Herstellung Internetverbindung sofort nach Windows-Start

FaberJoe · 24.10.2005

Hallo,

ich brauche Hilfe wegen einer Virusattacke.

Auf meinem PC habe ich:
- Betriebssystem Windows XP SP1 (ich weiß, dass SP2 eigentlich Pflicht wäre, aber ich habe es bisher noch nicht geschafft dieses zu installieren;
- MS Internet Explorer Vers. 6.0.2600.0000

Als ich vor Kurzem im Internet war, meldete meine Norton Internet Securitiy Software einen Angriff. Im Protokoll war dann mehrfach vermerkt, dass Trojan.Phel automatisch gelöscht wurde; aber bei Trojan.KillAV wurde angezeigt, dass die Reparatur fehlgeschlagen ist und deshalb der Zugriff verweigert wurde.

Seit dem erschien sofort nach dem Neustart des PC's bzw. Windows die Meldung: Sie (oder ein Programm) hat versucht, eine Verbindung mit 80mp3.com herzustellen. Bitte wählen Sie eine Verbindung aus.

Bei einem Klick auf Abbrechen erschien sofort die gleiche Meldung, nur dass diesmal eine Verbindung zu www.updatemusic.com hergestellt werden sollte. Das ging abwechselnd immer so weiter.

Laut Protokoll des NIS sollte immer eine Verbindung zur Remote-IP-Adresse 67.159.5.17 hergestellt werden.

Per Zufall hatte ich herausgefunden, dass zu dem Zeitpunkt, als die Virusattake war (Donnerstag, 20.10.2005 gegen 22 Uhr) im Verzeichnis C:\Windows\System32 eine neue Datei namens ipctrl.exe angelegt wurde.

Diese Datei war in der Registry unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
als Standard-Wert eingetragen und wurde automatisch gestartet.

Beim Stöbern durch das Wintotal-Forum bin ich auf das Programm HiJackThis gestoßen. Mit diesem Programm habe ich es geschafft, bei einem Neustart die Datei ipctrl.exe zu löschen. Seit dem habe ich das Problem nicht mehr, dass automatisch eine Netzwerkverbindung hergestellt werden soll.

Jetzt zu meinem Problem:

Ist die von mir gelöschte Datei ipctrl.exe eine Datei, die unter Windows XP SP1 tatsächlich vorhanden und benötigt wird oder wurde diese bei der Virusattacke angelegt?

Norton AntiVirus meldet bisher keinen Virus. Kann ich aber sicher sein, dass durch das löschen der Datei ipctrl.exe der Virus erledigt ist? Oder sollte ich noch ein paar andere Einstellungen oder Dateien überprüfen?

Wie eingangs erwähnt, habe ich das SP2 noch nicht installiert. Seit dem erscheinen hat mich das Icon für Windows-Updates in der Taskleiste darauf hingewiesen, dass ein Update vorhanden ist und runtergeladen werden kann.
Dieses Icon ist verschwunden.
Wie kann ich das wieder aktivieren bzw. feststellen, ob mein Automatisches Windows Update noch funktioniert?

Ich hoffe dass mir irgend jemand weiterhelfen kann. Für jede Hilfe bedanke ich mich schon jetzt.

Da ich zum erstenmal in einem Forum teilnehme bzw. eine Nachricht schreibe, weiß ich nicht, ob ich mich richtig verhalten habe (oder z.B. zu ausschweifend war). Fall etwas nicht passt, teilt es mir ruhig mit.

Nochmals vielen Dank im Voraus
Gruß
Josef

SetzDichNimmDirNKeks · 24.10.2005

Hallo,

FaberJoe schrieb:
Jetzt zu meinem Problem:

Ist die von mir gelöschte Datei ipctrl.exe eine Datei, die unter Windows XP SP1 tatsächlich vorhanden und benötigt wird oder wurde diese bei der Virusattacke angelegt?

dabei handelt es sich nicht um eine Windows-eigene Datei, sie wurde, wie schon selbst vermutest, von dem Schadprogramm angelegt.

FaberJoe schrieb:
Norton AntiVirus meldet bisher keinen Virus. Kann ich aber sicher sein, dass durch das löschen der Datei ipctrl.exe der Virus erledigt ist? Oder sollte ich noch ein paar andere Einstellungen oder Dateien überprüfen?

