Hallo,

ich habe (immernoch) das Problem, dass meine ActiveX-Sicherheitszoneneinstellung fürs Internet (und damit gleichzeitig für meine Ordner bei WinME) auf unendlich ist, und ich deswegen nichts mehr öffnen kann.

Nun habe ich es geschafft, zwei verschiedene Virenscanner (AntiVir und MWAV) durchlaufen zu lassen, aber keiner hat irgendeinen offensichtlichen Virus gefunden. Kann jemand hier dennoch einen Blick auf mein MWAV-Log werfen, falls euch einfällt, was es sein könnte? Es wurden nur Errors angezeigt, also habe ich nur die kopiert.

Ansonsten hänge ich noch das HiJack This Log an, je einmal während des abgesicherten Modus und während des "normalen" Betriebes. Sie unterscheiden sich aber nur in den laufenden Prozessen.

Übrigens sind die Viren-Definitionen etwas veraltet, aber ich kann nicht ins Internet mit dem Ding und zum einzeln herunterladen habe ich sie nicht gefunden und die aktuellen vom Internetcomputer-Temp-Ordner in den Temp-Ordner vom kaputten Computer zu kopieren hat auch nicht funktioniert...

Vielen Dank,
Johannes.


Wed May 17 20:37:23 2006 => **********************************************************
Wed May 17 20:37:23 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Wed May 17 20:37:23 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Wed May 17 20:37:23 2006 => **********************************************************
Wed May 17 20:37:23 2006 => Source: C:\***'\MWAV.EXE
Wed May 17 20:37:23 2006 => Version 8.2.8 (C:\WINDOWS\TEMP\MEXE.COM)
Wed May 17 20:37:23 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG
Wed May 17 20:37:23 2006 => MWAV Registered: FALSE.
Wed May 17 20:37:23 2006 => OS Type: Windows Workstation
Wed May 17 20:37:23 2006 => OS: Windows ME
Wed May 17 20:37:23 2006 => Ver: Version 4.90 (Build 3000)
Wed May 17 20:37:23 2006 => Windows Root Folder: C:\WINDOWS
Wed May 17 20:37:23 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM
Wed May 17 20:37:23 2006 => Local Fixed Drives: c:\
Wed May 17 20:37:23 2006 => MWAV Mode: Only Scan files.
Wed May 17 20:37:23 2006 => Latest Date of files inside MWAV: 12 May 2006 08:34:55.
Wed May 17 20:37:29 2006 => AV Library Loaded...
Wed May 17 20:37:29 2006 => MWAV doing self scanning...
Wed May 17 20:37:29 2006 => Scanning File C:\WINDOWS\TEMP\kavss.exe
Wed May 17 20:37:29 2006 => Scanning File C:\WINDOWS\TEMP\Getvlist.exe
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavss.dll
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavssdi.dll
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavssi.dll
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\kavvlg.dll
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\msvlclnt.dll
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\ipc.dll
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\main.avi
Wed May 17 20:37:30 2006 => Scanning File C:\WINDOWS\TEMP\virus.avi
Wed May 17 20:37:30 2006 => MWAV files are clean.
Wed May 17 20:37:42 2006 => Virus Database Date: 5/12/2006
Wed May 17 20:37:42 2006 => Virus Database Count: 193177
Wed May 17 20:37:50 2006 => Downloading AntiVirus and Anti-Spyware Databases...
Wed May 17 20:37:51 2006 => Downloads Not Successful!
Wed May 17 20:38:55 2006 => Downloading AntiVirus and Anti-Spyware Databases...
Wed May 17 20:38:56 2006 => Downloads Not Successful!
Wed May 17 20:39:00 2006 => AV Library Unloaded (3)...
Wed May 17 20:39:13 2006 => **********************************************************
Wed May 17 20:39:13 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Wed May 17 20:39:13 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Wed May 17 20:39:13 2006 => **********************************************************
Wed May 17 20:39:13 2006 => Source: C:\***'\MWAV.EXE
Wed May 17 20:39:13 2006 => Version 8.2.8 (C:\WINDOWS\TEMP\MEXE.COM)
Wed May 17 20:39:13 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG
Wed May 17 20:39:13 2006 => MWAV Registered: FALSE.
Wed May 17 20:39:13 2006 => OS Type: Windows Workstation
Wed May 17 20:39:13 2006 => OS: Windows ME
Wed May 17 20:39:13 2006 => Ver: Version 4.90 (Build 3000)
Wed May 17 20:39:13 2006 => Windows Root Folder: C:\WINDOWS
Wed May 17 20:39:13 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM
Wed May 17 20:39:13 2006 => Local Fixed Drives: c:\
Wed May 17 20:39:13 2006 => MWAV Mode: Only Scan files.
Wed May 17 20:39:13 2006 => Latest Date of files inside MWAV: 12 May 2006 08:34:55.
Wed May 17 20:39:17 2006 => AV Library Loaded...
Wed May 17 20:39:17 2006 => MWAV doing self scanning...
Wed May 17 20:39:17 2006 => Scanning File C:\WINDOWS\TEMP\kavss.exe
Wed May 17 20:39:17 2006 => Scanning File C:\WINDOWS\TEMP\Getvlist.exe
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavss.dll
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavssdi.dll
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavssi.dll
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\kavvlg.dll
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\msvlclnt.dll
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\ipc.dll
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\main.avi
Wed May 17 20:39:18 2006 => Scanning File C:\WINDOWS\TEMP\virus.avi
Wed May 17 20:39:18 2006 => MWAV files are clean.
Wed May 17 20:39:18 2006 => Virus Database Date: 5/12/2006
Wed May 17 20:39:18 2006 => Virus Database Count: 193177

