Hallo Firefighter_BS,

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\GPGshell\GPGtray.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

und diese Dateien bitte auch, dazu hätte ich gerne etwas mehr Information:

File C:\WINNT\A
File C:\WINNT\I

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus/ VGA-Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...fe0549946e0de23

fixe diesen Eintrag bitte ebenfalls, wenn Du ihn nicht kennst/brauchst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm

boote in den normalen Modus.

Zu Webrebates, lies bitte --> hier.

SD

Hey, danke erst mal für die Antwort!

Heute kam komischerweise keine Virusmeldung... Vielleicht lag es an diesem TaskAd zeug, da ich es gestern gelöscht habe...

zu
C:\GPGshell\GPGtray.exe
das ist ein Oberflächenprogramm für GnuPG

C:\Program Files\Windows TaskAd\WinTaskAd.exe
diesen Ordner gibt es nicht mehr, da ich ihn gestern nachdem AntiVir angeschlagen hatte gelöscht habe!

================
C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

zu dieser Datei jetzt mal die Info:

File: SearchRelevancy.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.51 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.74 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.61 seconds taken)
mks_vir No viruses found (0.25 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (0.10 seconds taken)
===============================

File C:\WINNT\A
File C:\WINNT\I

beide Files wurden als OK angezeigt! Habe in die Dateien reingeguckt, da stand irgendwas mit MasterKey drin, hatte auch noch die Datei "E" oder "O" überall stand das selbe drin. Habe sie von Hand gelöscht, weil mir der Key nichts gesagt hat!

===============================

Den Eintrag mit dem Windowsupdate werde ich gleich mal Fixen, ein neues Hijack Log kommt dann noch!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm

Dieser Eintrag ist meine selbsterstellte Startseite, also OK!

Die Info zu Webrebates habe ich befolgt, und nur noch was im IE Chache gefunden, obwohl ich vorher das ClearProg drüber laufen lassen habe. Habe es per Hand gelöscht...

Danke erst mal für die Info. Werde jetzt gleich mal den Eintrag in Hijack Fixen und danach noch mal eScan drüber laufen lassen. Danach kommen die neuen LOG Files!

Danke!!!

Gruß

Daniel

Guten morgen!

Habe folgendes gemacht:
abgesicherter
ClearProg laufen lassen
die Sachen gefixt
neu booten in den abgesicherten
eScan
neu booten normal
Hijack.Log erstellt

eScan hat folgendes ergeben, habe die Dateien auch mit der Seite http://virusscan.jotti.org/de gecheckt.

=========
File C:\Dokumente und Einstellungen\Administrator\Desktop\mp3tool_1.5.0.0\mp3tool 19.06.04\setup_mp3tool_1.5.2.1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File: setup_mp3tool_1.5.2.1.exe
Status: POSSIBLY INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)(Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: VISEMAN, PE_PATCH

Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (probable variant) (1.37 seconds taken)

=========
File C:\Dokumente und Einstellungen\Administrator\Desktop\Neu Instalation\ActivePorts\ActivePorts.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File: ActivePorts.zip
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: VISEMAN, PE_PATCH, ASPACK

Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (0.91 seconds taken)

=========
File C:\Dokumente und Einstellungen\Administrator\Desktop\Neu Instalation\ActivePorts\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File: setup.exe
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: VISEMAN, PE_PATCH, ASPACK

Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (0.88 seconds taken)

=========
File C:\Programme\Logitech\Desktop Messenger\8876480\6.1.4.36-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

File: runner.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

Dr.Web not a virus Adware.BackWeb (0.49 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.BackWeb.a (0.58 seconds taken)

=============
File C:\Programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

File: backWeb-8876480.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

Dr.Web not a virus Adware.BackWeb (0.49 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.BackWeb.a (0.58 seconds taken)

==============
File C:\Programme\WinAmp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus. Action Taken: No Action Taken

File: bc-selfexec.wsz
Status: INFECTED/MALWARE
Packers detected: None

Kaspersky Anti-Virus Exploit.Win32.LnkRun (0.60 seconds taken)

=============

Was ist davon jetzt definitiv ein Virus, oder sind es alles Viren? Die "backWeb-8876480.exe" war gestern z.B. noch nicht da....

Die "ActivePorts\setup.exe", ist das ein Virus? Das ist ein Programm, womit ich meine offenen Ports beobachten kann....

Kann ich die Sachen von Hand löschen und habe damit Ruhe?

============================================

Das Hijack.log kommt in eine neue Antwort, weil diese hier zu lang ist....

Hier jetzt das Hijack.LOG

Logfile of HijackThis v1.98.2
Scan saved at 10:36:14, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Palm\HOTSYNC.EXE
C:\GPGshell\GPGtray.exe
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Virus\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Startup: Verknüpfung mit GPGtray.exe.lnk = C:\GPGshell\GPGtray.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29daf9f7...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{350249FB-41A3-471C-AD81-3DFFC78E53A1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{350249FB-41A3-471C-AD81-3DFFC78E53A1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{350249FB-41A3-471C-AD81-3DFFC78E53A1}: NameServer = 192.168.0.1

So, danke schon mal wieder für die Antwort!

Gruß

Daniel

@ Firefighter_BS,

um Malware von Hand zu löschen, folgende Schritte beachten:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus (VGA-MODUS), "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten.

Nicht löschen:

--> not-a-virus:Tool.Win32.Reboot. (Zeitliche Bestände)
--> not-a-virus:AdWare.BackWeb.a. No Action Taken.

Von Hand löschen:

File C:\Programme\WinAmp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus. Action Taken: No Action Taken

-------------

Boote in den VGA-Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

fixe wenn Du dies nicht brauchst/kennst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm

boote in den normalen Modus.

lösche:
C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

SD