|
savenow und topmoxie !?!?!?!?! hallo, erstmal - bin neu hier. ich weiss, hier gibts schon beiträge zu savenow & ..., aber da steht mir zu "technisches" zeug drin. bissl ahnung hab ich ja, aber ... naja... also, hab mir irgentwie savenow & topmoxie eingefangen. komisch nur - wie? alles fing an, als ich nen bildschirmschoner von computerbild runtergeladen hab. "fireworks inferno" -> install/AV schreit "trojaner"/gelöscht/gescannt= nichts mehr als ich mal im ordner programme war, sah ich 2 nicht hingehörende - savenow & topmoxie gegooglt- ("hersteller")-angeblich nur um verbraucherverhalten zu sammeln dann lese ich, dass savenow "böse" is, und passwörter klaut (!?!) AV findet nichts, weder im abges.modus noch norm. spybotSD überhaupt nichts ad-adware hat 14 gelöscht pestpatrol 128(?!) gelöscht (alle 128 von topmoxie) im ordner "savenow" gabs ne uninst. - also hab ich uninstalliert erg.- savenow weg topmoxie-ordner hab ich gelöscht ich las nu aus verschiedenen ecken, dass es das dann nich gewesen is, sondern da immernoch "gefahr" besteht. kann mich einer aufklären? was is das savenow&co nun wirklich? sind die nun weg? wie können die sich selbst einladen, trotz ZA&AV? ich freue mich auf jede hilfe, (aber bitte "anfängerverständlich") danke cotton |
@cotton poste mal ein HJt logfile http://www.trojaner-board.de/showthread.php?t=17493 benütze bitte auch mal die boardsuche, es gibt einige postings zu diesem thema. ein wenig muhe muss du dich schon machen. chaosman |
danke, für die schnelle reaktion ...erstmal ... hier nu meine log... wusste bis vorhin gar nich, was man mit HJT überhaupt macht, aber nu wirds langsam hell... so wie ich das jetz versteh, wäre mein system ja sauber oder? nur komisch, dass es so einfach zu beseitigen war. savenow konnte normal deinstall. werden. den rest hab ich einzelln gelöscht. den ganzen rechner nach "savenow"/"topmoxie"/"bearsoft" ... durchsucht- hab nur noch 2 install.exe gefunden, die ich erstmal in nen extra ordner gelegt hab. "ebates.exe.gda" & "savenowinst.exe.gda" - löschen? und dann noch paar reg-einträge. kenn mich da aber überhaupt nich aus, was man löschen kann und was nich. ausserdem - -abges.modus- spybotSD/AV/ad-adware - gefunden null, ausser ad-adware, war aber "fallag" oder so. is ja aber kleinkram, denk ich. und nebenbei: wie verhält man sich nu richtig, wenn AV-gard was findet- zugriff verweigern und datei belassen oder löschen? hatte mal gelesen, dass man sie beim scannen nur löschen soll. stimmt das? auf jeden fall schon mal vielen dank, dass man hier hilfe bekommt! danke cotton Logfile of HijackThis v1.99.1 Scan saved at 00:12:10, on 19.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\mHotkey.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\sistray.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe C:\Programme\OnlineControl\ocontrol.exe C:\Programme\hijackthis\HijackThis.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.yahoo.com/search/ie.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://signin.ebay.de/ws/eBayISAPI....igrateVisitor= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yahoo.com/search/ie.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_2 O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {FC354AAA-6A4E-498B-9238-1EEE4024132E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {FC354AAA-6A4E-498B-9238-1EEE4024132E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - hxxp://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@chaosman hast du mich vergessen? ... |
@cotton nicht vergessen, bin nur nicht immer online.. ;) "ebates.exe.gda" & "savenowinst.exe.gda" - löschen? Ja. Ansonsten sehe ich in dein logfile nichts besonderes. Überprüfe dein system anschließend mit escan http://www.trojaner-board.de/showthread.php?t=17492 chaosman |
