Hallo. Ich bin wieder am verzweifeln. Mein escan log:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 12:20:37 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Feb 23 13:14:35 2006 => Total Disinfected Objects: 0
Fri Jul 21 23:34:16 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Fri Jul 21 23:34:17 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Fri Jul 21 23:34:21 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Sat Jul 22 00:23:00 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jul 21 23:34:21 2006 => Offending file found: C:\Dokumente und Einstellungen\wpuser\Lokale Einstellungen\temp\outlook logging\firstrun.log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 13:14:35 2006 => Total Objects Scanned: 32792
Sat Jul 22 00:23:00 2006 => Total Objects Scanned: 49341
Thu Feb 23 13:14:35 2006 => Total Critical Objects: 1
Thu Feb 23 13:14:35 2006 => Total Disinfected Objects: 0
Thu Feb 23 13:14:35 2006 => Total Deleted Objects: 0
Sat Jul 22 00:23:00 2006 => Total Critical Objects: 3
Sat Jul 22 00:23:00 2006 => Total Disinfected Objects: 0
Sat Jul 22 00:23:00 2006 => Total Deleted Objects: 0
Thu Feb 23 13:14:35 2006 => Total Errors: 4
Sat Jul 22 00:23:00 2006 => Total Errors: 6
Thu Feb 23 13:14:35 2006 => Time Elapsed: 00:54:47
Sat Jul 22 00:23:00 2006 => Time Elapsed: 00:49:52
Thu Feb 23 12:18:50 2006 => Virus Database Date: 2/3/2006
Thu Feb 23 13:14:35 2006 => Virus Database Date: 2/3/2006
Thu Feb 23 13:15:11 2006 => Virus Database Date: 2/3/2006
Fri Jul 21 23:24:57 2006 => Virus Database Date: 2/3/2006
Fri Jul 21 23:31:36 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 00:23:00 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 00:26:06 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Was ist da faul bitte. Ich bitte euch um hilfe.
Danke Gruss

@ana7,

erstell mal zusätzlich noch ein Hijacklog, Anleitung in meiner Signatur verlinkt...
Sollte sich aber heraussstellen das dieser hier ->Troj/Taladra-F in deinem System aktiv ist/war, wird dir nur der Weg der Neuinstallation weiterhelfen ....

Gruß
Daniel

Nach dem ich temp files gelöscht habe habe ich keine probleme, eintragungen zum clientman. Ich sende nochmals neue Logfiles:
ESCAN
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jul 22 20:37:56 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Sat Jul 22 20:37:56 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Sat Jul 22 21:26:00 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jul 22 21:26:00 2006 => Total Objects Scanned: 48851
Sat Jul 22 21:26:00 2006 => Total Critical Objects: 2
Sat Jul 22 21:26:00 2006 => Total Disinfected Objects: 0
Sat Jul 22 21:26:00 2006 => Total Deleted Objects: 0
Sat Jul 22 21:26:00 2006 => Total Errors: 6
Sat Jul 22 21:26:00 2006 => Time Elapsed: 00:49:05
Sat Jul 22 20:34:44 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 21:26:00 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 21:26:51 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 21:27:12 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 21:36:24, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AccessManager\PMAC\sp_SWIns.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Quicken 2006 Zahlungserinnerung.lnk = C:\Programme\Quicken2006\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Access Manager Configuration Service (AMBroker) - MCI, Inc. - C:\Programme\AccessManager\Client\AMBroker.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Visual Insight DA Plugin (DAPlugin) - MCI, Inc. - C:\Programme\AccessManager\Client\DAPlugin.exe
O23 - Service: FinePrint Dispatcher v5 - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /service (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: pdfFactory Pro Dispatcher v2 - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SP Software Installer - Smartpipes, Inc. - C:\Programme\AccessManager\PMAC\sp_SWIns.exe
O23 - Service: Visual Insight Dial Analysis (sp_spi_da) - Smartpipes, Inc. - C:\Programme\AccessManager\SMOC\spi_da.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Ich bitte Euch nochmals um Hilfe. Danke Gruss

Hat denn dein eigentlicher Virenscanner auch eine Warnung ausgegeben?
Leider steht in dem Report von eScan nicht wo der Trojaner sich versteckt..


Lass dein System mal online scannen --> Trendmicro Housecall
Poste danach die Auswertung.

