Win32:Adware-gen. [ADW]

eternal · 24.02.2007, 16:20

Erstmal hallo an alle,
ich hoffe ihr könnt mir bei meinem Problem helfen.
Zunächst wurde mein Ebay-Zugang und dann auch mein Online-Banking-Zugang gesperrt. Auf Nachfrage erhielt ich die Information, dass ich wahrscheinlich einen Trojanern auf dem Rechner hätte.

Nun habe ich folgende Programme durchlaufen lassen.
Ad-Aware>>>Kein Trojaner-Fund
SpyBot>>>>>Kein Trojaner-Fund
Anti-Vir>>>>>Kein Trojaner-Fund

Avis!
Hier wurde mir folgende Meldung geschrieben:
"C:/System Volume Information/_restore{427AFF82-41A7-4393-9182-E717Q2356BCB}/RP414/A0052361.exe
ist infiziert von WIN32:Adware-gen [ADW]

Ich habe diese Datei anschließend löschen lassen.
Jedoch bin ich in Sachen Trojanern noch ein ganz kleiner Anfänger und weiß von daher nicht, was ich jetzt zusätzlich tun sollte.

Es wäre nett, wenn ihr mir helfen könnt

lg

undoreal · 24.02.2007, 17:56

Hallo. Poste bitte ein HijackThis logFile wie in der Anleitung in meiner Signatur erklärt ist.
Da du schon mehrer Scanner hast durchlaufen lassen würde ich gleich zu einem Scan mit MWAVE raten. Anleitung findest ebenfalls unten.
Und du solltest dein System mit Blacklight scannen.

Außerdem frag doch bitte mal nach warum die Provider einen Providerbefall befürchten.

mfg

Undoreal

eternal · 24.02.2007, 18:22

Hallo,
ich habe mein System mit dem besagten Virenscanner gescannt,
doch der hat nichts weiteres mehr gefunden.

Hier kommt die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:21:13, on 24.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Grisoft\AVG7\avgcc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {5D21AFEC-4F31-4DF4-B4EB-508406852F66} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {5D21AFEC-4F31-4DF4-B4EB-508406852F66} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100001342656
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hoffe ihr könnt mir helfen.

eternal · 24.02.2007, 19:15

Hallo,

nun habe ich auch nochmal -wie empfohlen- eScan(MWAVE) durchlaufen lassen.
Hier ist das entsprechende Protokoll:

Sat Feb 24 18:29:01 2007 => MWAV in SPECIAL PROMOTION MODE.
Sat Feb 24 18:29:01 2007 => **********************************************************
Sat Feb 24 18:29:01 2007 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Sat Feb 24 18:29:01 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Sat Feb 24 18:29:01 2007 => **********************************************************
Sat Feb 24 18:29:01 2007 => Source: C:\DOKUME~1\User\Desktop\mwav.exe
Sat Feb 24 18:29:01 2007 => Version 9.1.7 (C:\DOKUME~1\User\LOKALE~1\Temp\mexe.com)
Sat Feb 24 18:29:01 2007 => Log File: C:\DOKUME~1\User\LOKALE~1\Temp\MWAV.LOG
Sat Feb 24 18:29:01 2007 => MWAV Registered: TRUE.
Sat Feb 24 18:29:01 2007 => User Account: User
Sat Feb 24 18:29:01 2007 => OS Type: Windows Workstation
Sat Feb 24 18:29:01 2007 => OS: Windows XP
Sat Feb 24 18:29:01 2007 => Ver: Service Pack 2 (Build 2600)
Sat Feb 24 18:29:01 2007 => Windows Root Folder: C:\WINDOWS
Sat Feb 24 18:29:01 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Feb 24 18:29:01 2007 => Local Fixed Drives: c:\
Sat Feb 24 18:29:01 2007 => MWAV Mode: Scan and Clean files (for viruses, adware and spyware).
Sat Feb 24 18:29:02 2007 => Latest Date of files inside MWAV: 24 Feb 2007 12:46:3.
Sat Feb 24 18:29:05 2007 => AV Library Loaded...
Sat Feb 24 18:29:05 2007 => MWAV doing self scanning...
Sat Feb 24 18:29:05 2007 => Scanning File C:\DOKUME~1\User\LOKALE~1\Temp\Getvlist.exe
Sat Feb 24 18:29:05 2007 => Scanning File C:\DOKUME~1\User\LOKALE~1\Temp\main.avi
Sat Feb 24 18:29:05 2007 => Scanning File C:\DOKUME~1\User\LOKALE~1\Temp\virus.avi
Sat Feb 24 18:29:05 2007 => Scanning File C:\DOKUME~1\User\LOKALE~1\Temp\ScanningProcess.exe
Sat Feb 24 18:29:05 2007 => Scanning File C:\DOKUME~1\User\LOKALE~1\Temp\Kave.dll
Sat Feb 24 18:29:05 2007 => Scanning File C:\DOKUME~1\User\LOKALE~1\Temp\prloader.dll
Sat Feb 24 18:29:05 2007 => MWAV files are clean.
Sat Feb 24 18:29:11 2007 => Virus-Datenbank Datum: 2/24/2007
Sat Feb 24 18:29:11 2007 => Virus-Datenbank Zähler: 273067

