Hallo Leute.
Also ich bin neu hier und hab schon einiges gelesen aber wurde bis jetzt noch nicht schlauer...

Also mein Problem ist folgendes:
Habe von nem Kumpel eine .rar datei mit einem demotool empfangen und wollte dieses installieren. Als das setup startete sagt mir die kaspersky internet sec. dass eine schädliche .exe datei gefunden wurde. Habe dann auf löschen geklickt, wurde dann angeblich auch erfolgreich gelöscht. Im Kaspersky steht nun :
gelöscht: trojanisches Programm backdoor.w32.poisonIvy.ay --- C:win/1-crypted2.exe
So, Kaspersky findet jetzt auch beim scan nichts... und adaware und so auch nicht. Allerdings habe ich nachdem was ich hier so gelesen habe was backdoors angeht ein bischen muffel....
Meine Frage nun:
a) System plattmachen oder nicht? habe halt auch gelesen dass er der wurm ne zeit braucht um sich "zu verbreiten" aber ich habe ihn ja direkt "gelöscht".
b) sollte eine Neuinstallation nötig sein, kann ich fotos und word dateien behalten bzw auf nem usb stick sichern und wieder draufmachen?
mfg und danke schonmal
PS: System ist windows vista.

Hi,

das kann man so nicht sagen;
Falls die verseuchte Exe gestoppt wurde bevor sie ins Laufen kam, dürfte keine Infektion vorliegen. Falls das Ding allerdings den Packer per Speicherüberlauf (zip-bombe) manipuliert hat, dann kann das System durchaus schon komprimitiert sein...

Daher bitte ein HJ-Log gemäß Signatur (Link) durchführen und alternative Scanner bemühen, z. B. Escan (Signatur) oder PrevX:
http://www.prevx.com/freescan.asp

Falls die was finden, das entsprechende Log ebenfalls posten...

chris

danke für die antwort
so also prevx csi hat nix gefunden... hab jetzt ne hijack logfile erstellt... reicht es die links mit h**p zu editieren oder worauf soll ich noch achten, damit nicht die ganze weltgeschichte alles weiß

Hi,

-> http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

chris

so hoffe mal dass das so richtig is.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:12:19, on 22.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Utilities\VolControl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Windows\ehome\ehmsas.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\TosBtProc.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Haufe iDesk-Service in C:\Program Files\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxbc_device - - C:\Windows\system32\lxbccoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8000 bytes

Hi,

ich auf Basis des HJ-Logs auch nichts;

Eigentlich würde ich ComboFix noch laufen lassen, der funzt aber nicht unter
Vista...

Escan ist auch recht gut, besticht aber auch durch eine hohe Fehlerkennungsrate (in frühen Version hat er sich selbst als Virus erkannt ;o)...

Lass Escan mal laufen (s. Signatur, poste falls was gefunden wurde das log (ausser Cookies))...

chris

Zitat:

Zitat von ankatit

Im Kaspersky steht nun :
gelöscht: trojanisches Programm backdoor.w32.poisonIvy.ay --- C:win/1-crypted2.exe

das wird richtig sein.
was hast Du denn für Kumpel? Freunde infizieren finde ich nicht sehr fein. Wenn ich an Deiner Stelle wäre, wäre das mein Kumpel gewesen.

so also e-scan is durchgelaufen und er sagt mir ich hab 68 viren und 46 fehler...
aber ich weiß nicht... am meißten wurde ein lophtcrack gefunden.... soll ich das log mal posten....und muss ich da auch besser irgendwelche angaben verändern vor dem posten?

mfg

PS: tja mein kumpel hat die datei vorher runtergeladen und bei sich auch installiert... allerdings hat er nur antivir und das hat nichts gemeldet.... also entweder ist sein programm schlecht oder das teil hat sich auf dem weg über icq eingeschlichen.... aber genervt bin ich trotzdem....in zukunft wird selber gezogen....

Hi,

ja, poste mal das Escan-Log...

Chris

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows [Version 6.0.6000]
Bootmodus: NETWORK

eScan Version: 9.6.7
Sprache: German
Virus-Datenbank Datum: 1/19/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6120-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6121-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6122-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6123-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6125-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6126-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6127-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6128-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({608e8b11-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c431-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c432-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c433-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c434-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c435-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c436-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8996b0a4-d7be-101b-8650-00aa003a5593})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c430-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({5deca4e0-3b4f-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({608e8b10-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8a906ac2-be4b-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c448-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c449-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44c-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44d-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44f-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({a24604ba-c27f-11d1-9c4e-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({d5688691-e6b0-11d1-89b0-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({edbc92f0-b34c-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({f3743560-454e-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolcombo)! Action taken: Keine Aktion vorgenommen.
System found infected with pcturbopro Corrupted Adware/Spyware (hkey_classes_root\typelib\{8996b0a4-d7be-101b-8650-00aa003a5593})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axisscale)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.generalpage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.labelspage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.gridlinespage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axespage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.constantstripespage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.fillborderpage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.chart)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.page3d)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axisscale.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.generalpage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.labelspage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.gridlinespage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axespage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.constantstripespage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.fillborderpage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.chart.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.page3d.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolbar)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.commandbar)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolcombo.1)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolbar.1)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.commandbar.1)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Users\***\AppData\Roaming\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{472fe4dd-a2b6-11dc-b6af-e48062fed44a} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f59946b0-0796-11dc-93e7-806e6f6e6963} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {f59946b0-0796-11dc-93e7-806e6f6e6963}\shell\Autoplay\DropTarget\AutoRun\command: E:\AUTORUN.EXE
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\Windows\System32\drivers\etc\hosts :
C:\Windows\System32\drivers\etc\hosts :::1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 130133
Gefundene Viren: 68
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 46
Dauer des Scans bisher: 01:05:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:43:19,92
Batchende: 11:43:43,73

