Seltsame Geschehnisse auf dem PC

Izi · 13.05.2007, 09:37

Hallo zusammen

Facts:
(Samstag)
1. 15.2 GB freier Speicherplatz
2. anschl. löschen der Temporären Internetdateien
3. 15.4 GB freier Speicherplatz
4. Norton meldet "Risiko"
5. "Fehler beheben" -> "Live Update" -> PC-Neustart
6. Norton meldet "Risiko" -> "Fehler beheben" -> "Vollständige Systemprüfung" da angeblich noch nicht abgeschlossen.
7. Währen Überprüfung öffnet sich plötzlich "Live Update" -> jedoch keine neuen Updates
8. Nach Überprüfung: Fund von Cookie -> "Beheben/Reparieren"
9. 20.5 GB freier Speicherplatz
10. Norton bleibt auf "Risiko"

(Sonntag)
1. Norton meldet "Risiko" -> "Live Update" -> jedoch keine neue Updates
2. PC-Zeit "MO 13.8.2007" (vermutlich war die Zeit am SA schon falsch, wurde aber nicht bemerkt)
3. Norton immernoch auf "Risiko"
4. Feststellung: "Firewall deaktiviert"
5. Keine Anmeldung auf Hotmail mögl. da "Das Sicherheitszertifikat d. Website ist entweder abgelaufen oder noch nicht gültig. Die Sicherheitszertifikat-Probleme deuten evtl. auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben, abzufangen"

Meine Frage: WAS IST LOS?

Anscheinend hat der PC selbst auf ein anderes Datum gestellt - ich weiss jedoch nicht warum und wie. Ob die versch. Geschehnisse miteinander zutun haben weiss ich auch nicht...

Braucht ihr noch mehr Infos? Vielen vielen Dank für eure Hilfe!!

Izi · 13.05.2007, 11:19

Zitat:

Zitat von Izi

Braucht ihr noch mehr Infos?

et voilà

Logfile of HijackThis v1.99.1
Scan saved at 11:53:06, on 13.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103750873109
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6DBAAA2-3172-4FBA-BCA4-B7580AE3598F}: NameServer = 195.186.1.111,195.186.4.111
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

hoffe s'is gut so =)

...Irgendwie habe ich das Gefühl, dass hier etwas nicht stimmt :P

Izi · 13.05.2007, 15:47

Hier noch das Ergebnis vom eScan. Vielleicht könnt ihr mir so weiter helfen?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 13 12:54:21 2007 => System found infected with funwebproducts Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:22 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:30 2007 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:42 2007 => System found infected with ipinsight Spyware/Adware (j.class)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:42 2007 => System found infected with ipinsight Spyware/Adware (k.class)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:44 2007 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:46 2007 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:48 2007 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:48 2007 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:49 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:49 2007 => System found infected with networkessentials Spyware/Adware (43.dat)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:50 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:50 2007 => System found infected with networkessentials Spyware/Adware (43.dat)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:51 2007 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:51 2007 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: Keine Aktion vorgenommen.
Sun May 13 12:54:51 2007 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 13 12:54:25 2007 => Offending Key found: HKLM\Software\focusinteractive !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKLM\Software\fun web products !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKLM\Software\funwebproducts !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKLM\Software\magnet !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKLM\Software\mywebsearch !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKCU\Software\fun web products !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKCU\Software\funwebproducts !!!
Sun May 13 12:54:25 2007 => Offending Key found: HKCU\Software\mywebsearch !!!
Sun May 13 12:54:30 2007 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll
Sun May 13 12:54:42 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\***\cabri\j.class
Sun May 13 12:54:42 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\***\cabri\k.class
Sun May 13 12:54:44 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll
Sun May 13 12:54:46 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\cd8fyn6v\style30[1].css
Sun May 13 12:54:48 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\uhjkt0zq\owastyle[1].css
Sun May 13 12:54:48 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\oxe3sp67\owacolors[1].css
Sun May 13 12:54:49 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sun May 13 12:54:49 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\43.dat
Sun May 13 12:54:50 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sun May 13 12:54:50 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\43.dat
Sun May 13 12:54:51 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\cd8fyn6v\style30[1].css
Sun May 13 12:54:51 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\uhjkt0zq\owastyle[1].css
Sun May 13 12:54:51 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\oxe3sp67\owacolors[1].css
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ganz ganz lieben Dank! =)
Isabelle

Izi · 16.05.2007, 18:34

Zitat:

Zitat von Izi

Norton meldet "Risiko"

Macht er nun nicht mehr. Bitte dennoch um Antwort.