Sat Feb 24 18:29:36 2007 => **********************************************************
Sat Feb 24 18:29:36 2007 => eScan AntiVirus Toolkit Utility.
Sat Feb 24 18:29:36 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Sat Feb 24 18:29:36 2007 =>
Sat Feb 24 18:29:36 2007 => Support: support@mwti.net
Sat Feb 24 18:29:36 2007 => Web: http://www.mwti.net
Sat Feb 24 18:29:36 2007 => **********************************************************
Sat Feb 24 18:29:36 2007 => Version 9.1.7
Sat Feb 24 18:29:36 2007 => Protokolldatei: C:\DOKUME~1\User\LOKALE~1\Temp\MWAV.LOG
Sat Feb 24 18:29:36 2007 => User Account: User
Sat Feb 24 18:29:36 2007 => Windows Root Folder: C:\WINDOWS
Sat Feb 24 18:29:36 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Feb 24 18:29:36 2007 => OS: Windows XP
Sat Feb 24 18:29:36 2007 => Ver: Service Pack 2 (Build 2600)
Sat Feb 24 18:29:37 2007 => Letztes Datum der MWAV Dateien: 24 Feb 2007 12:46:3.

Sat Feb 24 18:29:37 2007 => Optionen vom Benutzer ausgewählt:
Sat Feb 24 18:29:37 2007 => Specherüberprüfung: Aktiviert
Sat Feb 24 18:29:37 2007 => Registry Überprüfung: Aktiviert
Sat Feb 24 18:29:37 2007 => StartUp-Ordner Überprüfung: Deaktiviert
Sat Feb 24 18:29:37 2007 => System-Ordner Überprüfung: Deaktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung der Dienste: Aktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung aller Festplatten :Aktiviert
Sat Feb 24 18:29:37 2007 => Verzeichniss Überprüfung: Deaktiviert

Sat Feb 24 19:04:51 2007 => ***** Scan vollständig. *****

Sat Feb 24 19:04:51 2007 => Gescannte Dateien: 103123
Sat Feb 24 19:04:51 2007 => Gefundene Viren: 2
Sat Feb 24 19:04:51 2007 => Anzahl der desinfizierten Dateien: 0
Sat Feb 24 19:04:51 2007 => Umbenannte Dateien: 0
Sat Feb 24 19:04:51 2007 => Anzahl der gelöschten Dateien: 74
Sat Feb 24 19:04:51 2007 => Anzahl Fehler: 73
Sat Feb 24 19:04:51 2007 => Dauer des Scans bisher: 00:35:14
Sat Feb 24 19:04:51 2007 => Virus-Datenbank Datum: 2/24/2007
Sat Feb 24 19:04:51 2007 => Virus-Datenbank Zähler: 273067

Sat Feb 24 19:04:51 2007 => Scan vollständig.

Hoffe ihr könnt mir nun antworten!

undoreal · 24.02.2007, 22:07

Lol der ist gut:

Zitat:

Provider einen Providerbefall befürchten.

Nun zum Thema. Du hast die Anleitung zu eScan nicht richtig gelesen. Ein loFile von eScan erstellt man mit Hilfe der Fin.bat.! LESEN!
Da Viren gefunden wurden brauchen wir dieses nämlich.

Scanne bitte folgende Dateien auf Virustotal und poste das logfile mit allen Angaben hier.

"C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 8.exe"
"C:\WINDOWS\system32\ScsiAccess.EXE"

PS: eScan logFile nicht vergessen.

Gruss

Undoreal

eternal · 25.02.2007, 14:44

Hallo,

ich habe die Dateien an Virustotal geschickt.
Doch leider habe ich bis jetzt noch keine Antwort bekommen.
Bitte hier nochmal um eine kurze Anleitung.

Den Log von eScan habe ich euch nun hochgeladen.
Hoffe ihr könnt damit jetzt etwas anfangen...
Sollte ich etwas falsch gemacht haben,
bitte ich um nochmalige Anleitung.

Danke für die Geduld mit mir

RapidShare: 1-Click Webhosting

nochdigger · 25.02.2007, 15:09

Hallo

du sollst keine Dateien zu Virustotal schicken sondern sie dort hochladen und etwas warten, du bekommst die Auswertung einwenig später (meist einige Minuten) zu sehen, kopiere dann die gesamte Meldung ab und poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde.