Wed May 17 20:45:23 2006 => **********************************************************
Wed May 17 20:45:23 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Wed May 17 20:45:23 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Wed May 17 20:45:23 2006 =>
Wed May 17 20:45:23 2006 => Support: support@mwti.net
Wed May 17 20:45:23 2006 => Web: http://www.mwti.net
Wed May 17 20:45:23 2006 => **********************************************************
Wed May 17 20:45:23 2006 => Version 8.2.8 (C:\WINDOWS\TEMP\MEXE.COM)
Wed May 17 20:45:23 2006 => Log File: C:\WINDOWS\TEMP\MWAV.LOG
Wed May 17 20:45:23 2006 => Windows Root Folder: C:\WINDOWS
Wed May 17 20:45:23 2006 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM
Wed May 17 20:45:23 2006 => OS: Windows ME
Wed May 17 20:45:23 2006 => Ver: Version 4.90 (Build 3000)
Wed May 17 20:45:24 2006 => Latest Date of files inside MWAV: 12 May 2006 08:34:55.

Wed May 17 20:45:24 2006 => Options Selected by User:
Wed May 17 20:45:24 2006 => Memory Check: Enabled
Wed May 17 20:45:24 2006 => Registry Check: Enabled
Wed May 17 20:45:24 2006 => StartUp Folder Check: Enabled
Wed May 17 20:45:24 2006 => System Folder Check: Enabled
Wed May 17 20:45:24 2006 => System Area Check: Disabled
Wed May 17 20:45:24 2006 => Services Check: Enabled
Wed May 17 20:45:24 2006 => Drive Check: Disabled
Wed May 17 20:45:24 2006 => All Drive Check :Enabled
Wed May 17 20:45:24 2006 => Folder Check: Disabled

Wed May 17 20:46:29 2006 => ***** Scanning Registry Files *****

Wed May 17 20:46:29 2006 => Scanning

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Wed May 17 20:46:29 2006 => ERROR!!! Invalid Entry WebCheck = C:\WINDOWS\SYSTEM\SHIMGAPI.DLL

(in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). No Action Taken.
Wed May 17 20:46:31 2006 => ERROR!!! Invalid Entry {E6FB5E20-DE35-11CF-9C87-00AA005127ED} =

C:\WINDOWS\SYSTEM\SHIMGAPI.DLL (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

Wed May 17 20:46:36 2006 => ***** Scanning StartUp Folders *****
Wed May 17 20:46:36 2006 => ERROR!!! Unable to Read User StartUp Folder...Reason Der Schlüssel der Konfigurationsregistrierung ist ungültig. (0x3f2)

Wed May 17 20:46:37 2006 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in SYSTEM\CurrentControlSet\Services\ATMARPC...
Wed May 17 21:54:25 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean1.zip is Not Scanned
Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean1.zip is Not Scanned
Wed May 17 21:54:26 2006 => C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean1.zip not Scanned. Possibly password protected...
Wed May 17 21:54:26 2006 => Scanning File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip
Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip is Not Scanned
Wed May 17 21:54:26 2006 => C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip not Scanned. Possibly password protected...
Wed May 17 21:54:26 2006 => Scanning File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BackOrificeB.zip
Wed May 17 21:54:26 2006 => Result: ERROR!!! File C:\WINDOWS\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BackOrificeB.zip is Not Scanned