Ist alles i. O. mit dem PC? Zeigen die Scans etwas Ungewöhnliches an?

Freundliche Grüsse und vielen Dank für die Antwort

irrlicht · 16.05.2007, 19:53

Hallo,
leider scheinst du hinten runter gefallen zu sein....
as kommt manchmal vor,wenn viel Betrieb ist...

Du hast gute Vorarbeit geleistet.....
Jetzt aber gehts los....

Zitat:

Norton meldet "Risiko"

Das war alles ?
keine Datei angemeckert und einen Pfad gezeigt ?
Die genaue Meldung findest du in Norton > Qurantäne oder ähnliches...
Schau dort mal rein...

Zitat:

PC-Zeit "MO 13.8.2007" (vermutlich war die Zeit am SA schon falsch, wurde aber nicht bemerkt)

Diese Zeitfehler hast du noch ?
Bemerkst du nach einer längeren Pause des Compis (über nacht) ,diese Zeitverschiebung ?

Folgende Programme mit Google suchen und laden :

CCleaner
AdAware
Spybot Search &Destroy

Alle drei installieren und Updaten.Noch nicht laufen lassen !

Giesen Ordner löschen :

Zitat:

C:\Programme\MessengerPlus! 3

Gehe dazu so vor :
Start > Arbeitsplatz > Lokaler Datenträger C > Programme
suche den Ordner MessengerPlus! 3
lösche diesen.
Dann startest du den CCleaner und läßt alles löschen ,was gefunden wird.
Danach wechselst du in den "abgesicherten Modus"
Kiste ausschalten,wieder anschalten dabei die Taste F8 gedrückt halten,Kiste wird piepsen >loslassen F8
du bootest nun in den abgesicherten Modus,falls Auswahlmöglichkeiten angezeigt werden ,wähle nur den abgesicherten Modus.
Starte nun nacheinander Spybot und Adaware,die Reihenfolge ist gleich.
Lass löschen was angemeckert wird.
Bist du fertig,schalte deine Kiste aus und schalte sie wieder ganz normal an.
Danach erstellst du ein neues Log von EScan,wie du es oben schon gemacht hast.Das postest du dann.
Suche dir das Programm "Blacklight" von F-Secure.Installiere es ,starte es und poste das Ergebnis.
Irrlicht

Izi · 16.05.2007, 20:18

Zitat:

leider scheinst du hinten runter gefallen zu sein....
as kommt manchmal vor,wenn viel Betrieb ist...

habs mir gedacht! =)

Zitat:

Das war alles ?
keine Datei angemeckert und einen Pfad gezeigt ?

jup war alles - hat keinen Pfad o. A. angezeigt... Er hat nur angezeigt, dass ich Updates runterladen soll... (welche dann schlussendlich gar nicht vorhanden waren...)

Zitat:

Diese Zeitfehler hast du noch ?
Bemerkst du nach einer längeren Pause des Compis (über nacht) ,diese Zeitverschiebung ?

Habe die Zeit wieder richtig eingestellt. Wie das mit der Zeitverschiebung abgelaufen ist weiss ich nicht genau, da meine Schwester und meine Mutter diesen PC benutzen. Ich wurde lediglich am Sonntag darüber informiert, weil ich mich gerade zu Hause aufhielt...

Zitat:

Folgende Programme mit Google suchen und laden :

CCleaner
AdAware
Spybot Search &Destroy

Alle drei installieren und Updaten.Noch nicht laufen lassen !

Giesen Ordner löschen :
Gehe dazu so vor :
Start > Arbeitsplatz > Lokaler Datenträger C > Programme
suche den Ordner MessengerPlus! 3
lösche diesen.
Dann startest du den CCleaner und läßt alles löschen ,was gefunden wird.
Danach wechselst du in den "abgesicherten Modus"
Kiste ausschalten,wieder anschalten dabei die Taste F8 gedrückt halten,Kiste wird piepsen >loslassen F8
du bootest nun in den abgesicherten Modus,falls Auswahlmöglichkeiten angezeigt werden ,wähle nur den abgesicherten Modus.
Starte nun nacheinander Spybot und Adaware,die Reihenfolge ist gleich.
Lass löschen was angemeckert wird.
Bist du fertig,schalte deine Kiste aus und schalte sie wieder ganz normal an.
Danach erstellst du ein neues Log von EScan,wie du es oben schon gemacht hast.Das postest du dann.
Suche dir das Programm "Blacklight" von F-Secure.Installiere es ,starte es und poste das Ergebnis.