Normalerweise sollte vor dem Löschen die Systemwiederherstellung deaktiviert werden, damit ein in die Wiederherstellung aufgenommenes Schadprogramm nicht wiederhergestellt werden kann.

http://www.bsi.de/av/texte/wiederher_xp.htm

Poste doch bitte einmal den HijackThis Bericht.

FaberJoe schrieb:
Wie kann ich das wieder aktivieren bzw. feststellen, ob mein Automatisches Windows Update noch funktioniert?

Start ->Einstellungen ->Systemsteuerung ->Verwaltung ->Dienste ->Automatische Dienste ->Dienst starten und auf Automatisch stellen

FaberJoe schrieb:
Da ich zum erstenmal in einem Forum teilnehme bzw. eine Nachricht schreibe, weiß ich nicht, ob ich mich richtig verhalten habe (oder z.B. zu ausschweifend war). Fall etwas nicht passt, teilt es mir ruhig mit.

Schreibe hier momentan zwar nur als Gast, aber ich finde dein Posting ok. Besser zuviel Informationen, als zu wenige. ;-)

SDNDNK

SetzDichNimmDirNKeks · 24.10.2005

SetzDichNimmDirNKeks schrieb:
Start ->Einstellungen ->Systemsteuerung ->Verwaltung ->Dienste ->Automatische Dienste ->Dienst starten und auf Automatisch stellen

Muss natürlich so heissen:

Start ->Einstellungen ->Systemsteuerung ->Verwaltung ->Dienste ->Automatische Updates ->Dienst starten und auf Automatisch stellen

FaberJoe · 24.10.2005

Hallo SDNDNK,

nachfolgend poste ich das HiJackThis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 22:03:26, on 24.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ScanSoft\OmniPagePro11.0\opware32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DATA BECKER\ZipGenie\ZTray.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPagePro11.0\opware32.exe
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title=Corel Graphics Suite 11 /date=110405 serial=DR11CUG-0367701-LRX
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ZipEasyTray] C:\Programme\DATA BECKER\ZipGenie\ZTray.exe /rt
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BDF587F-8722-4147-A752-47B2D37017D6}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{B589D4F1-49B0-44AD-83D7-EB5363A3EDBA}: NameServer = 192.168.120.252,192.168.120.253
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\System32\kqfalhlf.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich hoffe, es hilft weiter.

Gruß
Josef

SetzDichNimmDirNKeks · 24.10.2005

Hallo,

FaberJoe schrieb:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Es fehlen das Service Pack und 1 und 2. Du solltest das Service Pack 2 dringend installieren. Natürlich auch alle danach erschienenen Sicherheits-Updates.

Das Log sieht soweit in Ordnung aus. Bis auf diesen Eintrag:

FaberJoe schrieb:
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\System32\kqfalhlf.dll (file missing)

Das war nichts Gutes. Schaue einmal nach, ob du die Datei noch auf dem Rechner findest ( auch wenn HijackThis meint, die Datei wäre nicht mehr vorhanden ).

Stelle die Ordneroptionen so ein, dass alle Dateiendungen angezeigt werden und nehme den Haken weg bei Erweiterungen bei bekannten Dateitypen ausblenden und bei Geschützte Systemdateien ausblenden.

Wenn du die Datei findest, lasse sie bitte hier überprüfen:

http://virusscan.jotti.org/de/ ( JavaScript aktivieren )

Zusätzlich würde ich noch einmal eScan im abgesicherten Modus laufen lassen. eScan muss in das Verzeichnis C:\Bases_X entpackt werden, damit das Updaten funktioniert. Berchte dann, ob noch etwas gefunden wurde.

http://www.trojaner-info.de/hijacker/escan.shtml

SDNDNK

FaberJoe · 25.10.2005

Hallo SDNDNK,

vielen Dank für Deinen Tipp.

Ich habe die Festplatte durchsucht, aber die Datei kqfalhlf.dll nicht gefunden. Auch keine Datei, die so ähnlich lautet.

Ich habe mir auch die Mühe gemacht, auf einem anderen PC (mit Windows XP SP2) nach dieser Datei zu suchen. Dort ist diese Datei auch nicht vorhanden. Jetzt weiß ich natürlich nicht, ob diese Datei bei meinem alten Windows XP (ohne SP) noch notwendig war und beim SP2 jetzt weggefallen ist, oder ob diese Datei bzw. dieser Eintrag von diesem Virusangriff stammte.

