spamware CLICKTHRU....weiss nicht mehr weiter
 

Hallo zusammen, bin mit meinen Ideen am Ende....
Hab folgendes Problem:
Jedesmal wenn ich im Netz Browse öffnet sich in verschiedenen Zeitabständen eine Seite mit entweder "www.turbofind.com" (die auch noch Werbung für Spamware entferner macht, wie sarkastisch) oder "amazon.com" oder irgendsone halbpronseite "anastasia"....ich habe jetzt schon folgende Prgramme über mein System (XP) laufen lassen:

E-Scan
Hijackthis
Spybot
AntiVir
AdAware
BHO Demon läuft die ganze Zeit
spywareblaster....

und so langsam weiss ich nicht mehr weiter und das ding tötet mir den letzten nerv......
WER HAT RAT? :headbang:

Screenshot liegt anbei

Poste mal das hijackhis logfile.

Zeige uns auch mal was escan gefunden hat (hoffentlich auch aktuallisiert, offline und im abgesicherten modus ausgeführt, oder?)

Logile Escan heisst logdatei 171004.txt und ist 15mb....wie soll ich die hier posten, einfach hochladen?
hijack ist beigefügt

ach ja und escan hat einen backdoor gefunden, den aber eliminiert ...

Nein, das komplette Log von escan musst du nicht posten/hochladen

Öffne die mwav.log im Verzeichnis von Escan -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum posten

-Sun Oct 17 14:56:53 2004 => File C:\WINDOWS\system32\explorer.exe infected by "Backdoor.Spyboter.gen" Virus. Action Taken: No Action Taken.
-Sun Oct 17 14:56:54 2004 => File C:\WINDOWS\system32\EXPLORER.EXE infected by "Backdoor.Spyboter.gen" Virus. Action Taken: No Action Taken.
-Sun Oct 17 14:58:04 2004 => File C:\WINDOWS\System32\explorer.exe infected by "Backdoor.Spyboter.gen" Virus. Action Taken: No Action Taken.
-Sun Oct 17 17:55:36 2004 => File C:\WINDOWS\system32\explorer.exe infected by "Backdoor.Spyboter.gen" Virus. Action Taken: No Action Taken.
-Sun Oct 17 17:59:10 2004 => Total Disinfected Files: 0 :crazy:

Hallo lazychill,

Information zu Backdoor.Spyboter.gen, siehe auch unter "Erläuterung". Ich muss Dir leider mitteilen, dass Dein System kompromittiert ist: "W32/Spybot-DB meldet sich an einem vordefinierten IRC-Server an und wartet auf Backdoor-Befehle, wie z. B.: Starten einer DDOS-Attacke, Download von Dateien, Speichern von Tastenfolgen und Senden von Textnachrichten auf den infizierten Computer."

Die sauberste Lösung

Es tut mir leid, da ist nichts zu machen.

SD

jetzt muss ich mich aber nochmal wundern.......
habe einen kompletten escan nochmal durchgeführt (offline, vorher upgedatet,abgesicherter modus) und der backdoor ist ja auch gar nicht mehr da.....
dass system ist bis auf 2 einträge die jedoch virenfrei sind, nicht infiziert.....
es kann doch nicht sein dass man diesem problem nicht beikommt (wenn der virus ja schon verschwunden ist

Tue Oct 19 13:29:18 2004 => ***** Scanning complete. *****

Tue Oct 19 13:29:18 2004 => Total Files Scanned: 138488
Tue Oct 19 13:29:18 2004 => Total Virus(es) Found: 2
Tue Oct 19 13:29:18 2004 => Total Disinfected Files: 0
Tue Oct 19 13:29:18 2004 => Total Files Renamed: 0
Tue Oct 19 13:29:18 2004 => Total Deleted Files: 0
Tue Oct 19 13:29:18 2004 => Total Errors: 103
Tue Oct 19 13:29:18 2004 => Time Elapsed: 12:22:14
Tue Oct 19 13:29:18 2004 => Virus Database Date: 2004/10/18
Tue Oct 19 13:29:18 2004 => Virus Database Count: 106937

Tue Oct 19 13:29:18 2004 => Scan Completed.

bringt es mir was wenn ich statt ie den mozilla nehme?

Das die Infizierten Dateien verschwunden sind ist in der Tat merkwürdig. Da wird sicherlich einer der erfahreneren Benutzer hier im Forum mehr zu sagen können.

Es ist immer zu empfehlen einen anderen Browser als den Internet Explorer zu benutzen. Mozilla ist da eine gute wahl.

