Trojaner-Board - notepad.exe laut Adwatch malware

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - notepad.exe laut Adwatch malware (https://www.trojaner-board.de/1356-notepad-exe-laut-adwatch-malware.html)

Seit gestern habe ich auf meinem 1. PC ein seltsames Problem: wenn ich notepad starte kommt eine FWarnung von Adwatch: Objekt im Speicher entdeckt C\Windows\ ...malware...adultliks Quickbar. Ich habe daraufhin mir eine notepad.exe von einem anderen PC geholt, diese umbenannt in notepad1.exe und alle Verknüpfungen umgeändert auf notepad1.exe, mit notepad1 kein Problem. Ausserdem habe ich den infizierten PC auch von einem anderen OS aus hochgefahren und die beiden notepads in Windows und in System 32 durch neue erstetzt und schreibgeschützt. Desweiteren habe ich notepad manuell in die Quarantäneliste von Norton AV eingetragen, was jedoch nicht richtig funktioniert, ich kann es weiterhin durch doppelclick öffnen, in den Eigenschaften besteht jedoch der Schreibschutz, wurde also durch nichts aufgehoben.
DANN: Seit heute gleiches Problem im 2.PC !!
Ich habe schon mit vielen scannern nach viren gesucht und nichts gefunden: NAV,AdAware selbst findet auch nichts, obwohl Adwatch die Meldung macht, Pestpatrol findet nur die üblichen Flashget und KaZaa Dateien, Spybot_Search and destroy, Diagnose Windows finden ebenfalls nichts.
der Browser ist nicht hijacked.
Solange ich mit notepad1.exe arbeite, kein Problem.
Oder ist das ein bug im neuen Referenzfile von AdAware (reffile14.3.2004)

Hi John_D

willkommen an Board!

poste mal bitte hijack-this - log file hier. Anleitung findest Du hier: http://www.trojaner-board.de/forum/u...c;f=6;t=004852

Dann können wir uns das mal näher ansehen.

greetz
Blackdog

Hier mei Hijack logfile:
Logfile of HijackThis v1.97.7
Scan saved at 14:59:01, on 18.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SAV\vptray.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\SAV\DefWatch.exe
C:\WINDOWS\System32\cba\pds.exe
C:\Programme\SAV\Rtvscan.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Ontrack\PowerDesk\PDExplo.exe
C:\WINDOWS\System32\svchost.exe
E:\progidown\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nxsecure.org/forums/index
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\vptray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download &All using Mass Downloader - C:\Programme\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Download using &Mass Downloader - C:\Programme\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Mass Downloader (HKLM)
O9 - Extra 'Tools' menuitem: &Mass Downloader (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...062.2098958333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Guten Abend !
Gehe ich recht in der Annahme, daß, wenn überhaupt irgendwas faul sein sollte, es mit dieser Zeile zu tun hat:

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

mfg Jon_D

1. Ist dein Ad-aware nicht mehr aktuell. Aktuell: 1R273 (21.03.2004)
Bitte updaten!

2. http://www.lavasoftsupport.com/index...howtopic=21945

Vielen Dank!
Mit neuer Version von Adaware und reffile 21.3 ist das Problem weg, also doch nur ein bug in Adaware.