Was mich auch überrascht, ist Dein Hinweis, dass auch bereits das Service Pack 1 fehlt. Ich bin bisher davon ausgegangen, dass zumindest dieses installiert wäre.

Zu Deinem Tipp, eScan im abgesicherten Modus laufen zu lassen, habe ich auch noch eine Frage. Ich habe auf den von Dir angegeben Link gewechselt. Auf der Website werden zahlreiche Programme angeboten. Muss ich mir das Programm eScan AntiVirus (AV) for Windows runterladen? (Bitte nicht über diese Frage lachen, aber ich bin halt kein Profi).

Nach dieser Virusattacke habe ich versucht, mit der Original Norton Internet Security-CD oder mit Norton-AntiVirus-Disketten oder mit einer KnoppixCilin-CD zu booten. Hierzu habe ich selbstverständlich im BIOS eingestellt, dass von CD-ROM bzw. von Diskette gebootet werden soll. Dann aber geschah folgendes:

Beim Booten von CD-ROM mit der Norton-Internet-Security-CD erschien ein DOS-Fenster mit dem Auswahl-Menü, ob von Festplatte oder von CD gebootet werden soll. Aber der PC reagierte nicht auf die Eingaben über die Tastatur. Vielmehr bootete der PC nach 15 Sekunden von der Festplatte.

Beim Booten von der Notfall-Diskette bzw. von der KnoppixCilin-CD erschien auch das entsprechende DOS-Fenster, allerdings fror der Bildschirm dann ein, d. h. auch hier keine Reaktion auf einen Tastendruck. Hier musste ich sogar die Reset-Taste drücken.

Ist dieses Problem schon bekannt bzw. gibt es hierfür eine Lösung? Denn was helfen mir saubere Boot-Medien, wenn ich sie nicht benutzen kann?

Gruß
Josef

FaberJoe · 25.10.2005

Hallo,

kurz nachdem ich die vorherige Info eingetragen hatte, habe ich mir nochmal die Protokolldatei des Norton AntiVirus angesehen.

Die Funktion Auto-Protect hat am besagten Donnerstag 20.10.2005 den Virus Trojan.KillAV erkannt.

Das Protokoll gibt zeigt dann noch folgende ergriffene Maßnahmen an:
zuerst: Reparatur fehlgeschlagen
dann: Zugriff verweigert

Als Quelle wird angegeben:
C:\Windows\System32\kqfalhlf.dll

Wie bei der vorigen Info, stelle ich mir jetzt immer noch die Frage: Ist die Datei kqfalhlf.dll erforderlich oder wurde sie vom Virus erstellt?

Gruß
Josef

SetzDichNimmDirNKeks · 25.10.2005

FaberJoe schrieb:
Ich habe die Festplatte durchsucht, aber die Datei kqfalhlf.dll nicht gefunden. Auch keine Datei, die so ähnlich lautet.

Dann wurde sie offensichtlich bereits gelöscht und jetzt ist nur noch der 021-Eintrag übrig. Den kannst du fixen ( links das Kästchen des Eintrages anhaken, dann Fix Checked klicken ).

Muss ich mir das Programm eScan AntiVirus (AV) for Windows runterladen?

Hier ist der Direktlink ( Download startet sofort ) der Datei mwav.exe. Die Datei mwav.exe rechtsklicken und dann in das Verzeichnis C:\Bases_X entpacken. Nicht einfach die Datei anklicken! Dann wird die Datei in ein temporäres Verzeichnis entpackt, von dem aus aber kein Update der Virensignaturen durchgeführt werden kann.

Wenn du das Programm installiert hast, gehst du in das Verzeichnis C:\Bases_X, dort findest du die Datei kavupd.exe. Die klickst du an, es öffnet sich dann ein DOS-Fenster, in dem du sehen kannst, wie die neuesten Virensignaturen von einem Kaspersky-Server heruntergeladen werden. Wenn das Update fertig ist, startest du deinen Rechner in den abgesicherten Modus ( siehe Seite 2 der Beschreibung ), dann stelltst du die Scanoptionen so ein, wie dort beschrieben.

ftp://update.mailscan.info/download/tools/

SDNDNK

Direktlink entfernt, Forumsregeln lesen - Punkt 7: http://www.wintotal-forum.de/index.php/topic,8546.0.html

SetzDichNimmDirNKeks · 25.10.2005

FaberJoe schrieb:
Als Quelle wird angegeben:
C:\Windows\System32\kqfalhlf.dll

Wie bei der vorigen Info, stelle ich mir jetzt immer noch die Frage: Ist die Datei kqfalhlf.dll erforderlich oder wurde sie vom Virus erstellt?

