Hallo zusammen!

Ich hab zwar keine Ahnung ob ich wirklich hier richtig (wenn nicht, dann verschieb es bitte jemand), aber zumindest geht meine Vermutung dahin, dass es sich um einen Trojaner oder ähnliches handeln könnte.
Also, auf dem PC meiner Eltern spielen sich in letzter Zeit recht merkwürdige Dinge ab..

Auf dem Rechner ist Windows 2000 installiert und da ist es ja normal das hin und wieder, wie ich jetzt gelesen habe ungefähr einmal im Monat, ein Sicherheitsupdate kommt. Die ganze Zeit war das auch so und wir haben diese Updates immer schön brav installiert. Seit neuestem kommen diese Update aber andauernd gerade in der letzten Stunde ungefähr 5-6 Stück, was aber sicher doch nicht normal ist, oder?
Wenn man dann auf installieren klickt macht er irgendwas und behauptet er sei fertig. Wenige Minuten später will er dann das nächste installieren. Eine Endlosschleife...
Aufgefallen ist mir jetzt das jedesmal wenn er ein solches Update installiert ein neuer Ordner auf einer Partition erscheint die für Spiele u.ä. genutzt wird. Nicht auf der Partition auf der das System liegt. In diesem Ordner ist dann ne Textdatei mit irgendeinem ellenlangen Protokoll auf Englisch mit dem ich nichts anfangen. Irgendein Zugriff wird da dokumentiert so wie es mir scheint. Der ganze Prozess dauert so im Schnitt drei Sekunden.
Merkwürdig ist auch die Bezeichnung der Ordner, z.B.: 18a5b937bab5192bf7 oder 12f6c7d74ac360ae91e0dc.
Aufgefallen ist mir noch das diese angeblichen Sicheheitsupdates offenbar für das SP2 sind, obwohl SP4 installiert ist.

Einen Virencheck habe ich gemacht, der allerdings nur einen wohl "harmlosen" Virus entdeckt und eliminiert hat. Das Problem bestand weiterhin.

Als nächstes habe ich dann einen Check nach Trojanern und sonstiger Malware gemacht, der auch prompt 776 Treffer gelandet hat. Diese Treffer habe ich einfach mal in Quarantäne geschickt, da ich mit den meisten Sachen nichts anfangen konnte und ich Bedenken hatte irgendetwas zu zerstören was vielleicht noch gebraucht wird. Nützt diese Quarantäne denn irgendwas, denn geändert an dem Problem hat sich nichts?

Kann damit irgendwer was anfangen und mir erklären was das sein soll?

Vielen Dank für jede Hilfe, bin ziemlich ratlos.

Gruß

Edith: Der Virencheck wurde mit Antivir gemacht und der zweite Check nach Trojaner hiermit: a-squared Free 2.0

Hat hier niemand mal zumindest ne Idee? Bin auch für Mutmaßungen offen und wenn noch irgendwelche Infos gebraucht werden, nur fragen...

Hallo,

also als erstes solltest du uns mal sagen, was für ein "harmloser" Virus gefunden wurde.....wenn möglich mit Pfadangabe usw.

Dann wäre ein Hijacktis LOG nicht verkehrt...alles dazu in meiner SIG!

Mal sehen ob man daraus was sieht...dann sehen wir weiter!


Gruß Mellosun

Hi und danke für deine Reaktion!

Zunächst das Ergebnis des Virenscans: Antivir hat unter dem folgenden Pfad (C:\WINNT\systems32\ezPobStub.exe) etwas erkannt was er als verdächtigen Code mit der Bezeichnung HEUR/Malware bezeichnet hat. Die entsprechende Datei konnte nicht gelöscht werden, weshalb Antivir sie unter Quaratäne gesetzt hat.

Das HiJackThisLog sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 12:19:39, on 06.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINNT\system32\P2P Networking\P2P Networking.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\PROGRA~1\WINZIP\wzqkpick.exe
E:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINNT\system32\replaceSearch.dll (file missing)
O2 - BHO: Cas Class - {B5F3970B-745E-46AC-B890-E08F69777D80} - C:\WINNT\system32\ca2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = E:\Programme\VR-Networld\vrtoolcheckorder.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing)
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich hoffe jemand hier kann was damit anfangen, denn ich kann es nicht wirklich. Wär also nett wenn jemand nen Blick draufwerfen könnte.

