Adware und Trojaner läßt sich nicht löschen

DocVooDoo · 16.06.2007, 14:02

sodele...nach erneutem eScan un der mini_find.bat bekam ich folgendes Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jun 14 21:58:30 2007 => System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen.
Thu Jun 14 21:59:11 2007 => System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen.
Thu Jun 14 21:59:11 2007 => System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen.
Thu Jun 14 21:59:18 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\ssubtmr.dll)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Jun 14 22:15:53 2007 => Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Jun 14 21:59:18 2007 => Offending file found: C:\WINDOWS\system32\ssubtmr.dll
Thu Jun 14 21:59:18 2007 => Offending file found: C:\WINDOWS\system32\ssubtmr.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Jun 14 21:59:14 2007 => Offending Key found: HKCU\\magnet !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKCU\\magnet !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ich hoffe das hilft uns jetzt weiter. Vielen DANK bis hierher.

DocVooDoo · 16.06.2007, 14:05

hööö? Datum ist 14.6.??? und die datei C:\WINDOWS\system32\ssubtmr.dll ist auch wieder vorhanden???

eben peil ich nix mehr -.-

myrtille · 16.06.2007, 15:12

eScan ist grad ein wenig zickig...
Schau dir mal die beiden Dateien an:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MWAV.LOG
C:\Dokumente und Einstellungen\Rico\Lokale Einstellungen\Temp\MWAV.LOG

und benenn die ältere irgendwie um. zb in escan.log.. versuch dann nochmal die mini_find.bat durchlaufen zu lassen. Vielleicht löst das die Verwirrung.

lg myrtille

DocVooDoo · 16.06.2007, 16:03

also nun hab ich dieses Ergebnis. so ähnlich wie das letzte.
ach übrigens, die datei C:\WINDOWS\system32\ssubtmr.dll wird
von Pluto (chatclient) erstellt. weil des programm geht nach dem löschen nimmer. nach neuer installation ist diese datei nämlich wieder vorhanden.

was hat denn das mit dem NWSAPAGENT aufsich? hab iwo anders gelesen des sei ein Trojaner mit backdoorfähigkeit. was kann ich denn gegen des teil tun?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jun 14 21:58:30 2007 => System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen.
Thu Jun 14 21:59:11 2007 => System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen.
Thu Jun 14 21:59:11 2007 => System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen.
Thu Jun 14 21:59:18 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\ssubtmr.dll)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Jun 14 22:15:53 2007 => Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Jun 14 21:59:18 2007 => Offending file found: C:\WINDOWS\system32\ssubtmr.dll
Thu Jun 14 21:59:18 2007 => Offending file found: C:\WINDOWS\system32\ssubtmr.dll
Thu Jun 14 21:59:18 2007 => Offending file found: C:\WINDOWS\system32\ssubtmr.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Jun 14 21:59:14 2007 => Offending Key found: HKCU\\magnet !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKCU\\magnet !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKCU\\magnet !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Thu Jun 14 21:59:14 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

myrtille · 16.06.2007, 16:41

Hi,
nicht immer das schlimmste befürchten.

(Obwohl es toll ist, dass du dich selbst informierst!)
Würde vermuten, dass die bemängelten Einträge von Microsoft sind: klick Ist jetzt nicht der tollste link ever, aber die Registryadressen, die erwähnt werden sind identisch mit deinen.

Lass die Datei ssubtmr.dll mal bei virustotal auswerten, nicht das ich pluto nicht traue, aber kontrolle ist besser und so.

Wenn du die toolbardeepdive- Einträge noch wegbekommen möchtest, würde ich dir empfehlen noch Adaware über dein System laufen zu lassen (oder Spybot)
Danach solltest du sauber sein.

lg myrtille

DocVooDoo · 16.06.2007, 17:08

sry....ich hatte vergessen zu erwähnen das ich Ad-Aware und Spybot S&D mehrmals hab durchlaufen lassen. im normalen sowie abgesichrten Modus. Aber die einträge bleiben vorhanden.

das würde jetzt wohl quasi heißen das mein System sauber ist???
mein eigentliches Prob des Threads haben wir schon dank deiner großen Hilfe gelöst.

worüber ich mich am meisten freu, ich hab echt ne menge dazu gelernt für die Zukunft

myrtille · 16.06.2007, 17:14

Joah, ich denk du bist sauber, bzw du warst eigenltich schon ne weile sauber.

Und das Dankeschön kann ich zurückgeben.

Zumindest weiß ich jetzt warum avenger killbox ersetzt hat.

Du kannst dir, falls du dich dafür interessierst, hier noch Infos zum System sichern anlesen:
neuaufsetzen, tolle Linksammlung
Wobei das größte Sicherheitsrisiko immer vorm Rechner sitzt.

lg myrtille

Adware und Trojaner läßt sich nicht löschen

Log-Analyse und Auswertung: Adware und Trojaner läßt sich nicht löschen