Die Datei ist keine Windows-Datei! Sie wurde von dem Virus erstellt. Also keine Sorge, du brauchst sie nicht.

SDNDNK

FaberJoe · 31.10.2005

Hallo SDNDNK,

damit ich nicht als unhöflich erscheine, weil ich nicht antworte oder Bescheid gebe, ob Dein Tipp geholfen hat, möchte ich mich für Deinen Hinweis zur DLL-Datei und zu MWAV bedanken. Aus beruflichen Gründen muss ich mein PC-Problem etwas hinten anstellen. Selbstverständlich gebe ich wieder Antwort, wenn ich Deinen Tipp ausprobiert habe.

Gruß
Josef

FaberJoe · 01.11.2005

Hallo,

ich habe jetzt im abgesicherten Modus das Programm eScan drüberlaufen lassen und die Log-Datei mit Find.bat ausgewertet - und zwar mit folgendem Ergebnis:

aus eScan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für infected
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Nov 01 18:10:53 2005 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:53 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:54 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:58 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:59 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:59 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für tagged
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Nov 01 18:10:55 2005 => Offending Key found: HKLM\Software\gator.com !!!
Tue Nov 01 18:10:58 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Tue Nov 01 18:10:59 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Tue Nov 01 18:10:59 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

aus mwXface.log (C:\Bases_X)
[msvLclnt.dll] [0x00000444] 01/11/2005 18:12:49:187 :[00000001] File C:\WINDOWS\System32\iohiagac.exe infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x00000444] 01/11/2005 18:53:34:843 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103536.exe infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x00000444] 01/11/2005 18:53:34:921 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103537.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 18:53:53:312 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103923.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 18:54:27:546 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP277\A0105327.exe infected by Trojan-Downloader.Win32.Small.bau
[msvLclnt.dll] [0x00000444] 01/11/2005 18:54:27:593 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP277\A0105328.exe infected by Trojan-Downloader.Win32.Small.bau
[msvLclnt.dll] [0x00000444] 01/11/2005 19:12:52:734 :[00000001] File C:\WINDOWS\system32\iohiagac.exe infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x00000444] 01/11/2005 19:29:37:765 :[00000001] File T:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP277\A0105336.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 19:30:14:500 :[00000001] File V:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103776.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 19:30:14:640 :[00000001] File V:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103896.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 19:30:52:921 :VirusCount = 157336 Latest Date = 2005/10/31
[msvLclnt.dll] [0x00000388] 01/11/2005 19:32:43:765 :VirusCount = 157336 Latest Date = 2005/10/31

aus MWAV.LOG - die letzten Zeilen als Zusammenfassung (C:\Bases_X)
Tue Nov 01 19:30:52 2005 => ***** Scan vollständig. *****

Tue Nov 01 19:30:52 2005 => Gescannte Dateien: 110414
Tue Nov 01 19:30:52 2005 => Gefundene Viren: 17
Tue Nov 01 19:30:52 2005 => Anzahl der desinfizierten Dateien: 0
Tue Nov 01 19:30:52 2005 => Umbenannte Dateien: 0
Tue Nov 01 19:30:52 2005 => Anzahl der gelöschten Dateien: 0
Tue Nov 01 19:30:52 2005 => Anzahl Fehler: 343
Tue Nov 01 19:30:52 2005 => Zeit vergangen: 01:21:00
Tue Nov 01 19:30:52 2005 => Virus Datenbank Datum: 2005/10/31
Tue Nov 01 19:30:52 2005 => Virus Datenbank Zähler: 157336

Tue Nov 01 19:30:53 2005 => Scan vollständig.

Tue Nov 01 19:32:43 2005 => Virus Datenbank Datum: 2005/10/31
Tue Nov 01 19:32:43 2005 => Virus Datenbank Zähler: 157336
Tue Nov 01 19:32:48 2005 => AV Library Unloaded (3)...

eScan hat offensichtlich mehrere Viren oder Trojaner gefunden. Warum aber findet das Norton Anti Virus (auch im abgesichertren Modus) diese nicht?