Thu May 18 21:09:06 2006 => ***** Scanning Registry Files *****

Thu May 18 21:09:06 2006 => Scanning

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Thu May 18 21:09:06 2006 => ERROR!!! Invalid Entry WebCheck = C:\WINDOWS\SYSTEM\SHIMGAPI.DLL

(in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). No Action Taken.
Thu May 18 21:09:08 2006 => ERROR!!! Invalid Entry {E6FB5E20-DE35-11CF-9C87-00AA005127ED} =

C:\WINDOWS\SYSTEM\SHIMGAPI.DLL (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

Thu May 18 21:09:15 2006 => ***** Scanning StartUp Folders *****
Thu May 18 21:09:15 2006 => ERROR!!! Unable to Read User StartUp Folder...Reason Der Schlüssel der Konfigurationsregistrierung ist ungültig. (0x3f2)

Thu May 18 21:09:15 2006 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in

SYSTEM\CurrentControlSet\Services\ATMARPC...

Thu May 18 22:37:57 2006 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned

Thu May 18 23:01:24 2006 => ***** Scanning complete. *****

Thu May 18 23:01:24 2006 => Total Objects Scanned: 109814
Thu May 18 23:01:24 2006 => Total Critical Objects: 0
Thu May 18 23:01:24 2006 => Total Disinfected Objects: 0
Thu May 18 23:01:24 2006 => Total Objects Renamed: 0
Thu May 18 23:01:24 2006 => Total Deleted Objects: 0
Thu May 18 23:01:24 2006 => Total Errors: 5
Thu May 18 23:01:24 2006 => Time Elapsed: 01:47:29
Thu May 18 23:01:24 2006 => Virus Database Date: 5/12/2006
Thu May 18 23:01:24 2006 => Virus Database Count: 193177

Thu May 18 23:01:24 2006 => Scan Completed.

Thu May 18 23:05:04 2006 => Virus Database Date: 5/12/2006
Thu May 18 23:05:04 2006 => Virus Database Count: 193177
Thu May 18 23:05:10 2006 => AV Library Unloaded (3)...

Hallo JWCompany,

wechsel in den abgesicherten Modus und fixe (Scan mit HJT, Häkchen vor Eintrag und auf fix checked klicken):

Alle "015"-Einträge.

Zu Escan: Du solltest Die Anleitung nochmals genau durchlesen (Ordner "C:\basis_x" erstellen, die "MWAV.EXE" dortin entpacken etc.). In einem Temp-Ordner hat "Escan" nichts verloren.

dartus

Hallo Dartus,

danke für deine schnelle Antwort. Ich habe gerade den Computer im abgesicherten Modus gestartet, aber jedes Mal, wenn ich diese Einträge gelöscht habe und dannach wieder auf scan klicke, sind sie wieder da! Und gleichzeitig bei Backups (mittlerweile schon vier Mal die gleichen). Aber ich denke du hast Recht, mein Problem wird mit diesem 015 Einträgen zu tun haben. Nur wie kann ich sie löschen, ohne dass sie gleich wiederkommen?

Danke,
Johannes.

Um das noch nachzureichen: Ich habe auf deinen Hinweis hin MWAV nach allen Regeln neu installiert und auch die Virendefinitionen aktualisiert. Aber das Resultat ist das gleiche, 4 mal ERROR!!! aber keine Virenfunde... Ich habe die Log-Datei angehängt, falls jemand weiß, was mir das Leben schwer macht.

Außerdem habe ich versuchsweise den Spybot Search & Destroy Tea Timer aktiviert. Ich dachte mir, der würde Änderungen der Registry immer von mir bestätigen lassen. Wenn ich mit HJT einen beliebigen Eintrag (es war der 016 mit dem cartesianinc.com, das kam mir Spanisch vor) fixen wollte, hat er sich auch brav gemeldet, ob ich das tun möchte. Allerdings hat er sich beim fixen der 015 Einträge nicht gemeldet! Und natürlich waren sie beim erneuten Scan wieder da. Kann es sein, diese Registryeinträge werden noch nicht einmal von HJT erreicht, sondern der Löschversuch schon vorher irgendwie abgeblockt?

Danke,
Johannes.

Lass mal folgende Datein bei Virustotal auswerten:
C:\WINDOWS\SYSTEM\SHIMGAPI.DLL
c:\windows\System\atmarpc.sys

und poste danach das Ergebnis...