Ha,

das ist genau dass, wieso ich Escan so liebe...
Bitte online prüfen:
E:\AUTORUN.EXE
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen im Thread
http://www.virustotal.com/flash/index_en.html

Für die zweite Angabe existiert leider keine Pfadangabe;

So lassen wir CureIT mal los, der läuft auch unter Vista (immerhin hat ja PrevX nichts gemeldet):
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

chris

so dass is von virus total. hab die datei hochgeladen und auf analysieren geklickt:
Datei autorun.exe empfangen 2008.01.22 15:22:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 21.
Geschätzte Startzeit is zwischen 101 und 145 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.23.10 2008.01.22 -
AntiVir 7.6.0.48 2008.01.22 -
Authentium 4.93.8 2008.01.22 -
Avast 4.7.1098.0 2008.01.22 -
AVG 7.5.0.516 2008.01.22 -
BitDefender 7.2 2008.01.22 -
CAT-QuickHeal 9.00 2008.01.21 -
ClamAV 0.91.2 2008.01.22 -
DrWeb 4.44.0.09170 2008.01.22 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5477 2008.01.22 -
Ewido 4.0 2008.01.22 -
FileAdvisor 1 2008.01.22 -
Fortinet 3.14.0.0 2008.01.22 -
F-Prot 4.4.2.54 2008.01.21 -
F-Secure 6.70.13260.0 2008.01.22 -
Ikarus T3.1.1.20 2008.01.22 -
Kaspersky 7.0.0.125 2008.01.22 -
McAfee 5212 2008.01.21 -
Microsoft 1.3109 2008.01.22 -
NOD32v2 2815 2008.01.22 -
Norman 5.80.02 2008.01.21 -
Panda 9.0.0.4 2008.01.21 -
Prevx1 V2 2008.01.22 -
Rising 20.28.12.00 2008.01.22 -
Sophos 4.24.0 2008.01.22 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.22 -
TheHacker 6.2.9.193 2008.01.22 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.21 -
Webwasher-Gateway 6.6.2 2008.01.22 -
weitere Informationen
File size: 28672 bytes
MD5: 0cebdb81611bfde48268597e9203efec
SHA1: 8dbf7b9b3600872eb9b42ce606a1d6597b25d489
PEiD: Armadillo v1.71

mache jetzt noch cureit....

Zitat:

Zitat von Chris4You

E:\AUTORUN.EXE

Ist Partition E: vllt ein optisches LW bzw ein gemountetes iso-File?

Marc

BTW:
Die find.bat ist nicht wirklich für Vista geeignet bzw wir haben das nicht wirklich getestet

so...
also E: ist mein dvd laufwerk und dort ist ne original dvd drin.(PC Spiel)
Hab jetzt CureIT laufen lassen. hat bei vollständiger prüfung 3 1/2 h gedauert

gefunden hat er einen virus....
AddToolbarButton.exe C:\Toshiba\ebay Trojan.Kiil.origin Nicht desinfizierbar.Verschoben.

War bei e-scan was schädliches dabei?
mfg

Zitat:

Zitat von ankatit

a) System plattmachen oder nicht?

sorry das ich so unpassend den thread unterbreche;
Nein. ist IMO nicht nötig..

nicht jeder 0815/virus der wenige kbyte groß kann ein system dermaßen kompromittieren das es sich nicht durch einfaches entfernen infizierter dateien, wieder in einem natürlichen zustand befindet

richtige kompromittierung findet eigentlich durch den hacker (angreifer) selbst statt.. der sich durch den 0815/virus zugang geschafft hat zum system..

BTW:von einem raubkopierten windows geht theoretisch mehr gefahr aus als von einem 0815/virus..

@ankatit
bei befürchten eine backdoor sollte unbedingt wireshark installiert werden
-- testbedingungen --
-systemfunktionen noch nicht manipuliert
//was in bezug nur zu dieser sache(diesem thread) zu 90% sicher ist
- internetverbindung herstellen mit dem PC, aber keinerlei anwendungen ausführen die netzwerkverkehr verursachen.. so das eigentlich kein netzwerkverkehr vorhanden sein darf
- den "test" öffters machen