Dieser Tread beschäftigt sich mit alternativen Browsern: http://www.trojaner-board.de/showthread.php?t=8251 kannst es dir ja mal durchlesen und danach entscheiden.

Gruß
Lidius

PS: Bist du dir sicher die im ersten Escan log gefundenen dateien nicht selbst gelöscht zu haben? (Blöde Frage, aber Dateien verschwinden ja seltenst von selbst)

PPS: Poste bitte auch nochmal ein Hijackthis Log

@ lazychill

verschwundene Dateien: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Viren verschwinden leider nicht, sie werden entweder gelöscht oder sie sind noch da. Und Backdoors hinterlassen Veränderungen im System, siehe Link in meinem letzten Posting: bitte lesen!

SD

Hi,

ich hab seit 2 Tagen exakt das gleiche problem. Hab leider auch noch keine lösung gefunden. Solltest Du das Problem bei dir irgendwie beseitigen können, dann sag bitte bescheid wie du es geschafft hat.

Danke

Nevermind

Hi zusammen,

habe auch seit 2 Tagen genau das selbe Problem!
Wäre auch um jeden Rat dankbar.

Gruß

abraxe

Postet doch bitte mal ein Hijackthis-Logfile, ohne irgendwelche Informationen über den Rechner bzw. das System ist es schlicht unmöglich zu helfen.

http://www.trojaner-board.de/51130-a...ijackthis.html

was ich bis jetz alles versucht hab:

Norton Antivirus 2004
F-Secure Anti-Virus 2005 (30 Tage Trial)
Adaware
PestPatrol
Registry (vorallem "run/runonce") nach auffälligkeiten durchsucht
diverse Services deaktiviert

ich weiss nich weiter :heulen:

hi leute.

scheint, als wäre ich genau richtig hier.
ich habe seit 3 tagen genau das gleiche problem.
'turbofind' , 'amazon' , usw . . .

hier mal gleich die hijackthis.log:

Logfile of HijackThis v1.98.2
Scan saved at 20:19:15, on 21.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.109.84.251/activex/AxisCamControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll


ich hoffe ihr könnt damit was anfangen
danke

Hallo nevermind,


um die Probleme des Browser-Hijackings los zu werden, bitte ich Dich um Deine Mitarbeit bei der Spybot-Forschung. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "vbsys.dll-TBOARD", mit Hinweis auf diesen Thread.


Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINNT\system32\vbsys.dll

lösche
C:\WINNT\system32\vbsys.dll

Boote in den normalen Modus.


Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Teile uns das Ergebnis des eScans mit und poste ein neues Hijack This Logfile.

SD

Hallo ottmar,

da wir alle die Probleme des Browser-Hijackings loswerden wollen, bitte ich Dich um Deine Mitarbeit bei der Spybot-Forschung. Dein Vorteil liegt darin, dass Du Spybot 1.3.1TX brauchst, um Deinen Computer damit zu reinigen. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Report und sende ihn an detections@spybot.info, mit dem Betreff "vbsys.dll-TBOARD", mit Hinweis auf diesen Thread.


Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000)
- lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com.


Boote in den abgesicherten Modus/VGA-Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

wenn du diesen Eintrag nicht kennst/brauchst, bitte fixen:

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.109.84.251/activex/AxisCamControl.cab

Boote in den normalen Modus.

Lösche:

C:\WINDOWS\System32\vbsys.dll

Aktiviere die Systemwiederherstellung.


Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Teile uns das Ergebnis aus der Überprüfung der Datei, das Ergebnis des eScans mit und poste ein neues Hijack This Logfile.

SD

hi shadowd

ich habe das tutorial abgearbeitet.
vorweg noch viell wichtige infos:

bevor ich das tutorial abgearbeitet habe, hatte ich
schon einträge aus dem hijackthis-ergebnis gefixt, die ich
z.T. zuordnen konnte. beim erstellen der backups durch hijackthis
ist mein NAV angesprungen und hat mehrere backupdateien als
infiziert erkannt (trojan.byteverifier) --> hab die dateien gelöscht.
weiterhin hat der escan eine datei als infiziert erkannt (Win32.Tibsis.a).
diese datei ( c:windows\fierm.exe) hab ich vorsorglich mit NAV isoliert.
-----------------------------------------------------------------------
dann gehts weiter mit dem ergebnis des tutorials:

<< escan >>

21 21:55:31 2004 => File C:\WINDOWS\fierm.exe infected by "TrojanDropper.Win32.Tibsis.a" Virus. Action Taken: No Action Taken.
Thu Oct 21 22:06:39 2004 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\Drivers\NPDRIVER.SYS in SYSTEM\CurrentControlSet\Services\NPDriver...