Gruß
Daniel

Hallo Daniel,

danke auch dir für deine Hilfe. Weder ich mit dem Explorer, noch WinRar mit "Dateien zum Archiv hinzufügen" können diese Dateien auf der Festplatte finden. Auch nicht, wenn ich mit Knoppix Live-Linux mir den Ordner ansehe. Weißt du, wie ich diese Dateien dennoch kopieren könnte (mangels funktionierender Internetverbindung an dem Computer)?

Abgesehen davon, unter SHIMGAPI.DLL gibt Google "mydoom" aus. Sollte ich einfach mal ein Removal-Tool ausprobieren, oder wird es nur noch schlimmer wenn ich nicht weiß, was ich tue?

Danke,
Johannes.

Zitat:

Zitat von JWCompany

Abgesehen davon, unter SHIMGAPI.DLL gibt Google "mydoom" aus. Sollte ich einfach mal ein Removal-Tool ausprobieren, oder wird es nur noch schlimmer wenn ich nicht weiß, was ich tue?

Warte erstmal mit dem removal tool, suche mal die Datei "SHIMGAPI.DLL" nach dieser Anleitung: http://www.trojaner-board.de/59624-a...-sichtbar.html und lade sie dann bei Virustotal hoch..
(wenn du sie gefunden hast, benenne sie um und kopiere sie in ein Verzeichnis deines Vertrauens , damit du sie bei Virustotal auch finden kannst!

Den "mydoom" Wurm hatte ich nämlich dabei auch schon im Sinn

Gruß
Daniel

Das kann ich leider nicht. Bei den Extras > Ordneroptionen > Ansicht ist alles leer, ich kann keine Einstellungen ändern, und zurücksetzen auch nicht.

Es gibt doch hier ein Programm was hin und wieder empfohlen wird, wenn eine Datei als infiziert ausgegeben wurde, aber wenn man sie irgendwie löschen will bekommt man immer die Meldung, dass es diese Datei gar nicht gibt. Kann man nicht dieses Programm (welches?) dazu benutzen, die Dateien trotz allem auf Diskette zu kopieren? Oder kennst du einen Trick, um Systemdateien und versteckte Dateien irgendwie trotzdem anzuzeigen?

Johannes.

Da die Datei SHIMGAPI.DLL "offensichtlich" mit dem "mydoom" Wurm in Verbindung steht, würde ich an dieser Stelle das Removal-Tool zum Einsatz bringen! Kaputt machen kannst du damit auch nicht viel...melde dich bitte nochmal was dabei herausgekommen ist!

Viel Glück

Ich hatte vorhin mal den Stinger http://vil.nai.com/vil/stinger/ von McAffee und das Removal-Tool http://www.symantec.com/avcenter/ven...oval.tool.html von Symantec suchen lassen, aber beides mal kein Fund. Aber ich habe entdeckt, dass ich vor einem halben Jahr mal mit HJT einen taskmon.exe-Eintrag gefixt hatte, und der steht doch auch in Verbindung mit mydoom oder?

Ich bin verwirrt. Wie kriege ich nur diese Datei auf Diskette...

Johannes.

Versuche mal bitte diesen Link: hier
sollte das tool nichts finden, erstell bitte einen kompletten Hijacklog hiers ins Forum bzw. arbeite das hier ab (nur die letzten 3 Monate kopieren!)

Aber erst das tool laufen lassen und dann den Rest...

Gruß

Danke nocheinmal für deine Mühe und Hilfe, Daniel.

Ich habe die datfind.bat ausgeführt, dann CleanUp wie da angegeben ausgeführt, neugestartet und dann echo.zip ausgeführt. Schließlich nocheinmal Hijack This. Die Ergebnis-Logs sind im Anhang (von diesem und dem nächsten Post wegen der Beschränkung auf vier Anhänge).

Johannes.

Nun die Logs für Echo.bat (Windows\Downloaded Program Files) und Hijack This.

Das man sehen konnte ist i.O., installiere mal bitte noch folgendes Programm-->hier (Achtung!Direkt Download) und lass es einmal komplett dein System bereinigen..

Tretten denn jetzt noch irgendwie Probleme auf??

Ja, leider ist immernoch alles beim alten, die ActiveX-Einstellung ist immernoch auf unendlich... Kennst du Tools, mit denen ich die Ordneroptionen einstellen kann, ohne über die Windowsregisterkarte zu gehen ( Quickops http://www.wiesi.at/modules.php?name...download&cid=1 war das was ich gesucht habe, aber ich bräuchte das Net Framework, und weil ich nur mit Disketten arbeiten kann, ist das keine Lösung)?

Johannes.