Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   brauche hilfe (https://www.trojaner-board.de/22309-brauche-hilfe.html)

wuhu 29.09.2005 23:10

brauche hilfe
 
Hallo,
ich habe heute c formatiert um die viren darin loszuwerden und anschließend windows neu installiert.

Jetzt habe ich noch mal einen escan gemacht und leider hat er folgendes gefunden(2x):

Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Ich muss zugeben, dass ich die internetverbindung schon bestehen hatte und dann erst service pack 2 und andere windows updates heruntergeladen habe.
Nun ist meine Frage, muss ich schon wieder formatieren oder kann man diese Spyware irgendwie entfernen, welcher Natur ist sie?
Außerdem hat er 21 Meldungen zu Einträgen ausgegeben, die sich auf ein invalides Objekt beziehen. Was bedeuted das genau, muss ich mich darum auch kümmern oder kann ich das ignorieren?

cotton 29.09.2005 23:38

whenu hatte ich auch...savenow ...
unter c/programme müsste ein ordner "savenow" oä sein (evtl topmoxie)
savenow unter programm- und zugriffstandarts deinstallieren
unter c/programme reste löschen (wenn ordner savenow und topmoxie noch vorhanden)
einen reg-cleaner laufen lassen ...

ich hatte savenow von computerbild (mit nem bildschirmschoner) "bekommen". auf mails hat man nie geantwortet. absicht?
fakt - savenow(whenu) soll sich angeblich "legal" install - in den lizensbest. soll was davon drin stehen, das es mitinstall wird.
sagen von sich, sie sammeln nur konsumverhalten.
hatte mal die internetseite von denen über google gefunden - jetz aber nich mehr weil - http://www.heise.de/newsticker/meldung/47369

:D :aplaus:

ansonsten mal ein hjtlog posten ...

wuhu 30.09.2005 23:52

Das hört sich zum Glück nicht so gefährlich an.

Wo finde ich denn die programm- und zugriffstandarts?

den ordner savenow oder topmoxie gibt es bei mir nicht unter c:\programme

cotton 02.10.2005 00:11

@wuhu
Zitat:

Wo finde ich denn die programm- und zugriffstandarts?
unter "start"
oder unter systemsteuerung - software
...dort dann auf "programme ändern/entfernen" und "savenow" (wenn vorhanden) deinstall.
Zitat:

Ich muss zugeben, dass ich die internetverbindung schon bestehen hatte und dann erst service pack 2 und andere windows updates heruntergeladen habe.
... ein hijackthis-logfile kann nicht schaden (anleitung hier auf dem trojanerboard) (und die log bitte hier posten)

@all
Zitat:

Außerdem hat er 21 Meldungen zu Einträgen ausgegeben, die sich auf ein invalides Objekt beziehen. Was bedeuted das genau, muss ich mich darum auch kümmern oder kann ich das ignorieren?
versteh ich auch ((hoffentlich)noch) nich ... :o

Cobrus 02.10.2005 18:24

Heiho

Zitat:

Zitat:
Außerdem hat er 21 Meldungen zu Einträgen ausgegeben, die sich auf ein invalides Objekt beziehen. Was bedeuted das genau, muss ich mich darum auch kümmern oder kann ich das ignorieren?

versteh ich auch ((hoffentlich)noch) nich ...
@wuhu
Diese "invalid objects" wirft er bei mir immer aus, wenn ich irgendwelche Programme lösche, aber die registry-Einträge bestehen bleiben. Lass einfach mal einen Windows Optimizer (TuneUp, Ashampoo, Norton Utilies, etc.) laufen, der sollte das in Ordnung bringen.


mfg
Cobrus

wuhu 02.10.2005 20:18

hier die HijackThis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:01:13, on 02.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Antivir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Acrobat Reader\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128003474836
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE

cotton 02.10.2005 20:31

hey,
hast du antivir? wenn nich wäre schlecht. antivir is ja normal in C/programme/avpersonal ...
bei dir auf D/antivir ...
?
würde denken, das ist nicht normal. kanst ja mal die
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
D:\Antivir\AVGNT.EXE
bei http://virusscan.jotti.org/ prüfen lassen ...
aaaahh. oder hast du die kaufversion von AV?
(...ich lern auch noch... :) )

wuhu 02.10.2005 20:41

ja, ich habe Antivir, aber nicht die Kaufversion.
dass es nicht in C sondern in D ist liegt daran, dass ich es dorthin installiert habe, und absichtlich ohne den überordner "programme"

was mich nur wundert, ist das so viel von windows messenger und icq lite in der logfile drinsteht, denn ich starte icq lite manuell und habe es nicht im autostart drin (soweit ich weiß) und windows messenger benutze ich gar nich... ;)

mfg wuhu

cotton 02.10.2005 20:57

icq... is im autostart.
windows messenger kann man deinstall. start/systemsteu/software/nicht benötigte windowskompo... oä
das mit antivir - lad mal (siehe oben:rolleyes: )bei jotti hoch
ansonsten hoff ich, guckt noch jemand anderes in deine log.
(sag ja, lern auch noch...) :dummguck:

wuhu 02.10.2005 23:23

jotti findet nichts bei den 3 antivir dateien...

mfg wuhu


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131