Wie werde ich die Biester wieder los.

Gruß
Josef

SetzDichNimmDirNKeks · 02.11.2005

Hallo,

FaberJoe schrieb:
eScan hat offensichtlich mehrere Viren oder Trojaner gefunden. Warum aber findet das Norton Anti Virus (auch im abgesichertren Modus) diese nicht?

weil es qualitative Unterschiede gibt. Was aber alle AV-Programme gemeinsam haben, ist, dass keines perfekt ist.

FaberJoe schrieb:
Wie werde ich die Biester wieder los.

Vielleicht ist das jetzt ein guter Zeitpunkt, einen Neuanfang zu machen. Alle Daten, die du noch brauchst ( Dokumente, Fotos usw. ) sichern und dann den Rechner formatieren und neuinstallieren. BEVOR du dann aber das erste mal online gehst, MUSS unbedingt das Service Pack 2 installiert sein. Danach dann alle anderen Sicherheits-Updates installieren.

Wenn du nicht formatieren möchtest, melde dich noch einmal. Das Entfernen der jetzt vorhandenen Schadprogramme ist aber keine Garantie dafür, dass der Rechner dann auch wirklich sauber ist.

SDNDNK

FaberJoe · 02.11.2005

Hallo SDNDNK,

wenn's geht, würde ich das formatieren gerne vermeiden.

Ich würde gerne versuchen, die Viren runter zu hauen und dann aber umgehend das SP2 installieren.

Übrigens:
Ich habe schon 3x oder 4x versucht SP2 zu installieren. Jedesmal hatte ich dann bei einem Neustart einen blauen oder schwarzen Bildschirm. Und als Laie habe ich halt dann im abgesicherten Modus die SP2-Installation rückgängig gemacht. Mittlerweile hab ich dazugelernt und glaube, dass das Problem lediglich ein Treiber-Problem war.

Gruß
Josef

SetzDichNimmDirNKeks · 03.11.2005

Hi,

deaktiviere die Systemwiederherstellung und starte den Rechner in den abgesicherten Modus:

http://www.bsi.de/av/texte/wiederher.htm

FaberJoe schrieb:
File C:\WINDOWS\System32\iohiagac.exe infected by Trojan-Dropper.Win32.Small.afo[

Nun lösche die Datei iohiagac.exe. Anschliessend wieder neustarten, diesmal in den normalen Modus. Die Systemwiederherstellung kannst du nun auch wieder aktivieren.

Dann lasse noch einmal Spybot S & D und AdAware laufen.

http://www.safer-networking.org/de/

http://www.lavasoft.de/

Dringend das Service Pack 2 installieren:

http://www.microsoft.com/germany/windowsxp/sp2/anwender/default.mspx

Ebenfalls alle nach dem SP 2 erschienenen Updates installieren. Das sind jede Menge, da das SP 2 ja bereits im August 2004 erschienen ist.

Surfen nur mit einem sichereren Browser wie z. B. Firefox:

http://www.firefox-browser.de/

Aber auch den Firefox immer aktuell halten. Wenn Updates herauskommen, diese zeitnah installieren.

Surfen nur mit einem Konto mit eingeschränkten Benutzerrechten..

http://www.cidres-security.de/benutzerkonto.html

SDNDNK

FaberJoe · 04.11.2005

Hi SDNDNK,

ich habe Deine Tipps befolgt und die Datei iohiagac.exe, wie von Dir beschrieben, gelöscht.

Sowohl Spybot S & D und AdAware haben Viren/Spione gefunden und entfernt. Anschließend habe ich beide Programme nochmals drüber laufen lassen. Dann haben diese nichts mehr gefunden.