Die Anleitung des eScans solltest du auch nochmal lesen (es wird sich wohl niemand eine 20Mb große Datei runterladen) ganz besonders den Teil mit der Auswertungsdatei --> http://www.trojaner-board.de/35365-e...tml#post253248

MFG

eternal · 25.02.2007, 16:31

Hallo,
jetzt habe ich es endlich verstanden.

Hier kommen nun erstmal die Ergebnisse von VirusTotal:

Complete scanning result of "ScsiAccess.EXE", received in VirusTotal at 02.25.2007, 16:13:18 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.25.2007 no virus found
Authentium 4.93.8 02.25.2007 no virus found
Avast 4.7.936.0 02.23.2007 no virus found
AVG 386 02.24.2007 no virus found
BitDefender 7.2 02.25.2007 no virus found
CAT-QuickHeal 9.00 02.24.2007 no virus found
ClamAV devel-20060426 02.25.2007 no virus found
DrWeb 4.33 02.25.2007 no virus found
eSafe 7.0.14.0 02.25.2007 no virus found
eTrust-Vet 30.4.3424 02.23.2007 no virus found
Ewido 4.0 02.24.2007 no virus found
FileAdvisor 1 02.25.2007 no virus found
Fortinet 2.85.0.0 02.25.2007 no virus found
F-Prot 4.3.1.45 02.22.2007 no virus found
F-Secure 6.70.13030.0 02.25.2007 no virus found
Ikarus T3.1.0.31 02.25.2007 no virus found
Kaspersky 4.0.2.24 02.25.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.25.2007 no virus found
NOD32v2 2080 02.25.2007 no virus found
Norman 5.80.02 02.23.2007 no virus found
Panda 9.0.0.4 02.25.2007 no virus found
Prevx1 V2 02.25.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.25.2007 no virus found
TheHacker 6.1.6.064 02.25.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.24.2007 no virus found
VirusBuster 4.3.19:9 02.25.2007 no virus found

Aditional Information
File size: 181312 bytes
MD5: ed9c5cf6cc611ec8ac4a77c3f58f0601
SHA1: efd04d27126ec625aec4a003abd59234805c95fe

Complete scanning result of "hpztsb08.exe", received in VirusTotal at 02.25.2007, 16:19:10 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.25.2007 no virus found
Authentium 4.93.8 02.25.2007 no virus found
Avast 4.7.936.0 02.23.2007 no virus found
AVG 386 02.24.2007 no virus found
BitDefender 7.2 02.25.2007 no virus found
CAT-QuickHeal 9.00 02.24.2007 no virus found
ClamAV devel-20060426 02.25.2007 no virus found
DrWeb 4.33 02.25.2007 no virus found
eSafe 7.0.14.0 02.25.2007 no virus found
eTrust-Vet 30.4.3424 02.23.2007 no virus found
Ewido 4.0 02.24.2007 no virus found
FileAdvisor 1 02.25.2007 No threat detected
Fortinet 2.85.0.0 02.25.2007 no virus found
F-Prot 4.3.1.45 02.22.2007 no virus found
F-Secure 6.70.13030.0 02.25.2007 no virus found
Ikarus T3.1.0.31 02.25.2007 no virus found
Kaspersky 4.0.2.24 02.25.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.25.2007 no virus found
NOD32v2 2080 02.25.2007 no virus found
Norman 5.80.02 02.23.2007 no virus found
Panda 9.0.0.4 02.25.2007 no virus found
Prevx1 V2 02.25.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.25.2007 no virus found
TheHacker 6.1.6.064 02.25.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.24.2007 no virus found
VirusBuster 4.3.19:9 02.25.2007 no virus found

