no virus found
eTrust-Vet 12.4.2194 05.04.2006 no virus found
Ewido 3.5 05.05.2006 no virus found
Fortinet 2.71.0.0 05.04.2006 W32/Rscrt.A!tr.bdr
F-Prot 3.16c 05.05.2006 no virus found
Ikarus 0.2.65.0 05.05.2006 Backdoor.Win32.RsCrt
Kaspersky 4.0.2.24 05.05.2006 Backdoor.Win32.RsCrt.a
McAfee 4755 05.04.2006 Uploader-M
Microsoft 1.1372 05.05.2006 Backdoor:Win32/RsCrt
NOD32v2 1.1522 05.05.2006 Win32/RsCrt.A
Norman 5.90.17 05.05.2006 no virus found
Panda 9.0.0.4 05.05.2006 Bck/Rscrt.A
Sophos 4.05.0 05.05.2006 Troj/Rscrt-A
Symantec 8.0 05.05.2006 no virus found
TheHacker 5.9.7.139 05.05.2006 no virus found
UNA 1.83 05.04.2006 no virus found
VBA32 3.11.0 05.04.2006 no virus found


Aditional Information
File size: 1536 bytes
MD5: c92849417ef560a8c643dffd8d147b32
SHA1: d5bdd9793f33f6b24ae7bf394ddd9221bca387a3


STATUS: FINISHEDComplete scanning result of "scvohst2.exe", received in VirusTotal at 05.05.2006, 16:29:13 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Servu.DK
Avast 4.6.695.0 05.05.2006 no virus found
AVG 386 05.04.2006 no virus found
Avira 6.34.1.58 05.05.2006 TR/Servu.DK
BitDefender 7.2 05.05.2006 Trojan.Servu.DK
CAT-QuickHeal 8.00 05.05.2006 no virus found
ClamAV devel-20060426 05.05.2006 Trojan.Servu.1
DrWeb 4.33 05.05.2006 BackDoor.Servu.30
eTrust-InoculateIT 23.72.0 05.05.2006 Win32/ServUFTP!Trojan
eTrust-Vet 12.4.2194 05.04.2006 Win32/IRCFlood
Ewido 3.5 05.05.2006 no virus found
Fortinet 2.71.0.0 05.04.2006 W32/ServU.48F2-tr
F-Prot 3.16c 05.05.2006 no virus found
Ikarus 0.2.65.0 05.05.2006 no virus found
Kaspersky 4.0.2.24 05.05.2006 not-a-virus:Server-FTP.Win32.Serv-U.3017
McAfee 4755 05.04.2006 potentially unwanted program ServU-Daemon
Microsoft 1.1372 05.05.2006 no virus found
NOD32v2 1.1522 05.05.2006 a variant of Win32/ServU-Daemon
Norman 5.90.17 05.05.2006 no virus found
Panda 9.0.0.4 05.05.2006 Bck/ServU.EL
Sophos 4.05.0 05.05.2006 Troj/ServU-Gen
Symantec 8.0 05.05.2006 no virus found
TheHacker 5.9.7.139 05.05.2006 no virus found
UNA 1.83 05.04.2006 Backdoor.ServU
VBA32 3.11.0 05.05.2006 no virus found


Aditional Information
File size: 529920 bytes
MD5: 5f393faefccfefd2b4bd4865b5ee53c7
SHA1: 2fad7d944d1ca86722d2b9d7135efdeba194f7e6

Hallo aspaul,
das hier :http://www.sophos.de/virusinfo/analy...vugen.html-ist die Erklärung für den hier :Troj/ServU-Gen
damit wäre ich schon "satt" ! Google doch mal nach den anderen angezeigten Schädlingen....
..oder setze gleich neu auf.
Irrlicht

Das Googeln kann man sich da getrost sparen und gleich zum Neuaufsetzen gehen.

Ich glaube auch, das ich mir nach den Beschreibungen, weiteres umfangreiches Suchen sparen kann und besser gleich neu aufsetze. Auch wenn es schwer fällt. Man sollte es ja sowieso tun.

Trotzdem vielen Dank für die Hinweise und schnelle Hilfe.