Anschließend habe ich nochmal das Programm eScan drüber laufen lassen mit folgendem Ergebnis:

aus eScan_neu.txt
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für infected
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Nov 01 18:10:53 2005 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:53 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:54 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:58 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:59 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:59 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:38 2005 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:38 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:40 2005 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:40 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:40 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:42 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:42 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:42 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:44 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:45 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:45 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:45 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:45 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:45 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:46 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:47 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:47 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:48 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:49 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:50 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:50 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:50 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
Thu Nov 03 22:17:51 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für tagged
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Nov 01 18:10:55 2005 => Offending Key found: HKLM\Software\gator.com !!!
Tue Nov 01 18:10:58 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Tue Nov 01 18:10:59 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Tue Nov 01 18:10:59 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
Thu Nov 03 22:17:38 2005 => Offending file found: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\cmdlineext02.dll
Thu Nov 03 22:17:38 2005 => Offending file found: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\insthelp.dll
Thu Nov 03 22:17:40 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temp\cmdlineext02.dll
Thu Nov 03 22:17:40 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temp\insthelp.dll
Thu Nov 03 22:17:40 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\0fbn2ctd\common[1].js
Thu Nov 03 22:17:42 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\1jrj9dse\common[1].js
Thu Nov 03 22:17:42 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\4ffzqo5l\common[1].js
Thu Nov 03 22:17:42 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\bjt379gw\common[1].js
Thu Nov 03 22:17:43 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\cpefw1ab\common[1].js
Thu Nov 03 22:17:43 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\dksj5ls5\common[1].js
Thu Nov 03 22:17:43 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\ep7olwzm\common[1].js
Thu Nov 03 22:17:44 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\fmsz79k9\index[1].html
Thu Nov 03 22:17:44 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\mhpa3edc\common[1].js
Thu Nov 03 22:17:45 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\nf1v7h8w\common[1].js
Thu Nov 03 22:17:45 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\nf1v7h8w\stylesheet[1].css
Thu Nov 03 22:17:45 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\oh0fgzcj\common[1].js
Thu Nov 03 22:17:45 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\p483plcx\common[1].js
Thu Nov 03 22:17:45 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\s5ansl23\index[1].html
Thu Nov 03 22:17:46 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\spa3op6b\common[1].js
Thu Nov 03 22:17:47 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temporary internet files\content.ie5\spyzc9ab\common[1].js
Thu Nov 03 22:17:47 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\0fbn2ctd\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\1jrj9dse\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\4ffzqo5l\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\bjt379gw\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\cpefw1ab\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\dksj5ls5\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\ep7olwzm\common[1].js
Thu Nov 03 22:17:48 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\fmsz79k9\index[1].html
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\mhpa3edc\common[1].js
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\nf1v7h8w\common[1].js
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\nf1v7h8w\stylesheet[1].css
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\oh0fgzcj\common[1].js
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\p483plcx\common[1].js
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\s5ansl23\index[1].html
Thu Nov 03 22:17:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\spa3op6b\common[1].js
Thu Nov 03 22:17:50 2005 => Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\content.ie5\spyzc9ab\common[1].js
Thu Nov 03 22:17:50 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Thu Nov 03 22:17:50 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Thu Nov 03 22:17:51 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

aus mwXface.log (C:\Bases_X)
[msvLclnt.dll] [0x00000444] 01/11/2005 18:12:49:187 :[00000001] File C:\WINDOWS\System32\iohiagac.exe infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x00000444] 01/11/2005 18:53:34:843 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103536.exe infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x00000444] 01/11/2005 18:53:34:921 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103537.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 18:53:53:312 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103923.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 18:54:27:546 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP277\A0105327.exe infected by Trojan-Downloader.Win32.Small.bau
[msvLclnt.dll] [0x00000444] 01/11/2005 18:54:27:593 :[00000001] File C:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP277\A0105328.exe infected by Trojan-Downloader.Win32.Small.bau
[msvLclnt.dll] [0x00000444] 01/11/2005 19:12:52:734 :[00000001] File C:\WINDOWS\system32\iohiagac.exe infected by Trojan-Dropper.Win32.Small.afo
[msvLclnt.dll] [0x00000444] 01/11/2005 19:29:37:765 :[00000001] File T:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP277\A0105336.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 19:30:14:500 :[00000001] File V:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103776.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 19:30:14:640 :[00000001] File V:\System Volume Information\_restore{A26CEDE9-233B-4085-8D01-3FE098EAB187}\RP275\A0103896.exe infected by Trojan-Proxy.Win32.Small.cx
[msvLclnt.dll] [0x00000444] 01/11/2005 19:30:52:921 :VirusCount = 157336 Latest Date = 2005/10/31
[msvLclnt.dll] [0x00000388] 01/11/2005 19:32:43:765 :VirusCount = 157336 Latest Date = 2005/10/31
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:28:982 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:28:997 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:31:075 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:31:075 :Mode

ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:31:075 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:31:075

riority : NORMAL
[msvLclnt.dll] [0x00000794] 03/11/2005 22:16:31:919 :VirusCount = 157336 Latest Date = 2005/10/31
[msvLclnt.dll] [0x0000080c] 03/11/2005 23:10:31:404 :VirusCount = 157336 Latest Date = 2005/10/31
[msvLclnt.dll] [0x00000794] 03/11/2005 23:11:06:669 :VirusCount = 157336 Latest Date = 2005/10/31

aus MWAV.log - Zusammenfassung der letzten Zeilen (C:Bases_X)
Thu Nov 03 23:10:31 2005 => ***** Überprüfe spezielle ITW Viren *****
Thu Nov 03 23:10:31 2005 => Überprüfe auf Welchia Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf LovGate Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf CodeRed Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf OpaServ Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Sobig.e Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Winupie Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Swen Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf JS.Fortnight Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Novarg Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Pagabot Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Parite.b Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Parite.a Virus...
Thu Nov 03 23:10:31 2005 => Überprüfe auf Adware.SeekSeek Virus...

Thu Nov 03 23:10:31 2005 => ***** Scan vollständig. *****

Thu Nov 03 23:10:31 2005 => Gescannte Dateien: 135826
Thu Nov 03 23:10:31 2005 => Gefundene Viren: 39
Thu Nov 03 23:10:31 2005 => Anzahl der desinfizierten Dateien: 0
Thu Nov 03 23:10:31 2005 => Umbenannte Dateien: 0
Thu Nov 03 23:10:31 2005 => Anzahl der gelöschten Dateien: 0
Thu Nov 03 23:10:31 2005 => Anzahl Fehler: 488
Thu Nov 03 23:10:31 2005 => Zeit vergangen: 00:53:46
Thu Nov 03 23:10:31 2005 => Virus Datenbank Datum: 2005/10/31
Thu Nov 03 23:10:31 2005 => Virus Datenbank Zähler: 157336

Thu Nov 03 23:10:31 2005 => Scan vollständig.

Thu Nov 03 23:11:06 2005 => Virus Datenbank Datum: 2005/10/31
Thu Nov 03 23:11:06 2005 => Virus Datenbank Zähler: 157336
Thu Nov 03 23:11:16 2005 => AV Library Unloaded (3)...

Wenn ich mir die letzte Zusammenfassung anschaue, dann hätten ich jetzt mehr Viren auf dem PC, obwohl ich mit Spybot S&D sowie Ad-Aware bereits einiges bereinigt hatte. Ist das richtig? Oder deute ich die Auswertungen falsch?

Was kann ich noch tun?

Bevor ich mich an die Installation vom WinXP SP2 mache, würde ich gern ein sauberes System haben.

Gruß
Josef

SetzDichNimmDirnKeks · 04.11.2005

Hi,

FaberJoe schrieb:
ich habe Deine Tipps befolgt und die Datei iohiagac.exe, wie von Dir beschrieben, gelöscht.

Hast du vorher wirklich die Systemwiederherstellung deaktiviert? Die Datei taucht im eScan Bericht erneut auf. Davon abgesehen hätten die ganzen Funde ( siehe im Bericht alle Einträge File C:\System Volume Information\_restore ) nach deaktivierter SWH auch nicht mehr auftauchen dürfen, da durch das Deaktivieren ALLE Systemwiederherstellungspunkte gelöscht werden.

Die Adware-Programme sollten eigentlich Spybot S & D bzw. AdAware bereinigt haben. Einige eScan Melungen halte ich aber auch für Fehlalarme.

Weiterhin solltest du einmal alle temporären Systemdateien und die des Internet Explorers löschen. Das geht relativ komfortable mit Clearprog:

http://www.clearprog.de/

Leere auch einmal den Java-Cache:

Start ->Einstellungen ->Systemsteuerung ->Java ->Reiter: Allgemein ->Temporäre Internetdateien ->Dateien löschen

Einige eScan Meldungen halte ich für Fehlalarme, z. B. diese:

Tue Nov 01 18:10:58 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen.
Tue Nov 01 18:10:59 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.

FaberJoe schrieb:
Bevor ich mich an die Installation vom WinXP SP2 mache, würde ich gern ein sauberes System haben.

Und aus diesem Grunde hatte ich vorgeschlagen, den Rechner neuaufzusetzen, um ein garantiert frisches und sauberes System zu haben.