hab genau nach anleitung e-gescant (:D ) nur kann ich damit beim besten willen nichts anfangen. :confused: hab jetzt die mwav.log -> die is ja kilometer lang :huepp: nach anleitung sollte ich die log nach infected oder tagged durchsuchen. hab ich gemacht: Mon Aug 29 15:01:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Aug 29 15:44:00 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.* aber das sind ja nur die ordner von antivir, oder? tagged wurde nichts gefunden. hab hier nochmal was von der log reinkopiert, fall es wichtig ist (ende der log): Mon Aug 29 16:14:10 2005 => ***** Checking for specific ITW Viruses ***** Mon Aug 29 16:14:10 2005 => Checking for Welchia Virus... Mon Aug 29 16:14:10 2005 => Checking for LovGate Virus... Mon Aug 29 16:14:10 2005 => Checking for CodeRed Virus... Mon Aug 29 16:14:10 2005 => Checking for OpaServ Virus... Mon Aug 29 16:14:10 2005 => Checking for Sobig.e Virus... Mon Aug 29 16:14:10 2005 => Checking for Winupie Virus... Mon Aug 29 16:14:10 2005 => Checking for Swen Virus... Mon Aug 29 16:14:10 2005 => Checking for JS.Fortnight Virus... Mon Aug 29 16:14:10 2005 => Checking for Novarg Virus... Mon Aug 29 16:14:10 2005 => Checking for Pagabot Virus... Mon Aug 29 16:14:10 2005 => Checking for Parite.b Virus... Mon Aug 29 16:14:10 2005 => Checking for Parite.a Virus... Mon Aug 29 16:14:10 2005 => Checking for Adware.SeekSeek Virus... Mon Aug 29 16:14:11 2005 => ***** Scanning complete. ***** Mon Aug 29 16:14:11 2005 => Total Objects Scanned: 74409 Mon Aug 29 16:14:11 2005 => Total Virus(es) Found: 4 Mon Aug 29 16:14:11 2005 => Total Disinfected Files: 0 Mon Aug 29 16:14:11 2005 => Total Files Renamed: 0 Mon Aug 29 16:14:11 2005 => Total Deleted Objects: 0 Mon Aug 29 16:14:11 2005 => Total Errors: 92 Mon Aug 29 16:14:11 2005 => Time Elapsed: 01:36:48 Mon Aug 29 16:14:11 2005 => Virus Database Date: 2005/08/24 Mon Aug 29 16:14:11 2005 => Virus Database Count: 145335 Mon Aug 29 16:14:11 2005 => Scan Completed. im unteren fenster vom scanner stand nach dem scanning ne liste. ich hab sie leider nich kopiert, und kann sie jetz nicht posten (dachte s´steht in der log mit drin), aber da kam wieder "topmoxie" und "savenow" vor. und ganz n´paar mehr. laut hjthis automatischer auswertung hab ich wohl nichts, ausser "remote capture ..." :confused: o.ä. und was sind denn die 92 errors und 4 mal virus? schon mal danke... |
du musst nicht nach den einträgen "suchen" in der Anleitung steht: Zitat:
|
zitat aus anleitung: Alternativ: Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. ausserdem hab ich unter C:/ 2 ordner: C:\Bases_X und C:\BasesX und neu dazu gekommen seit escan: ordner "download" und "23990098.$$$" (!?) :confused: is da was falsch dran? bin aber echt 100% nach anleitung gegangen. ich finde auf´m ganzen pc kein "find.rar" :confused: noch mal scannen? |
die find.rar muss man auch durch anklicken dieser in der anleitung herunterladen.. |
:huepp: uuups... danke. mach ich .... :daumenhoc |
bin ich unfähig??? :balla: die entpackte find.bat funzt nicht. doppelklick/fenster auf und gleich wieder zu... :confused: |
und so gehörts auch. lies doch bitte die anleitung genauer durch^^ denn jetzt wurde wenn alles richtig war, eine escan_neu.txt auf c:\ erzeugt. den inhalt dieser datei solltest du nun posten. (alles was in der datei drin steht) |
:( ich lasse gerade zum 2. mal alle festplatten nach "eScan*" durchsuchen... nichts :confused: und nu? :heulen: |
aaaaalso..... ich hab mir mal die find.bat angesehen.... if not exist c:\bases\mwav.log goto 1 und if not eXist c:\bases_x\mwav.log goto 2 dann :2 exit da kann ja nüscht gehen, wenn ich nich weiss, dass die mwav.log in bases oder bases x sein soll wie gesagt, hab ich einmal "basesX" und "bases X" warum? keine ahnung. kam glaub ich seit dem update. hab also mwav nach bases x geschoben und da is sie: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 29 15:01:21 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Aug 29 15:44:00 2005 => Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.* Mon Aug 29 16:14:11 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 29 16:14:11 2005 => Total Virus(es) Found: 4 Mon Aug 29 16:14:11 2005 => Total Errors: 92 Mon Aug 29 16:14:11 2005 => Time Elapsed: 01:36:48 Mon Aug 29 16:14:11 2005 => Total Objects Scanned: 74409 Mon Aug 29 14:35:17 2005 => Virus Database Date: 2005/08/24 Mon Aug 29 16:14:11 2005 => Virus Database Date: 2005/08/24 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ :D |
äääääämmmmm...hallo(?) *abduck* ...*hochguck*... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board