Thu Oct 21 21:58:14 2004 => Total Files Scanned: 2676
Thu Oct 21 21:58:14 2004 => Total Virus(es) Found: 1
Thu Oct 21 21:58:14 2004 => Total Disinfected Files: 0
Thu Oct 21 21:58:14 2004 => Total Files Renamed: 0
Thu Oct 21 21:58:14 2004 => Total Deleted Files: 0
Thu Oct 21 21:58:14 2004 => Total Errors: 1
Thu Oct 21 21:58:14 2004 => Time Elapsed: 00:03:36
Thu Oct 21 21:58:14 2004 => Virus Database Date: 2004/10/18
Thu Oct 21 21:58:14 2004 => Virus Database Count: 106860

Thu Oct 21 21:58:14 2004 => Scan Completed.

<< hijackthis >>

Logfile of HijackThis v1.98.2
Scan saved at 12:07:59, on 22.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098434165592
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab


so long ... ottmar

@ ottmar,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):
wenn du diesen Eintrag nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride =

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

SD

... hab versucht den eintrag zu fixen, jedoch vergeblich.
er war nicht mehr zu finden.
(windws-updt lief vorhin nebenbei, viell lags daran)

hier die aktuelle hijackthis-log:

Logfile of HijackThis v1.98.2
Scan saved at 12:49:23, on 22.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098434165592
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab


. . .

@ ottmar

jetzt sieht Dein Logfile sauber aus. Nur das Betriebssystem und der IE sollten aktualisiert werden.

Pflichtlektüre:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

... oh das hört sich ja schonmal gut an :daumenhoc

ich hab aber noch ne frage:

-> was mach ich mit der (isolierten) fierm.exe ?

hab mal bei sophos nach 'fierm.exe' gesucht und folgendes gefunden:
-----------------------------------------------------------------------
Troj/Dloader-BS ist ein Downloader-Trojaner.
Zum jetzigen Zeitpunkt lädt Troj/Dloader-BS folgende Dateien herunter und führt sie aus:
FIERM.EXE, erkannt als Dial/TlfLic-B.
MADOPEW.DLL, erkannt als Troj/StartPa-BM.
PODNL1.EXE, erkannt als Troj/Peck-A.
SCINS.EXE.
WINLOGON.EXE, erkannt als Troj/TCXMedi-J.
WINSERV.EXE, erkannt als Troj/Dloader-AO.
------------------------------------------------------------------------
davon finde ich bei mir:

C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\SoftwareDistribution\Download\256adcee6446c05a52e0f442d0ccb199\sp1qfe\winlogon.exe

-> was mach ich denn jetzt damit? :confused:

unter Vorbehalt, dass sich vielleicht ein Backdoor auf Deinem System befindet, den ich noch nicht erkannt habe, machst Du Folgendes:

Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Warhawk)

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre] Boote in den normalen Modus, aktiviere die Systemwiederherstellung.

SD

. . . scheint alles sauber zu sein und das problem behoben.

danke für die unterstützung - gruß ott

sooo....hab deine anleitung auch mal durchgearbeitet. danke erstmal :D
escan hat ausser im PestPatrol-quarantäne-ordner nix gefunden

hier das neue HijackThis log:

@ nevermind,

Dein Logfile sieht sauber aus. Was hat der eScan ergeben? Kannst Du bitte das Ergebnis posten?

SD

Fri Oct 22 13:35:29 2004 => Total Files Scanned: 58037
Fri Oct 22 13:35:29 2004 => Total Virus(es) Found: 1
Fri Oct 22 13:35:29 2004 => Total Disinfected Files: 0
Fri Oct 22 13:35:29 2004 => Total Files Renamed: 0
Fri Oct 22 13:35:29 2004 => Total Deleted Files: 0
Fri Oct 22 13:35:29 2004 => Total Errors: 26
Fri Oct 22 13:35:29 2004 => Time Elapsed: 02:26:18
Fri Oct 22 13:35:29 2004 => Virus Database Date: 2004/10/22
Fri Oct 22 13:35:29 2004 => Virus Database Count: 107175

und wie gesagt, die eine infizierte datei is im quarantäne-ordner von pestpatrol.

@ nevermind

... und wie heisst die infizierte Datei, also der Virus?

SD

Fri Oct 22 13:12:03 2004 => File C:\Programme\Gemeinsame Dateien\PestPatrol\Quarantine\ppqB.tmp infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

@ nevermind

leere bitte den Ordner: "C:\Programme\Gemeinsame Dateien\PestPatrol\Quarantine"

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

SD

ok. hab ich gemacht. danke