Hallo liebe User,

mein Bruder schickte mir gerade eine SMS mit der Nachricht,
dass er sich den Schädling "HTML/ADODB.Exploit.Gen" beim surfen im Internet eingefangen hat.
AntiVir gab als Fundort "C:\Dokumente und Einstellungen" (mehr schrieb er nicht) an.
Der Zwischenfall ereignete sich vor etwa einer Stunde und mein Bruder kappte sofort die Verbindung zum Internet.

Da ich von "Lösch"-Tools nichts halte und bei Maleware-Funden
konsequent das System neu aufsetze, möchte ich nur wissen,
ob jemand mit diesem Schädling Erfahrung hat und was er anrichten kann.

Danke im Vorraus für Eure Mühen.

Gruß

Nez_Perces

PS: Habe mich schon mittels "Google" versucht schlau zu machen, aber nicht wirklich hilfreiches dabei gefunden.

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Gruß
Sunny

Lieber [Gc]Sunny,

danke für Dein Willkommen (obwohl ich schon länger hier mitlese und angemeldet bin).
Falls Du zur Beantwortung meiner Frage das HijackThis-Logfile brauchst, kein Problem.
Wie gesagt, dass Mißgeschick ist meinem Bruder passiert.
Da ich zur Zeit bei der Arbeit bin, kann ich das Logfile erst morgen posten.
Ich hatte gehofft, dass man mir auch ohne Logfile sagen könnte, was speziell diese Malware anrichten könnte, da ich heute Abend vorhabe mein System neu aufzusetzen.

Aber danke für die Antwort.

edit: Jetzt passt der Smiley!

.....wer den Schaden hat...etc. etc.....

Da anscheinend ohne diverse Logs über diesen Schädling nichts genaueres gesagt werden kann
und ich mein System heute Abend plattmachen werde, kann man den Post ruhigen Gewissens ignorieren.

Zitat:

Zitat von Nez_Perces

.....wer den Schaden hat...etc. etc.....

Da anscheinend ohne diverse Logs über diesen Schädling nichts genaueres gesagt werden kann
und ich mein System heute Abend plattmachen werde, kann man den Post ruhigen Gewissens ignorieren.

Wie soll ich denn etwas genaueres über irgend eine Malware sagen wenn ich nicht mal weiß wie die Datei heisst welche als HTML/ADODB.Exploit.Gen erkannt wird?

Hast du eigentlich eine Vorstellung wieviele Virensignaturen es derzeit gibt, und vor allem wieviele Varianten?

Ein Hijacklog hast du nicht "eingereicht", einen eScan ebenfalls nicht gemacht, wieso eigentlich nicht?

Sorry, mein vorheriger Post sollte nicht als Angriff gedacht sein.

a) Ich habe keine Logs erstellt, da ich noch bei der Arbeit bin.
b) Ich möchte nicht mit einem möglicherweise kompromittierten System online gehen.
c) Vergaß ich meinen Bruder nach der Datei zu fragen.

Friede?

edit: Wie ich schon gesagt habe, ich halte nichts von "Lösch"-Tools und wollte mein System deshalb neu aufsetzen. Nur dachte ich (fälschlicherweise), dass man vielleicht anhand der Signatur einiges über den Schädling sagen könnte.
Tut mir leid, dass ich da falsch lag.

Hier ist mein Hijack-Log (erstellt im abgesicherten Modus):

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 06:33:22, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Sicherheit\Hijack This\This.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = IrfanView Frequently Asked Questions
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] F:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] F:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - F:\Internet\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

------------------------------------

Hier das Ergebnis des escan-Scans (tolles Wort ):

Zitat:

Entry "HKCR\NMUIEngine.NMUIResourceLoaderHarddisk" refers to invalid object "{03DC5606-EA66-4f02-AB52-2065524B03821}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\ZoneLabs\isafeif.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\ZoneLabs\vetredir.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxwma.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Badges\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Banners\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Data\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Data\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Data\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Logfiles\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Movies\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Patch\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Playback\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Profiles\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\ScreenShots\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Stats\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Czech\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\English\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\English_Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\French\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Italian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Korean\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Korean adult\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Polish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Russian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Slovak\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\Spanish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Czech\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\English\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\English_Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\French\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Italian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Korean\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Korean adult\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Polish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Russian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Slovak\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\Spanish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Czech\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\English\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\English_Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\French\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Italian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Korean\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Korean adult\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Polish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Russian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Slovak\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\Spanish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Czech\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\English\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\English_Chinese\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\French\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Italian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Korean\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Korean adult\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Polish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Russian\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Slovak\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\BugReport\Spanish\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Movies\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\Engine\Locale\German\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\GraphicsOptions\Locale\German\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "G:\Spiele\DoW\W40k\Locale\German\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4B002131-B395-428B-8F27-8D3FCB7750B7}". Action Taken: No Action Taken.

