Hallo,
nachdem ich jahrelang sauber geblieben bin, habe ich heute mit dem Spywarescanner von Zonealarm eine Adware gefunden die "Koowoo" hieß!
Keine Ahnung was das ist (google nichts gebracht), hab sie in Quarantäne.
Dann wurde ich mißtrauig und ließ Pestpatrol laufen. Das hat ein pest namens "PC Mighty Max v9" (auch keine Ahnung) gefunden. Auch gelöscht.

Ein bekannter empfahl mir highjackthis und dieses Forum. Es wäre toll wenn ihr mal auf den Logfile schauen könntet. Hoffe das ist alles was ihr braucht. Wenn was fehlt bitte bescheid sagen!
Vielen Dank!

Logfile of HijackThis v1.99.1
Scan saved at 17:58:09, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.123.254
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094594868359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E9ECE7-39DC-42B4-8E86-43745E3D3BD4}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{40E9ECE7-39DC-42B4-8E86-43745E3D3BD4}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo, ich kann in deinem log nichts Auffälliges finden, d.h. aber nicht, dass die Kiste sauber ist. Prüfe bitte dein System mit Blacklight und mache einen Online-scan bei ewido (IE notw.). Poste bitte beide logs.

Wenn du den Fund von Zonealarm noch in der Qurantäne hast, werte die Datei bei virustotal.com aus und poste ebenfalls das vollständige log, incl. Dateigröße. Gruß

Ok, bin dabei!
Kannst du mir sagen, wo ich die Files finde, die ZoneAlarm in
die Quarantäne genommen hat? Im Hauptordner von ZA entdecke ich nichts!

Danke schonmal!

Zitat:

Zitat von yogi25

Kannst du mir sagen, wo ich die Files finde, die ZoneAlarm in
die Quarantäne genommen hat?

Nee, sorry, ich nutze Zonealarm nicht, aber google weiß es bestimmt

So, jetzt hab ich es!
Den QuarantäneOrdner von ZA hab ich leider nicht gefunden. Irgendjemand in einem Forum war auch auf der Suche, hat verkündet er hätte ihn gefunden und sich dann nicht mehr gemeldet und nicht gesagt, wo er ist!
Man kann es aber auch von ZA untersuchen lassen. Da steht dann das:



This program enables a remote user to control your computer. It runs in the background and opens a back door on your computer. The back door allows an unauthorized remote user to connect to and access your computer, circumventing your computer's security. When you connect to the internet, this program notifies the remote user that your computer is vulnerable. This program may also have built-in tools used to manage your files, run executables on your computer, control your mouse and CD tray, screens, and retrieve passwords, keystroke, and screen shots.


How dangerous is it?


Privacy

This program enables a remote user access to your entire computer and everything on it.

Security

This program is a major security threat. The program includes server software that allows a remote user to connect to your computer and have complete access and control over it.




Ewido spuckt dies aus:
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Adnet
Path: C:\Dokumente und Einstellungen\****\Cookies\****@ad.adnet[1].txt
Risk: Medium

Name: TrackingCookie.Goclick
Path: C:\Dokumente und Einstellungen\****\Cookies\****@c.goclick[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\***\Cookies\****@falkag[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\****\Cookies\****@ivwbox[2].txt
Risk: Medium

Name: Backdoor.Virkel.A
Path: C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
Risk: High

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Games\Hearts of Iron2\no_time_limit_11.exe
Risk: Low

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Games Zubehör\Hearts of Iron 2\endlos.zip/no_time_limit_11.exe
Risk: Low

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Games Zubehör\Hearts of Iron 2\no_time_limit_11.exe
Risk: Low


Und Blacklight das (hoffe das ist das richtige):

11/01/06 19:29:39 [Info]: BlackLight Engine 1.0.47 initialized
11/01/06 19:29:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/01/06 19:29:40 [Note]: 7019 4
11/01/06 19:29:40 [Note]: 7005 0
11/01/06 19:29:46 [Note]: 7006 0
11/01/06 19:29:46 [Note]: 7011 1788
11/01/06 19:29:47 [Note]: 7026 0
11/01/06 19:29:47 [Note]: 7026 0
11/01/06 19:29:50 [Note]: FSRAW library version 1.7.1020
11/01/06 19:38:06 [Note]: 2000 1012
11/01/06 19:38:06 [Note]: 2000 1012
11/01/06 19:43:46 [Note]: 7007 0

Kann gut sein, dass es sich bei "Koowo" als auch hierbei

Zitat:

Name: Backdoor.Virkel.A
Path: C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
Risk: High

um zwei false-positives handelt. Ich vermute, beide Meldungen stehen im Zusammenhang mit dem zweifelhaften live-streamclient von Synacast. (recht seltsame Website von Synacast, noch seltsamer die vom Typen, der den "evid4226patch" gebastelt hat )

Deine erste Bürgerpflicht: Überprüfe
C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
bei virustotal.com und poste das vollständige log. Ich hoffe, die Datei ist noch vorhanden, sonst wird es schwierig.

Deine zweite Bürgerpflicht:
- Stelle über die Quarantäne den malwarefund "Koowo" wieder her. Ja, du hast richtig gelesen.
- Suche danach im Pfad c:\windows\Internet Logs nach ZALog.txt. Durchsuche das log nach "Koowo" und kopiere die entsprechenden Abschnitte (das log unterteilt in Ereignisabschnitte, bei Antispy beginnend mit "ASW"...) der Übersicht halber in ein neues Textdokument. Die ZAlog-Einträge bei "Koowo" beinhalten Registryschlüssel und ggf. Dateien.
- Suche die angegebenen Dateien und prüfe sie ebenfalls bei virustotal.com. Da vermutlich ausschließlich Registryeinträge aufgeführt sind, suche die angegebenen Schlüssel in der Registry (Start -Ausführen - Regedit) und dort die entsprechenden Pfadangaben zu den Dateien. Prüfe die Dateien bei virustotal und poste das vollständige jeder Überprüfung!

Gruß