Gut.. Dann versuch ich das dann mal, wenn ich zu Hause bin.

Denken Sie, dass die Veränderung beim Speicherplatz mit einem Virus oder einer Adware zutun hat?

Vielen vielen Dank!!

Isabelle

irrlicht · 16.05.2007, 20:30

Hallo,

Zitat:

Ich wurde lediglich am Sonntag darüber informiert, weil ich mich gerade zu Hause aufhielt...

Neue Infos dazu anfordern,sobals als möglich....
Deutet auf eine schwächelnde Batterie hin.......ist aber keine große Sache an sich und auch leicht wieder in Ordnung zu bringen....

Zitat:

Denken Sie, dass die Veränderung beim Speicherplatz mit einem Virus oder einer Adware zutun hat?

Möglich ist vieles....auch ein Fehler beim Auslesen des Speicherplatzes käme in Frage.
Fast überall im Netz sagen wir du...

Das darfst du auch...

Du hast eine Sammlung von Malware auf der Kiste....
Aller Vorraussicht aber ist nix dabei,was nicht wieder in die Reihe zu kriegen ist...

Irrlicht

Izi · 17.05.2007, 18:25

Zwischenbericht :P

Zitat:

C:\Programme\MessengerPlus! 3

öhm jo... Da gäbe es nur ein Problem -> dieser Ordner ist gar nicht mehr hier :P

Zitat:

Fast überall im Netz sagen wir du... Das darfst du auch...

ja bin halt so eine Braaaaaaaaaaaaaaaaaave und Anständige! :P

Zitat:

Zitat von izi

Scan saved at 11:53:06, on 13.08.2007

BTW daaaaaaaaaaas habe ich mit dem falschen Datum gemeint

...das andere hat bis jetzt geklappt und nun gehts weiter =)

Grüessli us dä Schwiiz :P

Isabelle

Izi · 17.05.2007, 22:37

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.2
Sprache: German
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\MWAV.LOG
C:\Dokumente und Einstellungen\***\Desktop\eScan\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mwsoemon Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mwsoemon Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with funwebproducts Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with ipinsight Spyware/Adware (j.class)! Action taken: Keine Aktion vorgenommen.
System found infected with ipinsight Spyware/Adware (k.class)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with networkessentials Spyware/Adware (43.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with networkessentials Spyware/Adware (43.dat)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\FcPred.jar-10f0c63b-7e24cc91.zip/FcPred.class infiziert von "Trojan-Downloader.Java.Agent.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\HiJackThis\HJT\backups\backup-20051024-222443-504.dll markiert als not-a-virus

ownloader.Win32.PopCap.b. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\***\cabri\j.class
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\***\cabri\k.class
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\43.dat
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\43.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\focusinteractive !!!
Offending Key found: HKLM\Software\fun web products !!!
Offending Key found: HKLM\Software\funwebproducts !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\mywebsearch !!!
Offending Key found: HKCU\Software\fun web products !!!
Offending Key found: HKCU\Software\funwebproducts !!!
Offending Key found: HKCU\Software\mywebsearch !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Gemeinsame Dateien\Click2Learn\TBSystem\tb80rtm.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Gemeinsame Dateien\Click2Learn\TBSystem\tbpdx.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 187132
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 185
Dauer des Scans bisher: 02:09:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:22:31.12
Batchende: 23:23:22.35

Das wär's soweit. Wie ich da nur unschwer erkennen konnte, hab ich einen Trojaner auf dem Rechner...?
Na dann mal gute Nacht :P =)