-----------------------------------------------------------------

Hier auch die AntiVir-Meldung:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\Schneebly\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9bl4mldy.default\Cache\_CACHE_002_'
wurde ein Virus oder unerwünschtes Programm 'HTML/ADODB.Exploit.Gen' [HTML/ADODB.Exploit.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

19.09.2007 - 11:47

-----------------------------------------------------------------

Ich entschuldige mich für die ungenügenden Angaben in meinen vorherigen Posts und bitte Euch, sich meine Logs mal anzusehen.

Zu meinem System:

-Windows XP Prof. mit SP2
-AntiVir (tägliche Updates) + ZoneAlarm 7.0 (diskussionswürdig, ich weiss..)
-Script zur Abschaltung unnötiger Windows-Dienste ausgeführt (alle Vorschlage gemäß dingens.org durchgeführt)
-Surfe mit eingeschränkten Rechten

Nochmals danke für Eure Mühen und die Geduld.

Gruß

Nez_Perces

PS: Diese escan-Meldungen kann ich nicht einordnen. Kommt es daher, dass ich Programme nicht auf C: sondern auf einer anderen Partition installiere?

Zitat:

Zitat von Nez_Perces

Zu meinem System:

-Windows XP Prof. mit SP2
-AntiVir (tägliche Updates) + ZoneAlarm 7.0 (diskussionswürdig, ich weiss..)

Auch wenn es fragwürdig ist, besser das als keine Firewall.

Zitat:

-Script zur Abschaltung unnötiger Windows-Dienste ausgeführt (alle Vorschlage gemäß dingens.org durchgeführt)

Zitat:

-Surfe mit eingeschränkten Rechten

Das ist auch im Hijacklog ersichtlich.

Das Logfile ist meiner Ansicht nach sauber, aber um den o.g. Exploit zu entfernen, bedarf es dieser Vorgehensweise:

Starte Firefox -> Extras -> Datenschutz -> Private Daten -> Einstellungen -> NUR den Cache anhaken -> OK ...

Danach Firefox schliessen und neu starten lassen! Suche danach noch mal mit Antivir dein System ab, und berichte ob noch etwas gefunden wird.

Sunny

Danke für die Antwort. Ich werde (da ich nicht daheim bin) meinem Bruder gleich Bescheid sagen und poste dann seine Antwort.

Wie gesagt, nichts für Ungut und danke für Deine Geduld.

Zitat:

Zitat von Nez_Perces

Wie gesagt, nichts für Ungut und danke für Deine Geduld.

Kein Problem, es ist ja Friede...

Mein Bruder meinte, er hätte den Exploit schon gestern Abend gelöscht (auf Anfrage vom AntiVir-Programm, was er denn tun wolle).
Das wusste ich heute Morgen als ich die Scans durchführte nicht. Mir kam es schon komisch vor, dass escan nichts entdeckt hat.
Als er jetzt, nachdem Löschen des Firefox-Cache, AntiVir nochmal durchlaufen ließ, gab es keine Meldungen mehr.
Würdest Du jetzt dieses System als vertrauenswürdig ansehen?

PS:

Zitat:

Würdiger Teilnehmer im DD Klischee-Thread

Zitat:

Zitat von Nez_Perces

Würdest Du jetzt dieses System als vertrauenswürdig ansehen?

Kein System dieser Welt sehe ich als vertrauenswürdig an, nicht mal mein eigenes.

*Scherz* Ich denke das dein Bruder wieder beruhigt surfen kann ..

Zitat:

PS:

Würdiger Teilnehmer im DD Klischee-Thread

Was meinst du damit?

Ehrlich gesagt, wollte ich Dich das fragen, da es in Deinem ersten Antwort-Post in der Gedankenblase Deines Smileys (den Du nach belieben verändern kannst ) erscheint/erschien.

PS: Diese Error-Meldungen im escan-Log, können die daher rühren, dass ich Software nicht auf C: installiere sondern in einer eigenen Partition? Diese Meldungen habe ich jedesmal, wenn ich einen Scan durchführe (auch früher).

Zitat:

Zitat von Nez_Perces

Ehrlich gesagt, wollte ich Dich das fragen, da es in Deinem ersten Antwort-Post in der Gedankenblase Deines Smileys (den Du nach belieben verändern kannst ) erscheint/erschien.

Da scheint wohl irgendwas mit dem Smiliegenerator falsch zu laufen..

Zitat:

Zitat von [Gc]Sunny

Da scheint wohl irgendwas mit dem Smiliegenerator falsch zu laufen..

Ein Virus??