Danke schön und schöne Grüße

Also ich kenn mich mit Windows 2000 ja nicht sonderlich aus aber ich denke das mit dem merkwürdigen ordner sollte normal sein.
Zumindest ist das bei Windows XP ein bekanntes Phänomen.
Dazu ein Link:CHIP Online - Forum Homepage Questions (HPQ) - [HPQ] msxml4-KB927978-enu.log - 1
Ich habe zwei solche Ordner übrigens auf meine Daten Partition:
enthalten jeweils eine Datei die ungefähr so heißt:
msxml4-KB927978-enu.log

Ich würde mir über die Ordner keine Gedanken machen wenn es bei dir so ist wie bei mir und mich mehr auf den Trojaner konzentrieren.



Böse Einträge sollten sein:
C:\WINNT\system32\P2P Networking\P2P Networking.exe
Dazu wieder ein Link:
Symantec Security Response - Adware.P2PNetworking

Dein Antivirenprogramm hat außerdem schon ganze Arbeit geleistet. Es hat einiges an adware rausgehauen. Die verbleibenden Registryeinträge noch fixen. Sollte so ziemlich alles adware gewesen sein wo hinten (file missing) dransteht.
Des weiteren mal überprüfen ob die von Antivir gefundene Datei noch existiert und wenn ja diese bei Virustotal hochladen:

http://www.virustotal.com/en/indexf.html

Zitat:

Zitat von dani2112

Also ich kenn mich mit Windows 2000 ja nicht sonderlich aus aber ich denke das mit dem merkwürdigen ordner sollte normal sein.
Zumindest ist das bei Windows XP ein bekanntes Phänomen.
Dazu ein Link:CHIP Online - Forum Homepage Questions (HPQ) - [HPQ] msxml4-KB927978-enu.log - 1
Ich habe zwei solche Ordner übrigens auf meine Daten Partition:
enthalten jeweils eine Datei die ungefähr so heißt:
msxml4-KB927978-enu.log

Hab mir den Link mal angeschaut und werde das was dort vorgeschlagen wird mal probieren. Kann jetzt nicht an den PC. Ehrlich gesagt finde ich das schon ein starkes Stück das MS diese Ordner anlegt und das auch für normal befindet.

Zitat:

Zitat von dani2112

Böse Einträge sollten sein:
C:\WINNT\system32\P2P Networking\P2P Networking.exe
Dazu wieder ein Link:
Symantec Security Response - Adware.P2PNetworking

Dein Antivirenprogramm hat außerdem schon ganze Arbeit geleistet. Es hat einiges an adware rausgehauen. Die verbleibenden Registryeinträge noch fixen. Sollte so ziemlich alles adware gewesen sein wo hinten (file missing) dransteht.
Des weiteren mal überprüfen ob die von Antivir gefundene Datei noch existiert und wenn ja diese bei Virustotal hochladen:

VIRUSTOTAL - Free Online Virus and Malware Scan

Welchen Trojaner meinst du denn jetzt? Das was Antivir gefunden hat oder wie? Und was meinst du mit Registryeinträgen fixen? Bin ein ziemlicher Noob was die unteren Systemebenen angeht.
Kann ich diese Sachen einfach löschen und wie mache ich das? Ich beutze hin und wieder das Programm Tuneup Utilities, damit kann man die Registry bereinigen. Genügt das, oder muss ich da tiefer einsteigen?

Vielen Dank für die Hilfe.

Schönen Gruß

Hallole,

ja, daß mit TuneUp würde mich auch interessieren.
Schafft es das Programm tatsächlich, die Registry zu bereinigen, oder sollte man das wirklich manuell machen?

Gruß Wally

Ja du sollst auf der Seite die ich verlinkt hab die Datei die von Antivir als Virus erkannt wird hochladen. Außerdem hast du ja mit HijackThis dein Logfile erstellt. Nach einem Scan öffnet sich ja ein kleines Fenster in dem du böse Einträge ankreuzen kannst. dann muss es noch einen Button geben der Fix Checked Heißt also machst du noch mal einen check mit HJT und kreuzt alles böse an und klickst auf fix checked. Und Tune Up säubert natürlich keine bösen Einträge es säubert z.B. nur den Autostart was das System eventuell schneller macht. Bitte natürlich das Ergebniss von Virustotal dann posten bzw. sagen ob es die Datei überhaupt noch gibt.

Zitat:

Zitat von WallyWood

Hallole,

ja, daß mit TuneUp würde mich auch interessieren.
Schafft es das Programm tatsächlich, die Registry zu bereinigen, oder sollte man das wirklich manuell machen?