Ist das das richtige Ergebnis vom Blacklight??
05/18/07 00:19:28 [Info]: BlackLight Engine 1.0.61 initialized
05/18/07 00:19:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/18/07 00:19:29 [Note]: 7019 4
05/18/07 00:19:29 [Note]: 7005 0
05/18/07 00:19:41 [Note]: 7006 0
05/18/07 00:19:41 [Note]: 7011 1532
05/18/07 00:19:41 [Note]: 7026 0
05/18/07 00:19:41 [Note]: 7026 0
05/18/07 00:19:45 [Note]: FSRAW library version 1.7.1021
05/18/07 00:20:39 [Note]: 2000 1012
05/18/07 00:20:39 [Note]: 2000 1012
05/18/07 00:20:39 [Note]: 2000 1012
05/18/07 00:21:04 [Note]: 7007 0

Izi · 18.05.2007, 09:57

Guten Morgen

Zitat:

Zitat von irrlicht

Neue Infos dazu anfordern,sobals als möglich...

Als ich den Compi heute Morgen aufstartete, hatte er unheimlich lange. Laut meiner Schwester hat er morgens immer so lange. Ich habe ihn vorhin erneut neugestartet; er hat aber immernoch ein Weilchen gebraucht.

Gestern Abend hatte ich ihn ja auch einige Male neustarten müssen, wobei er jedoch nicht soooo lange wie heute Morgen hatte.

Soweit ist das alles, was ich noch sagen wollte...

Nochmals vielen Dank für eure Unterstützung!

:aplaus:

Freundliche Grüsse
Isabelle

irrlicht · 18.05.2007, 15:33

Hallo,
kümmern wir uns jetzt um das Wareout Zeug...

Download Fixwareout.exe (http://swandog46.geekstogo.com/Fixwareout.exe)

- Speichere die Fixwareout.exe in einem eigenen Ordner Fixwareout unter C:\Programme/ Deine Fantasie....
- Starte die Fixwareout.exe -> next -> Install -> Run fixit -> Finish
- Speichere den Fixwareout_Report.
- Der Rechner wird neu aufgestartet
Zeige den Report vor.

Zitat:

Als ich den Compi heute Morgen aufstartete, hatte er unheimlich lange. Laut meiner Schwester hat er morgens immer so lange.

Das kenne ich,geht mir morgens genauso......:aplaus:
Da schaun wir später mal nach....

Zitat:

Wie ich da nur unschwer erkennen konnte, hab ich einen Trojaner auf dem Rechner...?

Ach ja...

Dieser deiner Meinung kann ich mich sogar nicht anschließen.....
Ich gehe mal davon aus ,du meinst diesen:

Zitat:

infiziert von "Trojan-Downloader.Java.Agent.c" Virus

Hört sich erst mal böse an,nicht wahr ?
Wenn man dann aber genauer hinschaut,sieht man folgendes :

Zitat:

Anwendungsdaten\Sun\Java\Deploym ent\cache\

Wobei hier das Zauberwort "Cache" ist.....
Rein theoretisch könnte der da bleiben,bis er schwarz oder grün ist...

Da er aber vermutlich von deinem Scanner immer wieder angemeckert wird,gehst du ins Java Cache und löscht den Inhalt.
Kommst du damit nicht zurecht,machst du die brutale Tour....

Lösche einfach den ganzen Java Ordner.Der "Cache" geht dann mit ins Datennirwana....
Google nach "Java sun " und lade von dort die neueste angebotene Version von Java...

Berichte wie es gelaufen ist...
Irrlicht

Izi · 19.05.2007, 14:18

Zitat:

Zitat von irrlicht

Ach ja...

Dieser deiner Meinung kann ich mich sogar nicht anschließen.....
Ich gehe mal davon aus ,du meinst diesen:

Hört sich erst mal böse an,nicht wahr ?
Wenn man dann aber genauer hinschaut,sieht man folgendes : ...

Hast wohl recht! =) Aber ich glaube, ich hatte mal einen Virus in einem dieser Ordner, daher meine unüberlegte Folgerung...

...Ich hab den PC einem Spezialisten vorbeigebracht. Der muss da sowieso noch was anderes machen und dann habe ich mich kurzer Hand entschlossen, dass er das Ganze mit dem Wareout und was weiss ich, auch noch machen könnte... :P

Daher hat sich das Ganze mehr oder weniger "von selbst" erledigt.

Vielen vielen Dank! Ich finde es super, dass ihr hier ein Forum habt, indem man seine Probleme bezüglich Viren usw. reinstellen kann. Is' echt toll!

:aplaus:

- Bis zum nächsten Mal!

Isabelle