Trojaner-Board - Erstes Mal mit Escan

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - Erstes Mal mit Escan (https://www.trojaner-board.de/20513-erstes-mal-escan.html)

Erstes Mal mit Escan

Hallo, ich hab heute zum ersten Mal den Escan getestet. Ich war mir eigentlich sicher, daß er nichts findet. Aber er meldete fünf Viren. Ich hab das Logfile auch mit Find.bat ausgewertet und poste es nachfolgend. Voraus möchte ich Euch schon für Eure Tipps und vor allem den Machern der beiden Programme danken.

Warum im Logfile nur drei Meldungen angezeigt wurden, obwohl Escan fünf Viren gemeldet hat, vermag ich nicht zu sagen.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Aug 05 17:53:37 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Fri Aug 05 18:55:29 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
Fri Aug 05 18:55:29 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\RGDRVLS.EXE.VIR
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Im abgesicherten Modus den Inhalt folgenden Ordners leeren:

C:\Programme\AVPersonal\INFECTED

Spybot und/oder Adaware sollten das Alexa Problem lösen.

Poste zusätzlich mal die Statistiken, d.h. den Teil des Logs, der Informationen darüber gibt, wieviele Dateien untersucht wurden, wie lange der Scan dauerte... .
Das ist der Teil der mwav.log Datei, der sich ganz am Ende befindet.

Erstmal guten Morgen,

Spybot hab ich gestern abend noch laufen lassen, allerdings nicht im abgesicherten Modus. Er fand auch so fünf oder sechs Spione, die er artig entfernt hat. Ich probiers nachher trotzdem nochmal im abgesicherten Modus. Einstweilen poste ich noch den Logauszug von gestern (E-Scan):

Fri Aug 05 20:39:33 2005 => ***** Scan vollständig. *****

Fri Aug 05 20:39:33 2005 => Gescannte Dateien: 112708
Fri Aug 05 20:39:33 2005 => Gefundene Viren: 5
Fri Aug 05 20:39:33 2005 => Anzahl der desinfizierten Dateien: 0
Fri Aug 05 20:39:33 2005 => Umbenannte Dateien: 0
Fri Aug 05 20:39:33 2005 => Anzahl der gelöschten Dateien: 0
Fri Aug 05 20:39:33 2005 => Anzahl Fehler: 519
Fri Aug 05 20:39:33 2005 => Zeit vergangen: 02:46:22
Fri Aug 05 20:39:33 2005 => Virus Datenbank Datum: 2005/08/05
Fri Aug 05 20:39:33 2005 => Virus Datenbank Zähler: 142257

Fri Aug 05 20:39:33 2005 => Scan vollständig.

Fri Aug 05 20:39:55 2005 => Virus Datenbank Datum: 2005/08/05
Fri Aug 05 20:39:55 2005 => Virus Datenbank Zähler: 142257
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write Version Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write Drive Index Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write Drive Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write Drive Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write AddToStartUp Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write AllFiles Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write ProgramFiles Setting...
Fri Aug 05 20:39:55 2005 => ERROR!!! Unable to Write Option ZOpt0 Setting...
Fri Aug 05 20:40:13 2005 => AV Library Unloaded (3)...

______________________________________________________________________________---

So, zweiter Teil:

Habe im abgesicherten Modus den Ordner C:\Programme\AVPersonal\INFECTED manuell gelöscht, also erst in den Papierkorb und dann weg damit. Es war nur eine Datei darin enthalten. Als nächstes hab ich im abgesicherten Modus nochmal Spybot laufen lassen. Er hat mir gratuliert, weil keine Spione an Bord sind.

Nachfolgend poste ich noch den ersten Teil des Berichts von Spybot, der gestern entstand, bevor ich die Malware entfernen lies. Ich bin mir jetzt halt nicht sicher, ob die Alexa noch da ist oder nicht.

--- Report generated: 2005-08-05 22:49 ---

Peper: Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-3763490448-2686059608-1536381570-1005\Software\Microsoft\Internet Explorer\New Windows\PopupMgr

Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

7FaSSt: Verfolgender Cookie (Firefox: default) (Cookie, fixed)
7FaSSt: Verfolgender Cookie (Firefox: default) (Cookie, fixed)
Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Avenue A, Inc.: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

BFast: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

FastClick: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

HitBox: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

Advertising.com: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

SexList: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

SexList: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

SexList: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

TargetNet: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

TargetNet: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

ValueClick: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

WebTrends live: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

WebTrends live: Verfolgender Cookie (Firefox: default) (Cookie, fixed)
WebTrends live: Verfolgender Cookie (Firefox: default) (Cookie, fixed)

__________________________________________________________________

Dritter Teil:

habe jetzt auch noch Ad-Aware drüber laufen lassen. Hier wurden auch sieben Sachen gefunden, die nicht in Ordnung sind. Leider hab ich mir da das Log-File nicht gesichert, sondern die Schadensbehebung gleich machen lassen. Jetzt meldet auch Ad-Aware, daß nichts mehr drauf ist. Aber eine Alexa hat er auch nicht gefunden.

Dann poste mal ein Hijackthis-Logfile .
Hier müssen wahrscheinlich noch 2 Einträge gefixt werden.

Ahja, da Hijicklog-File, hätte auch selber dran denken können. Kommt sofort:

Logfile of HijackThis v1.99.1
Scan saved at 07:51:05, on 07.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ximig.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Firebat Assistant] C:\Dokumente und Einstellungen\C***s\Eigene Dateien\lluna-2.5.7\llunaAssistant.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office2000\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

ich möchte nicht unhöflich sein oder drängeln. Aber ich bin momentan doch etwas verunsichert, weil ich ned weiß, ob ich diese Alexa noch an Bord habe. Auch diese Aussage

Zitat:

Hier müssen wahrscheinlich noch 2 Einträge gefixt werden.

trägt nicht unbedingt zu meiner Beruhigung bei. Deshalb bitte ich nochmal, ob sich bitte wer meinen Logbericht anschauen möchte. Vielen Dank.

Hallo,
auf die Gefahr hin, daß ich mir den Unwillen der Verantwortlichen zuziehe, schiebe ich den Thread doch nach oben. 277 Besucher haben diesen Thread gelesen, aber helfen konnte mir offensichtlich keiner. Seit meinem Logbericht ist tote Hose, das verwundert mich. So kenn ich dieses Board nicht, auch wenn ich noch nicht lang dabei bin.

Das mit Alexa kannst du schlicht und einfach vergessen.
http://www.derfisch.de/Populare-Fals...n-zu-XP.html#2

Gruß :daumenhoc
Yopie

Ahja danke, aber was genau willst du mir damit sagen?

Muß ich mit dem Teil leben oder bekomm ich es weg.

Und dann sollen ja, wenn ich nach Cronos Antwort gehe, noch ein paar Sachen zum fixen da sein. Leider weiß ich nicht, welche oder was oder wie.

Ich bin etwas ratlos momentan.

Zitat:

Zitat von Haegar1

Ahja danke, aber was genau willst du mir damit sagen?

Das alles in Butter ist.

Zitat:

Und dann sollen ja, wenn ich nach Cronos Antwort gehe, noch ein paar Sachen zum fixen da sein. Leider weiß ich nicht, welche oder was oder wie.

Hab das Log nur überflogen, konnte da aber nichts böses entdecken.

Gruß :daumenhoc
Yopie

Danke, genau das wollte ich hören *ggg*