Hallo an die Experten,

Gleich vorab: trotz der Corporate Edition von Symantec ist dies kein Firmenrechner, unsere Firma stellt uns das kostenlos auch fuer unsere Privatrechner zur Verfuegung.

ich habe heute mal den Kaspersky Online Scanner ueber meinen Rechner laufen lassen, die Meldungen haben mich doch sehr irritiert.

Folgende Meldungen waren im Log:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.nn übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe/data0005 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN/seekitall.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN ZIP: infiziert - 4 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500000.VBN CryptZ: infiziert - 4 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.nn übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe/data0005 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN/seekitall.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN ZIP: infiziert - 4 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08500001.VBN CryptZ: infiziert - 4 übersprungen

Norton hat mir nie eine Meldung gebracht, dass er etwas in Quarantaene schiebt, deswegen hat mich jetzt der Scan von Kaspersky doch geschockt.

Anbei noch mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:57:15, on 16.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
D:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=40747
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MediaFace Integration] D:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126539230750
O17 - HKLM\System\CCS\Services\Tcpip\..\{98D1476B-1ABF-4CD3-A2CC-FA37B30F56BE}: NameServer = 192.168.1.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Symantec Corporation - (no file)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

Die Internet Explorer Einstellung in R0 ist gewollt, die Hauptseite ist eine leere Seite.
Dieser Eintrag bringt bei Google die unterschiedlichsten Ergebnisse.
C:\WINNT\system32\regsvc.exe
Kann es sein, dass dieser Dienst durch die Installation der Corporate Norton Antiviren Software aktiviert wurde? Ich kann mich nicht erinnern, ihn aktiviert zu haben. Oder wird er durch die Synchronisations Software fuer ein Navigationsgeraet aktiviert? Die habe ich erst kuerzlich installiert.

Ich habe ein eingeschraenktes Benutzerkonto, den Admin benutze ich nur fuer die Windows Updates, und die mache ich regelmaessig nach Erscheinen.
Zum Surfen kommt Firefox mit allen moeglichen Einschraenkungen zum Einsatz, und alle unbekannten Mails werden gleich auf dem Server geloescht, Dateianhaenge immer erst gescannt, Dateiendungen lasse ich mir komplett anzeigen.

Ich wuerde jetzt gern von den Profis hier wissen, ob ich mich mit dem Neuaufsetzen befassen muss, oder ob der Quarantaene Eintrag ok ist.

Vielen Dank im Voraus
von einer sehr beunruhigten Katze

Hallo.

Überprüfe dein System mal zusätzlich mit eScan, entleere aber vorher den Quarantäne-Ordner.

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Hallo, schoenen Sonntag erstmal.
Ich habe mehrfach versucht, die mwav.exe in C:\bases_x zu installieren, bin aber leider gescheitert, es hat sich immer automatisch in das Temp verzeichnis installiert. Ich habe dann aufgegeben, und nur das MWAV.LOG und die find.bat dahin kopiert und somit das Ergebnis der find.bat bekommen.
Sollte das jetzt falsch gewesen sein, kann mir vielleicht jemand verraten, wie sich die mwav.exe dazu bringen laesst, in C:/bases_x zu wandern.

hier ist mein Ergebnis des E-scan logs:

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows 2000 [Version 5.00.2195]
Sun Feb 18 17:56:11 2007 => Version 9.1.4 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Sun Feb 18 17:54:57 2007 => Virus Database Date: 2/16/2007
Sun Feb 18 17:55:54 2007 => Virus Database Date: 2/17/2007
Sun Feb 18 19:15:04 2007 => Virus Database Date: 2/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Feb 18 18:31:37 2007 => File D:\Download\WinXP\xp-iso-builder_final.exe//UPX//data/cmdow.exe tagged as "not-a-virus:RiskTool.Win32.HideWindows". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Feb 18 17:56:32 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Sun Feb 18 17:56:32 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Sun Feb 18 17:56:32 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Sun Feb 18 17:56:32 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ich waere dankbar, wenn mir jemand sagen koennte, wie ich jetzt weiterverfahren soll.

Den Quarantaene Ordner von Norton hab ich geleert, mittlerweile habe ich auch herausgefunden, warum ich nie eine Warnung von Norton bekam, diese Funktion war in den Einstellungen deaktiviert.

ich habe jetzt die Eintraege manuell aus der Registry entfernt und escan nochmal im abgesicherten Modus laufen lassen, ich habe jedoch nur C:\ gescannt, da mir diese Datei:
File D:\Download\WinXP\xp-iso-builder_final.exe//UPX//data/cmdow.exe tagged as "not-a-virus:RiskTool.Win32.HideWindows". Action Taken: No Action Taken. bekannt ist, und auf allen anderen Drives wurde schon vorher nichts gefunden.

Hier das neue Log, escan findet hier nichts mehr:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows 2000 [Version 5.00.2195]
Mon Feb 19 22:46:50 2007 => Version 9.1.4 (C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mexe.com)
Mon Feb 19 23:10:39 2007 => Virus Database Date: 2/19/2007
Mon Feb 19 23:50:56 2007 => Virus Database Date: 2/19/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Mein System ist eigentlich ohne Probleme gelaufen, weder Popups noch Umleitungen auf nicht erwuenschte Seiten oder Leistungsverlust mit hoher Prozessorauslastung waren zu bemerken.
Es waere nett, wenn sich noch mal jemand aeussern koennte, ob das jetzt gut aussieht.