Aditional Information
File size: 172032 bytes
MD5: 25328ff38d128ef5891c13843168c30b
SHA1: 4fdeb401a5ecd07317d986a6706f3d83ced9fd5b
Bit9 info: Bit9 FileAdvisor - Search Results
So hier kommen die Daten von eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Feb 25 12:24:30 2007 => *** Datei C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Musik\Wolfgang Petry\Alles\09 Frei Für Dich [Radio Version].wma in Grösse beschränkt ***. Filesize 3232 kb
Sat Feb 24 18:29:11 2007 => Virus-Datenbank Datum: 2/24/2007
Sat Feb 24 19:04:51 2007 => Virus-Datenbank Datum: 2/24/2007
Sat Feb 24 19:19:47 2007 => Virus-Datenbank Datum: 2/24/2007
Sat Feb 24 19:26:03 2007 => Virus-Datenbank Datum: 2/24/2007
Sun Feb 25 12:21:17 2007 => Virus-Datenbank Datum: 2/24/2007
Sun Feb 25 12:58:20 2007 => Virus-Datenbank Datum: 2/24/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 24 18:30:20 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Einträge entfernt.
Sat Feb 24 18:30:29 2007 => System found infected with tencent qq Spyware/Adware (face.ini)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Feb 24 18:30:20 2007 => Offending file found: C:\DOKUME~1\User\Desktop\torben\xpupdate.exe
Sat Feb 24 18:30:29 2007 => Offending file found: C:\DOKUME~1\User\LOKALE~1\temp\BOUNTY~1\voyage\resource\ini\window\face.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 24 19:04:51 2007 => Gefundene Viren: 2
Sat Feb 24 19:26:03 2007 => Gefundene Viren: 0
Sun Feb 25 12:58:20 2007 => Gefundene Viren: 0
Sat Feb 24 19:04:51 2007 => Anzahl Fehler: 73
Sat Feb 24 19:26:03 2007 => Anzahl Fehler: 0
Sun Feb 25 12:58:20 2007 => Anzahl Fehler: 5
Sat Feb 24 19:04:51 2007 => Dauer des Scans bisher: 00:35:14
Sat Feb 24 19:26:03 2007 => Dauer des Scans bisher: 00:03:14
Sun Feb 25 12:58:20 2007 => Dauer des Scans bisher: 00:36:46
Sat Feb 24 19:04:51 2007 => Gescannte Dateien: 103123
Sat Feb 24 19:26:03 2007 => Gescannte Dateien: 25793
Sun Feb 25 12:58:20 2007 => Gescannte Dateien: 91365
Sat Feb 24 18:29:37 2007 => Specherüberprüfung: Aktiviert
Sat Feb 24 19:22:48 2007 => Specherüberprüfung: Aktiviert
Sun Feb 25 12:21:33 2007 => Specherüberprüfung: Aktiviert
Sat Feb 24 18:29:37 2007 => Registry Überprüfung: Aktiviert
Sat Feb 24 19:22:48 2007 => Registry Überprüfung: Aktiviert
Sun Feb 25 12:21:33 2007 => Registry Überprüfung: Aktiviert
Sat Feb 24 18:29:37 2007 => System-Ordner Überprüfung: Deaktiviert
Sat Feb 24 19:22:48 2007 => System-Ordner Überprüfung: Aktiviert
Sun Feb 25 12:21:34 2007 => System-Ordner Überprüfung: Deaktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Feb 24 19:22:48 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Feb 25 12:21:34 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung der Dienste: Aktiviert
Sat Feb 24 19:22:48 2007 => Überprüfung der Dienste: Aktiviert
Sun Feb 25 12:21:34 2007 => Überprüfung der Dienste: Aktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Feb 25 12:21:34 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Feb 24 18:29:37 2007 => Überprüfung aller Festplatten :Aktiviert
Sun Feb 25 12:21:34 2007 => Überprüfung aller Festplatten :Aktiviert

undoreal · 25.02.2007, 17:55

Hallo.

Wie siehts mit dem Blacklight scan aus?

Zitat:

Und du solltest dein System mit Blacklight scannen.

poste bitte auch hier das logFile. Auch wenn nichts gefunden wurde.

Dann lass folgende Dateien auch nochmal auf Virustotal scannen:

"C:\DOKUME~1\User\LOKALE~1\temp\BOUNTY~1\voyage\res ource\ini\window\face.ini"
"C:\DOKUME~1\User\Desktop\torben\xpupdate.exe"

Und da es hier langsam kniffelig wird solltest du wirklich nochmal die beiden Provider anschreiben und fragen warauf diese Trojaner vermutung fußt..

Gruss

Undoreal

eternal · 25.02.2007, 18:32

Hier das Logfile von Blackligt:

02/25/07 18:09:38 [Info]: BlackLight Engine 1.0.55 initialized
02/25/07 18:09:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/25/07 18:09:38 [Note]: 7019 4
02/25/07 18:09:38 [Note]: 7005 0
02/25/07 18:09:52 [Note]: 7006 0
02/25/07 18:09:52 [Note]: 7011 1716
02/25/07 18:09:52 [Note]: 7026 0
02/25/07 18:09:52 [Note]: 7026 0
02/25/07 18:10:03 [Note]: FSRAW library version 1.7.1021
02/25/07 18:26:10 [Note]: 7007 0

Zu den Providern:
Es waren nicht die Provider sondern Ebay und eine Bank.
Auf Nachfrage habe ich bei der Bank die Information erhalten,
dass mein Zugang gesperrt worden ist, da man unregelmäßigkeiten im system festgestellt hatte. Hier wurde ein Befall durch den WIN32.agent vermutet.

Leider kann ich die Dateien,
die ich nochmals scannen sollte nicht finden.

Win32:Adware-gen. [ADW]

Plagegeister aller Art und deren Bekämpfung: Win32:Adware-gen. [ADW]