Zusätzlich kannst du auch mal einen Scan mit F-Secure Blacklight durchführen. Und ebenfalls das Ergebnis posten..

Gruß
Daniel

Hallo Daniel, erstmal vielen dank.

Zitat:

Hat denn dein eigentlicher Virenscanner auch eine Warnung ausgegeben?

nein (ich benutze NOD32 von Eset)
TrendMicro Auswertung:
1 Infektion
ADWARE_ABETTERINTERNET
Alias Namen: Adware-abetterintrn (McAfee);
not-a-virus:AdWare.Win32.BetterInternet.az (Kaspersky)
Allgemeine Risikoeinstufung Niedrig
Platform: Keine Angabe
Erste Exemplare erhalten am: Keine Angabe
"Allgemeine Informationen zu diesem Gray-/Spyware-Typ"
This adware, when executed, displays an End-User License Agreement (EULA)
containing information meant to deceive the user. Oftentimes, if does not display a EULA.
It also generates pop-up advertisements.
Infektion durch Gray-bzw.Spyware
Sonst wurden "HTTP-Cookies" 1 Gefundene
Sonst Gefundene ein paar Sicherheitslücken

Ich sehe hier keine hinweise auf die taladra-f

Dein angegebene link auf "F-Secure Blacklight" scheint nicht zu funktionieren.

Zitat:

Zitat von ana7

Dein angegebene link auf "F-Secure Blacklight" scheint nicht zu funktionieren.

Sorry, hab da wohl ein bisschen was vertauscht! Hier nochmal neu: ->F-Secure Blacklight

Dann solltest du dein System zusätzlich noch mit folgenden Tools scannen:

1.) Ad-Aware

2.) Spybot S&D, hierbei hast du die Möglichkeit dein System noch zu "immunisieren" tu dies bitte nach dem Scan..

Poste anschliessend das Ergebnis von F-Secure..

Gruß
Daniel

F-secure.... sagt:
"No hidden items found"

Spybot sagt:
Problem
"Microsoft.WindowsSecurityCenter_disabled"
Einstellungen
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2" Regiestrierungsdatenbank-Änderung

Was bedeutet dies? Soll ich jetzt Markierte Problem beheben, oder nicht?
Dank und Gruss

Hast Du den Teatimer von Spybot mitinstalliert?
Wenn ja, deaktiviere ihn im Programm.

Hallo ana7,

das bedeutet, dass Dein "WindowsSecurity-Center" ausgeschaltet ist.
Mehr dazu --> HIER

dartus

Hi felix1

@dartus vielen dank
@felix auch danke

Zitat:

Hast Du den Teatimer von Spybot mitinstalliert?
Wenn ja, deaktiviere ihn im Programm.

Ja mitinstaliert und so eben deaktiviert. Was kann ich nun tun?
Wie krige ich bitte die "taladra-f" weg?

Ich habe so eben in der registrierung nach "({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})" suchen lassen und bin zu 2 funden gekommen:

HKEY_CLASSES_ROOT
CLSID\{e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c}

HKEY_CLASSES_ROOT
NTService.Control.1\CLSID
default {e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c}

Kann ich nun die beiden dateien in der regiestrierung löschen, oder bin ich auf dem holzweg? danke

Ad-ware und S&D updaten und nochmals laufen lassen.
Lade RegSeeker Installieren und starten. Prüfen lassen.
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!

Hi Dartus

@felix @dartus vielen dank.
Ad-ware: nix gefunden

Spybot sagt wie gehabt:
Problem
"Microsoft.WindowsSecurityCenter_disabled"
Einstellungen
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\wscsvc\Start!=W=2" Regiestrierungsdatenbank-Änderung
Ich wurde gefragt ob Markierte Problem beheben? Dies habe ich nicht durchgeführt

RegSeeker Installieren und starten. Prüfen lassen.
Habe ich gemacht
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Erledigt.
NACH DEM ESCAN "troj/taladra-f" WEITERHIN VORHANDEN

Ich habe mir jetzt den Thread nochmals komplett durchgelesen. Leider komme ich zu einem für Dich unbefriedigendem Ergebnis:
http://www.sophos.de/security/analys...jtaladraf.html
http://www.pc-magazin.de/internet/cm...os.php?id=1920

Es bedeutet:
http://www.trojaner-board.de/showthread.php?t=12154