Gruß Wally

Also TuneUP (kostenpflichtig!) ist meiner Meinung nach nicht nötig. Um die bekannten temp-Pfade von unnötigen Dateien zu befreien, reicht der CCleaner völlig aus. Wenn man mag kann man noch mit dem Programm RegCleaner seine Registry ausmisten lassen.

Hi!

Hab die Datei mal bei Virustotal hochgeladen:

Zitat:

Complete scanning result of "ezPopStub.exe", received in VirusTotal at 01.07.2007, 10:43:33 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.07.2007 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.06.2007 no virus found
BitDefender 7.2 01.07.2007 no virus found
CAT-QuickHeal 9.00 01.06.2007 no virus found
ClamAV devel-20060426 01.07.2007 no virus found
DrWeb 4.33 01.06.2007 no virus found
eSafe 7.0.14.0 01.07.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3307 01.06.2007 no virus found
Ewido 4.0 01.06.2007 no virus found
Fortinet 2.82.0.0 01.07.2007 no virus found
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.07.2007 no virus found
Kaspersky 4.0.2.24 01.07.2007 no virus found
McAfee 4933 01.05.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1960 01.06.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.06.2007 no virus found
Prevx1 V2 01.07.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.145 01.07.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.07.2007 no virus found
VirusBuster 4.3.19:9 01.06.2007 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Irgendwie komisch das jetzt auf einmal kein Fund mehr angezeigt wird. Hab die Datei jetzt trotzdem entfernt.

Das Problem mit den Updates scheine ich jetzt auch im Griff zu haben, der Lösungsvorschlag aus dem Link hat zumindest bis jetzt funktioniert.

Im Logfile von HijackThis habe ich neben den genannten (wo "file missing" dahinter steht) noch ein paar weitere Einträge gefunden die mit "no file" bezeichnet wurden. Kann ich die auch löschen bzw. sind das potentiell bedenkliche Sachen?

Allen danke schön für die Hilfe.

Schönen Gruß

Hi,
es wurde nichts gefunden, weil die Datei verhindert hat, dass sie ausgewertet wird. Wie du selbst sehen kannst ist die ausgewertete Dateo 0b groß, das heißt einfach leer.
Falls du die Datei nochmal auswerten lassen willst würde ich empfehlen sie vorher in zb. virus.exe umzubenennen.


Was dein Logfile angeht:
Die Einträge "no file" und "file missing" sind nicht von Bedeutung weil die Erkennung da nicht wirklich richtig funktioniert.
Was man allerdings aus deinem Log erkennen kann, ist dass du dir die searchbar eingefangen hast.
Also fängst du am besten damit an dir die killbox herunterzuladen,

Dann fixt du mit HJT folgende Einträge:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Search For It
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINNT\system32\replaceSearch.dll (file missing)
O2 - BHO: Cas Class - {B5F3970B-745E-46AC-B890-E08F69777D80} - C:\WINNT\system32\ca2.dll (file missing)O8 - Extra context menu item: &Search - My Search
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing)
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - h**p://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
─

Die letzen 3 Angaben nur fixen wenn sie dir unbekannt sind.
Anschließend bitte die beiden Dateien

Zitat:

C:\WINNT\system32\replaceSearch.dll C:\WINNT\system32\ca2.dll

mit killbox "delete on reboot" löschen.

Dann solltest du fertig sein.
Kennst du folgende Datei, bzw kannst mir sagen was sie tut?

Zitat:

O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe

@Dani
In die Falle bin ich heute auch schon getappt. (nur, dass ich gleich empfohlen hab neuaufzusetzen, weil p2pnetworking.exe ein Backdoortrojaner ist )


P2P networking/p2p networking.exe ist eine legitimie Windowsdatei

p2p networking/p2pnetworking.exe und p2pnetworking/p2pnetworking.exe sind dagegen Trojaner, meistens mit Backdoor.

DIe von dir verlinkte Adware erstellt folgende Dateien im bereits bestehenden Ordner p2p networking:

%System%\P2P Networking\Peer-to-peer networking.exe
%System%\P2P Networking\Marshal.dll
%System%\P2P Networking\P2P Networking.eng
%System%\P2P Networking v126.cpl
%System%\P2P Networking\Cache\*.*
%System%\P2P Networking\Cache\Database
%Windir%\Downloaded Program Files\WebP2PInstall.dll


Die p2p networking.exe ist da nicht dabei.

lg myrtille

Hi myrtille!

Die von dir angesprochene Datei kenne ich jetzt nicht, könnte mir aber vorstellen das die von einem Update des Firefox stammt, da ich den einmal über web.de upgedatet habe.

