|
Infected: not-a-virus:AdWare.Win32.MediaBack.a Hallo und Guten Tag, ich suche Hilfe zu folgendem Problem. Der KASPERSKY ONLINE SCANNER und eScan melden mir den Befall meines Rechners mit "AdWare.Win32.MediaBack.a". (Konkret: C:\WINDOWS\system32\bvicore.dll Infected: not-a-virus:AdWare.Win32.MediaBack.a) Ich finde in den entsprechenden Nachschlagewerken, Foren und sonstwo keine Infos, ob das nun harmlos ist oder nicht. Vielleicht kann mir jemand von Euch etwas dazu verraten oder macht sich gar die Mühe und schaut sich mein HiJackThis-Log mal kirtisch an. Ich habe keine Lust mein System neu aufzusetzen, nur weil ein hyperaktives und sensibles Warnprogramm Arlam schlägt. Bin kein Experte und AntiVir, Adware und MS AntiSpy sowie Spybot Search & Destro verhaten sich ruhig. Im Voraus: Vielen Dank für jedwede Hilfestellung! MfG Galahad Logfile of HijackThis v1.99.1 Scan saved at 22:12:46, on 08.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\TOOLS\AVPERSONAL\AVGUARD.EXE C:\Programme\Tools\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\Fast.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\fast.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\Tools\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Tools\AVPersonal\AVSched32.EXE C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\Winamp\winampa.exe C:\Programme\Tools\D-Tools\daemon.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\McAfee\QuickClean\Plguni.exe C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver (USB)\BelkinWlanMonitor.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Tools\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Tools\CCleaner\ccleaner.exe C:\PROGRA~1\TOOLS\WINZIP\winzip32.exe H:\Dokumente und Einstellungen\...\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Tools\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Tools\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Tools\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Belkin Wireless Network Monitor Utility (USB).lnk = C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver (USB)\BelkinWlanMonitor.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll (Anmerkung: Dies und die folgenden sind wohl durch die T-Online-Software verursacht) O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://gameadvisor.futuremark.com/global/msc37.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{684F6268-8013-4C60-81EC-174550D5BA7F}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{E02C0BB0-6E77-41E8-822A-006CC90ACA09}: NameServer = 192.168.2.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\TOOLS\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Tools\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Tools\T-DSL SpeedMa nager\tsmsvc.exe |
Hallo, also nach meiner Recherche ist das wirklich Adware, ich würde die Datei löschen. Ansonsten sieht dein Log recht sauber aus, dieser Eintrag: R3 - Default URLSearchHook is missing kannst du noch fixen (Haken davor und auf "fix checked"). Grüße Wildone |
Hallo, fixe mal folgende Einträge: R3 - Default URLSearchHook is missing Prüfe die Datei bei Jotti, hier scannen sie mehrere Engines. Führe einen eScan durch escan Anleitung Gruß Schrulli |
Hi Wildone, Hi Schrulli, vielen Dank für die schnellen Reaktionen. Ich habe mich nicht getraut das escan-log zu posten - wegen der Länge. Außerdem sind mir die "7 Errors" etwas peinlich :lach: Bei escann heißt es ebenfalls: "File C:\WINDOWS\system32\bvicore.dll tagged as not-a-virus:AdWare.Win32.MediaBack.a. No Action Taken." Aus dem ganzen Rest werde ich als Ottonormaluser nicht schlau. Den Scan der dll.-Datei bei Jotti führe ich heute abend mal durch, wenn ich wieder vor der Kiste sitzte. Besten Dank nochmal! Gruß G. |
HI, ich misch mich mal kurz ein: lade Dir Ewido Testversion runter und lasse es laufen. Ewido erkennt und beseitigt MediaBack. cacatoa |
Danke für die "Einmischung". |
Eins noch, cacatoa, was meinst Du mit "aktive Links" und "persönliche Datei" beseitigen, habe ich in meinem HJ -Log etwas übersehen und zuviel über mein Systemchen veraten? Oder ist das nur ein allgemeiner Hinweis @all? |
Servus, das geht an alle, und ist ein Präventiv-Hinweis. Du hast es schon richtig gemacht ;) . cacatoa |
N´abend allerseits, habe inzwischen Jotti über die Datei C:\WINDOWS\system32\bvicore.dll laufen lassen. Bestätigte den Virus wie zuvor eScan und der KASPERSKY ONLINE SCANNER. Eine Virenscanner sprach von dem "AdWare.Win32.MediaBack.a" sogar als Backdoor-Trojan. Da wollte ich dann schon gleich das System neu aufsetzten. :heulen: Habe dann aber Ewido im abesicherten Modus bei ausgeschalteter Systemsicherung drüber laufen lassen. Ewido bestätigte den Befall, riet aber zu "keine Panik" und schlug vor die dll-Datei zu löschen. Das habe ich dann auch gemacht. Meine Frage: Bin ich nun auf der sichern Seite oder muss ich zwingend "neu aufspielen"? Danke für Eure Hilfe und Hinweise - Sehr hilfreiches Forum :aplaus: MfG G. der Verunsicherte |
hallo, also wenn es wirklich ein backdoor trojaner war,wäre ich etwas vorsichtig. denn normal lassen die sich nicht so einfach löschen. aber arbeite doch mal wieder den Escan punkt für punkt ab und teile das ergebniss der find.bat mit. mal sehen was dann dabei rauskommt?? |
aber arbeite doch mal wieder den Escan punkt für punkt ab und teile das ergebniss der find.bat mit. mal sehen was dann dabei rauskommt??[/QUOTE] Hat ein wenig gedauert: ;) Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jan 10 22:46:08 2006 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.* Tue Jan 10 23:14:27 2006 => Scanning Folder: C:\Programme\Tools\AVPersonal\INFECTED\*.* Tue Jan 10 23:14:27 2006 => Scanning File C:\Programme\Tools\AVPersonal\INFECTED\A0058722.EXE.VIR Tue Jan 10 23:14:28 2006 => Scanning File C:\Programme\Tools\AVPersonal\INFECTED\GETRIGHT.EXE.VIR Tue Jan 10 23:17:39 2006 => Scanning Folder: C:\Programme\Tools\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.* Wed Jan 11 00:16:33 2006 => Total Number of Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jan 10 22:37:54 2006 => Scanning File C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Manager_Free\Icons\Tagged Image File Format.ico ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jan 11 00:16:33 2006 => Total Number of Virus(es) Found: 0 Wed Jan 11 00:16:33 2006 => Total Number of Errors: 11 Wed Jan 11 00:16:33 2006 => Time Elapsed: 02:07:18 Wed Jan 11 00:16:33 2006 => Total Number of Files Scanned: 102499 Wed Jan 11 00:16:34 2006 => Virus Database Date: 2005/12/30 Sehe ich das falsch oder sind das unter "infected" nur olle Kamellen, die andere Virenschützer schon entschärft haben? Sonst findet eScan "nur" 11 Fehler - hauptsächlich wg. Services (wohl unzulänglich deinstallierte Programme) und Zugriffsverweigerungen. Ich denke das System ist soweit sicher und werde es kritisch im Auge halten :lach: Dank an die Helfer da draußen und Ewido. Gute Nacht! |
Hallo, Zitat:
Gruß Schrulli |
@ Galahad: Die Dateien befinden sich im Qurantäne-Ordner von Kaspersky. Leere diesen! cacatoa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board