|
Immediate Help needed! ISRVS, Edmond.exe Hallo an alle da draußen, so - nachdem ich vor ein paar Monaten ein starkes Trojaner-Problem hatte der meinen Rechner lahmlegte besorgte ich mir eine bessere Abwehr. Ich nutze neben den Windows-Standarddingen Kapersky und Zone Alarm Pro. Nun habe ich nach heutigen Kasperky-Scan einen neuen Trojaner entdeckt. Das Problem: er läßt sich nicht löschen: "...kann nicht gelöscht werden. Der Zugriff wurde verweigert" :koch: Als ich das letzte mal meinen Computer reparieren lies - da ich selber von diesen Vorgängen absolut keine Ahnung habe - kostete mich dies einige hunderter... Also - könnt ihr mir so helfen? Folgende Infos: Datei sitzt unter Windows - Name: isrvs diese Daten enthält die Datei: icons desktop.exe edmond.exe ffisearch.exe isearch.xpi mfiltis.dll msdbhk.dll Isearch fährt bei jedem Start automatisch hoch - läßt sich auch bei "Software" nich löschen... Ergebenden Dank! ;) |
Hallo Phil-Blader, poste bitte ein HJT logfile direktdownload anleitung mfG Sword PS: Das wollte ich immer schon mal machen ^^ |
ist das ok so? Logfile of HijackThis v1.99.1 Scan saved at 12:48:47, on 06.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\minilog.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\SOINTGR.EXE C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe C:\WINDOWS\system32\EP3STA.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX01.546\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O1 - Hosts: 127.0.0.0 localhost O1 - Hosts: 127.0.0.0 localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunOnce: [Desktop Search Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP- O4 - HKLM\..\RunOnce: [Bonus Sites Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP- O4 - HKLM\..\RunOnce: [iSearch Toolbar Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP- O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/036093cec7c7a3c...dxIE601_de.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{727CC897-7051-4485-86F1-CE4E79354586}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1 O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
falsches Thema, mist :) ähm ja, jetzt warte am besten auf einen Profi der dir hilft aber die hier finde ich mal sehr verdächtig. Sagt dir diese .exe etwas? O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE |
Ok - vielen Dank erstmal... jetzt hoffe ich daß einem solchen Profi mein Thread ins Auge fällt ;) Wie ich im abgesicherten Modus umgehe weiß ich bislang nicht. Erfordert eine Eingabe während des Hochfahrens, richtig? nein- diese exe sagt mir leider nichts :( :heulen: :heulen: :heulen: |
Das kann ich dir ja einstweilen schonmal erklären. Start - Ausführen - msconfig in die Textzeile schreiben - Enter - Die Kartei BOOT.INI anwählen - einen Haken bei /SAFEBOOT machen - Neu Starten Das machst du wenn ein "Profi" die Log begutachtet hat, ich habe zwar ein paar Vermutungen schon was du löschen solltest nur bin NOCH zu unerfahren um sie sicher löschen zu lassen. Mal sehen ob sich meine Vermutungen bestätigen :) Außerdem solltest du bevor du Einträge löschst auch die Systemwiederherstellung deaktivieren. gehe wie folgt vor:+ Rechtsklick Arbeitsplatz - Eigenschaften - Systemwiederherstellung - Systemwiederherstellung deaktivieren den Haken setzen Dies solltest du nach dem löschen der Einträge wieder rückgängig machen. Wenn du den Abgesicherten Modus beenden willst dann mach im Abgesicherten Modus die selben Schritte bis: BOOT.INI Kartei anwählen und nimm den Haken bei /SAFEBOOT wieder weg! mfG |
Hallo @Phil-Blader, fixe zunächst mal diese Einträge im abgesicherten Modus : O1 - Hosts: 127.0.0.0 localhost O1 - Hosts: 127.0.0.0 localhost O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) Lösche, wenn noch vorhanden, diesen Ordner: C:\WINDOWS\isrvs Führe sicherheitshalber auch noch dies aus und poste dann nochmal ein aktuelles HJT Log-File: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Super - vielen Dank bis hierher! Jetzt suche ich noch nach den Profis die den Swordian fein ergänzen ;) ;) P.S.: ich nutze nicht IE sondern Firefox... (keine Ahnung ob das Relevanz hat) |
da hast du ihn ja deinen Profi! meine Vermutungen haben sich bestätigt (zum Teil) ich hätte: O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe die hier auch fixen lassen! War mir nur nicht sicher ob in dem Ordner ALLE Dateien verseucht waren! @ cidre: kann ich alle Einträge mit (no file), bzw. (file missing) löschen lassen? mfG |
Das ist eine sehr gute Idee @ Phil. Internet Explorer ist zu Zeiten so vieler Viren einfach zu gefährlich |
Zitat:
Dennoch sollte der IE und das System up to date gehalten werden, aber dazu später mehr. Zitat:
Zu beachten wäre allerdings, dass einige O23 Einträge auch den Anhang "file missing" zeigen, obwohl sie als laufender Prozess angezeigt werden, siehe http://www.trojaner-board.de/showpos...36&postcount=5. |
Okay danke :) ich beobachte in letzter Zeit euch Profis hier bei der Arbeit, will auch so ein "Trojaner-Board" Helfer werden :party: mfG Sword |
so - damit ich euch richtig verstehe: Leider kann ich im abgesicherten Modus keine Internet aufrufen - wie sill ich dann den logfile-scan starten? Systemwiederhersterstellung ist schon deaktiviert... die weitere Reihenfolge wäre dann ensprechend: - abges. Modus starten - logfilescan durchführen - dazu brauche ich doch Internet um den Link zu aktivieren? - einträge wie von cidre beschrieben fixen durch häkchen setzen - ordner isrvs löschen - jetzt escan ausführen? aber wie? - dazu brache ich wieder Internet für den LInk, oder?- - dann mwav.log im Ordner C:\bases öffnen und die "tagged" treffer hier posten... |
Du brauchst für den Scan mit HijackThis doch keine I-Net verbindung. Das hast du doch schon am PC und kannst checken lassen. Reihenfolge: -(im normalen Modus noch) Sys.wdhst. deaktivieren -abgesicherten Modus (/SAFEBOOT) -Die HijackThis Datei Starten -Die Einträge die cidre gesagt hat fixen -wieder Start - Ausführen - msconfig ... Haken bei /SAFEBOOT wieder weg -Neu Starten -Systemwiederherstellung wieder anmachen und hoffen dass es funktioniert! mfG |
Du sollst auch keine Internetverbindung im abgesicherten Modus herstellen! Nochmal: 1. Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp 2. abgesicherter Modus 3. Einträge fixen und Ordner löschen 4. mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html 5. Neustart 6. neues HJT Log-File und die Virus Log Information [1] von eScan posten [1] Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board