Hallo,
das sollte es gewesen sein, so wie es aussieht ist dein System wieder sauber, mach vielleicht noch mal zur Kontrolle einen Onlinescan bei Panda.
Zukünftig solltest du dich mal mit einem alternativen Browser(Firefox, Mozilla, Opera) beschäftigen und/oder deinen IE sicherer konfigurieren. Außerdem solltest du dich mal mit dem Konzept des surfens unter eingeschränkten rechten beschäftigen, näheres hier.



Grüße Wildone

meine güte, ich danke dir sehr :) ich habe natürlich keine ahnung was ich da gemacht habe, kannst du das für einen laien erklären? :) das mitm IE werd ich mir nochmal näher angucken ...

bei panda sind allerdings beim durchsuchen des arbeitsplatzes (dauert an, nochtnichtmal die hälfte) schon 175 viren (alle 175 desinfiziert) und 14 spyware-teile (0 desinfiziert) gefunden worden, noch eine idee was das sein könnte bzw wie ich das loswerde?? :mad:

Hallo,
sage mal genau was Panda wo (genauer Pfad) gefunden hat, zumindest die 14 nicht desinfizierten und Teile der 175 Einträge die desinfiziert wurden.


Grüße Wildone

danke mal wieder für die schnelle antwort :)

also, gerade fertig, hier das activescan.log (panda):


Ereignis Zustand Standort

Adware:adware/clickalchemy Nicht desinfiziert C:\WINDOWS\INF\alchem.inf
Adware:adware/ipinsight Nicht desinfiziert C:\WINDOWS\INF\polall1r.inf
Spyware:spyware/betterinet Nicht desinfiziert C:\WINDOWS\INF\satmat.inf
Adware:adware/gator Nicht desinfiziert C:\WINDOWS\GatorPatch.log
Adware:adware/twain-tech Nicht desinfiziert C:\WINDOWS\satmat.ini
Adware:adware/cws Nicht desinfiziert Windows-Registry
Adware:Adware/SpyAxe Nicht desinfiziert C:\!KillBox\ioctrl.dll
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\a.jar-228d5c98-54a8bb41.zip[a.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\a.jar-228d5c98-54a8bb41.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\a.jar-228d5c98-54a8bb41.zip[VerifierBug.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-31ce5596-185df70b.zip[BlackBox.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-31ce5596-185df70b.zip[VB.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-31ce5596-185df70b.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-31ce5596-185df70b.zip[Beyond.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive1213.jar-40b9d0c9-2b8e927f.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive1213.jar-4a8c455e-7e228257.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-12730db6-381cbeb2.zip[GetAccess.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-12730db6-381cbeb2.zip[InsecureClassLoader.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-12730db6-381cbeb2.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-12730db6-381cbeb2.zip[Installer.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-1cf39f94-79e07150.zip[GetAccess.class]
Virus:Exploit/ByteVerify Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-1cf39f94-79e07150.zip[InsecureClassLoader.class]

der hauptteil ist im \javapi\v1.0\ verzeichnis, ein rest dann noch hier:

Virus:Trj/Downloader.FXN Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Inbox[Rechnung.pdf.exe]
Virus:Trj/Mitglieder.FO Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Inbox[5.exe]
Virus:Bck/Haxdoor.ET Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Inbox[rechnung.pdf.exe]
Virus:Trj/Downloader.GOY Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Inbox[Rechnung.pdf.exe]
Virus:Trj/Danmec.C Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Inbox[qform.exe]
Virus:Trj/Downloader.FXN Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Junk[Rechnung.pdf.exe]
Virus:Bck/Haxdoor.ET Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Junk[rechnung.pdf.exe]
Virus:Trj/Danmec.C Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Junk[qform.exe]
Adware:Adware/IST.ISTBar Nicht desinfiziert C:\download\hijackthis_199\backups\backup-20050111-210829-222.inf
Adware:Adware/IST.SideFind Nicht desinfiziert C:\download\hijackthis_199\backups\backup-20050111-210829-257.dll
Virus:W32/Netsky.P.worm Desinfiziert C:\files\old files\T-Online4\EMAIL2\20W29FDW.781\ABFALL.BAK[application.doc .pif]
Virus:W32/Netsky.B.worm Desinfiziert C:\T-Online\EMAIL2\20W29FDW.781\ABFALL.BAK[me.txt.com]
Virus:W32/Netsky.B.worm Desinfiziert C:\T-Online\EMAIL2\33GWJB9X.ROH\oldmarch04\ABFALL.BAK[me.txt.com]
Adware:Adware/IPInsight Nicht desinfiziert C:\WINDOWS\inf\alchem.inf
Adware:Adware/Transponder Nicht desinfiziert C:\WINDOWS\inf\polall1r.inf
Spyware:Spyware/BetterInet Nicht desinfiziert C:\WINDOWS\inf\satmat.inf
Adware:Adware/IPInsight Nicht desinfiziert C:\WINDOWS\satmat.ini
Virus:W32/Sasser.ftp Desinfiziert C:\WINDOWS\system32\cmd.ftp

ps: thunderbird ist mein email programm :/ oh, und hier noch ein nich-desinfizierter file ausm javapi/v1.0/ odner:

Adware:Adware/CWS.Searchmeup Nicht desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jpg-2233a5cb-651332e9.zip[web.exe]

idden? :snyper:

Hallo,
okay das ist größtenteils harmlos, gehe mal auf Start>>Einstellungen>>Systemsteuerung dort doppelklick auf JAVA unter Allgemein "temporäre Internetdateien löschen".
Dann mal in dem E-Mail Programm die nicht mehr benötigten(bzw. Spam) Mails löschen (ev. auch den Papierkorb leeren).
dann wieder mit killbox(delte file on reboot) folgende Dateien löschen:
C:\WINDOWS\INF\alchem.inf
C:\WINDOWS\INF\polall1r.inf
C:\WINDOWS\INF\satmat.inf
C:\WINDOWS\GatorPatch.log
C:\WINDOWS\satmat.ini

und lösche danach den Inhalt des Ordners C:\!KillBox\
Und lass danach mal dein System noch im abgesicherten Modus von Ewido scannen und berichte.


Grüße Wildone

hm, java finde ich nicht unter systemsteuerung, wo ist das? die temporären internetdateien lösche ich öfters, habe ich auch gerade gemacht ... DAVOR habe ich nochma panda durchlaufen lassen, sah so aus:

Ereignis Zustand Standort

Adware:adware/clickalchemy Nicht desinfiziert C:\WINDOWS\INF\alchem.inf
Adware:adware/ipinsight Nicht desinfiziert C:\WINDOWS\INF\polall1r.inf
Spyware:spyware/betterinet Nicht desinfiziert C:\WINDOWS\INF\satmat.inf
Adware:adware/gator Nicht desinfiziert C:\WINDOWS\GatorPatch.log
Adware:adware/twain-tech Nicht desinfiziert C:\WINDOWS\satmat.ini
Adware:adware/cws Nicht desinfiziert Windows-Registry
Adware:Adware/SpyAxe Nicht desinfiziert C:\!KillBox\ioctrl.dll
Adware:Adware/CWS.Searchmeup Nicht desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jpg-2233a5cb-651332e9.zip[web.exe]
Virus:Trj/Danmec.C Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Inbox[qform.exe]
Virus:Trj/Danmec.C Desinfiziert C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Thunderbird\Profiles\i177wcv7.default\Mail\Local Folders\Junk[qform.exe]
Adware:Adware/IST.ISTBar Nicht desinfiziert C:\download\hijackthis_199\backups\backup-20050111-210829-222.inf
Adware:Adware/IST.SideFind Nicht desinfiziert C:\download\hijackthis_199\backups\backup-20050111-210829-257.dll

bei meinem email programm lösche ich übrigens IMMER den spam, und entleere den papierkorb sofort :( soll ich jetzt trotzdem mal mit dem killbox-teil anfangen?

Hallo,
ja, das mit Killbox hat nichts mit den Mails zu tun, ist ja auch nicht weiter gefährlich, die Anhänge dürfen nur nie geöffnet werden.

Öffne mal die Datei C:\Programme\Java\jre1.5.0_01\bin\javacpl.exe
und gehe dann bei Eigenschaften auf "temporäre Internetdateien löschen"


Grüße Wildone

so, also, alles so gemacht, hier ist das log:

------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:34:56, 13.12.2005
+ Report-Checksumme: 8E8B6F38

+ Scanergebnis:

HKU\S-1-5-21-1237179871-3353498240-2816147119-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1237179871-3353498240-2816147119-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\arne\Cookies\arne@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\arne\Cookies\arne@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup


::Report Ende


was nun? :)

Hallo,
so jetzt sollte es dann aber wirklich ausgestanden sein. Bleibt noch der Rat aus Posting #16, aktualisiere dein Java auch mal wieder (wieder auf die javacpl unter Aktualisierung). Halte auch sonst alles an deinem System aktuell (Browser, JAVA, XP...).


Grüße Wildone

man, echt, vielen dank, ohne dich wär ich nich weit gekommen! :)

werd mich an deinen rat halten ... aber sag ma eins noch, was genau hab ich da jetzt (in kurzform, mit .bat etc etc) gemacht? :crazy:

schönen abend noch! ;)

Hallo,
oh gott du fragst Sachen, z.B. mit der find.bat hast du mir die neusten Dateien in den Ordnern angezeigt die meist von Malware betroffen sind, ich sehe dann (zumindest meistens) was dort nichts zu suchen hat. Die smitrem hat erstmal die meisten Datien entfernt die etwas mit deiner Infektion zu tun haben:

mit den beiden reg Dateien wurden etliche Registryänderungen rückgängig gemacht, u.a. auch die einstellung die für die Desktopveränderung verantwortlich war.
Der Rest ist eigentlich einfach nur das lesen der Reportdateien und deuten zu können was das einzelne bedeutet.

Übrigens ist heute wieder Patchday bei microsoft, bei dem unter anderem eine der Lücken gestopft wird die für Spyaxe mutmaßlich verantwortlich ist, also gleich Microsoft besuchen und updaten.


Grüße Wildone

interessant :) hast du nochn link zur microsoft update page? achso, und desktopveränderung? mein desktop hat sich in der tat geändert (taskleiste), hatte das was mitm virus/der spyware zu tu?

Hallo,
einfach auf www.microsoft.de auf "Microsoft Update" klicken und alle weiteren Anweisungen befolgen.
Ja, hatte es.


Grüße Wildone