Diese andere Datei mit dem p2p networking, was bewirkt die denn? Habe sie nämlich bereits gelöscht und bis jetzt aber noch keine Auswirkungen festgestellt. Muss man die haben?

Was sind die beiden für die Dateien (C:\WINNT\system32\replaceSearch.dll C:\WINNT\system32\ca2.dll)? Handelt es sich hierbei um Trojaner oder wie?

Die Searchforit Toolbar war mir auch aufgefallen und wäre bei nächster Gelegenheit gelöscht worden. Woran erkenne ich denn an den Logfiles welche Dateien ich löschen kann weil sie problematisch sind? Würde das ganze ja doch gerne verstehen damit ich mir vielleicht irgendwann auch mal selbst helfen kann...

Danke schön und Gruß

Die beiden erwähnten Dateien gehören zu der Searchforit-Toolbar und sind sozusagen das was diese Toolbar am Leben hält. Durch ein simples Fixen dürftest du die nämlich nicht los werden.
Um die Bar loszuwerden einfach den Anweisungen aus meinem ersten Post befolgen, denk ich.

Was die p2p networking.exe Datei angeht: Sie ist nicht böse, allerdings auch nicht unbedingt notwendig.
Ich schaue so Sachen meist hier nach(die Datei zB unter Startup List). Mal abgesehen davon, dass man nach ner Weile nen Blick entwickelt. (Mein Tip ist übrigens, dass sie noch da ist. Ganz so leicht lassen sich solche Dateien meist nicht löschen.)
Wenn du jetzt erstmal ein sauberes Logfile hast, würde ich das speichern und regelmäßig auf neue Einträge prüfen und die dann bei Bedarf kontrollieren. (Die neu erstellten Logs am besten ebenfalls speichern, so kann man bei einem Befall immerhin nachvollziehen wie lange was aufm Rechner ist)

Wenn du sicher gehen willst kannst du die web.de-Datei ja auch noch bei virustotal auswerten lasen, auch wenn ich nicht glaub, dass sie bedrohlich ist.

lg myrtille

Hi,

in der Tat ist die p2p Datei immer noch da...Dann werde ich sie jetzt einfach mal in Ruhe lassen.
Habe das neueste Logfile gespeichert und werde das bei Bedarf wie vorgeschlagen immer mal wieder kontrollieren.
Die Datei von Web.de werde ich auch mal noch überprüfen und wenn sich noch was ergibt das Ergebnis hier posten, sie sollte aber eigentlich harmlos sein.

Also, vielen Dank allen Helfern und bis zum nächsten Mal.

Schönen Gruß

Zitat:

Zitat von myrtille

..weil p2pnetworking.exe ein Backdoortrojaner ist

P2P networking/p2p networking.exe ist eine legitimie Windowsdatei

Hallo.

Jetzt will ich es aber wissen...

Wo hast du gelesen das die o.g. Datei eine System-/Windowsdatei ist?

Zitat:

p2p networking/p2pnetworking.exe und p2pnetworking/p2pnetworking.exe sind dagegen Trojaner, meistens mit Backdoor.

Jein, nicht immer ->
P2PNetworking - Adware
P2PNetworking - Advertise(Werbung)

Aber nirgends konnte ich ersehen das es sich oftmals auch um einen Backdoor handelt?!

Zitat:

# %System%\P2P Networking\Peer-to-peer networking.exe
Peer-enabler client, entdeckt als Adware.P2PNetworking
# %System%\P2P Networking\Marshal.dll
Komponente, die Daten für Peer-to-Peer-Netzwerke sammelt und formatiert.
# %System%\P2P Networking\P2P Networking.eng
# %System%\P2P Networking v126.cpl
Systemsteuerungskomponente
# %System%\P2P Networking\Cache\*.*
Inhalts-Cache
# %System%\P2P Networking\Cache\Database
Datenbank-Cache
# %Windir%\Downloaded Program Files\WebP2PInstall.dll
Web-Installationsprogramm, nicht immer vorhanden

@Surrel,

Arbeite bitte das hier ab:

1.) Kurzanleitung datfind.bat:

* Lade dir die datfind.zip
* Entpacke das Archiv auf den Desktop
* 1. Doppel-klick DATFINDBAT
*2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 3. auf das Command Fenster klicken und beliebige Taste drücken
* 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 6. Wiederhole Schritt 3 und speichere als temp.txt
* 7. Wiederhole Schritt 3 und speichere als down.txt
* 8. Wiederhole Schritt 3 und speichere als c.txt
* 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)


2.) Und poste nochmals ein neues Hijacklog.

Gruß
Sunny