SDNDNK

FaberJoe · 05.11.2005

Hi SDNDNK,

ich hatte die Systemwiederherstellung deaktiviert (wie auf www.bsi.de/.../wiederher.htm beschrieben).

Wie von mir beschrieben, haben Spyware S&D und AdAware auch tatsächlich nichts mehr gefunden.

Die Datei iohiagac.exe ist im Verzeichnis C:\WINDOWS\System32\ nicht mehr vorhanden (auch nach mehreren Neustarts).

Ich hatte das letzte Mal (also am 03. November) das Programm eScan bereits zum zweiten Mal drüber laufen lassen (nachdem ich die Systemwiederherstellung wieder aktiviert hatte).

Auf Grund des Datums bei diesem Eintrag

[msvLclnt.dll] [0x00000444] 01/11/2005 18:12:49:187 :[00000001] File C:\WINDOWS\System32\iohiagac.exe infected by Trojan-Dropper.Win32.Small.afo

und auch anderer Einträge, vermute ich, dass die alte Protokolldatei (vom 01.November) einfach durch neue Einträge (vom 03. November) ergänzt wurde.

Ich werde deshalb Deine bisherigen Tipps und Vorschläge einfach nochmal durchführen.

Darüber hinaus werde ich eScan einmal löschen und neu installieren, um zu sehen, ob ich mit meiner Vermutung recht habe.

Wenn ich damit fertig bin, werde ich mich wieder melden und Dir das Ergebnis posten.

Wie du bereits gemerkt hast, habe ich Bammel vor dem Neuaufsetzen des Systems, einfach deshalb, weil ich das noch nie gemacht habe. Deshalb versuche ich es erst einmal so.

Deshalb nochmals vielen Dank für Deine Hilfe.

Gruß
Josef

FaberJoe · 08.11.2005

Hi SDNDNK,

also jetzt habe ich alle Schritte nochmals wiederholt (Spybot S & D, AdAware und zusätzlich ClearProg). Spybot S&D sowie AdAware haben nichts mehr gefunden.

Anschließend habe ich nochmals eScan drüberlaufen lassen. Hier kamen folgenden Meldungen:

aus eScan_neu.txt
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für infected
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Nov 08 21:35:38 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Nov 08 21:35:38 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Nov 08 21:35:39 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Nov 08 21:35:39 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Tue Nov 08 21:35:39 2005 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Tue Nov 08 22:42:20 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für tagged
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Nov 08 21:35:38 2005 => Offending file found: C:\DOKUME~1\ADMINI~1.001\LOKALE~1\Temp\insthelp.dll
Tue Nov 08 21:35:38 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.JOSEF1.001\Lokale Einstellungen\temp\insthelp.dll
Tue Nov 08 21:35:39 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Tue Nov 08 21:35:39 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Tue Nov 08 21:35:39 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
Tue Nov 08 22:42:20 2005 => Total Virus(es) Found: 5
Tue Nov 08 22:42:20 2005 => Total Errors: 356
Tue Nov 08 22:42:20 2005 => Time Elapsed: 01:07:31
Tue Nov 08 22:42:20 2005 => Total Objects Scanned: 72317
Tue Nov 08 21:25:39 2005 => Virus Database Date: 2005/11/08
Tue Nov 08 21:34:09 2005 => Virus Database Date: 2005/11/08
Tue Nov 08 22:42:20 2005 => Virus Database Date: 2005/11/08
Tue Nov 08 22:43:33 2005 => Virus Database Date: 2005/11/08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

aus mwXface.log
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:36:904 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:36:919 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:38:779 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:38:779 :Mode

ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:38:779 :TimeOut : ffffffff
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:38:779

riority : NORMAL
[msvLclnt.dll] [0x0000073c] 08/11/2005 21:25:39:435 :VirusCount = 158898 Latest Date = 2005/11/08
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:05:906 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:05:906 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:08:921 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:08:921 :Mode

ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:08:921 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:08:921

riority : NORMAL
[msvLclnt.dll] [0x00000338] 08/11/2005 21:34:09:796 :VirusCount = 158898 Latest Date = 2005/11/08
[msvLclnt.dll] [0x000003f0] 08/11/2005 22:42:20:671 :VirusCount = 158898 Latest Date = 2005/11/08
[msvLclnt.dll] [0x00000338] 08/11/2005 22:43:33:984 :VirusCount = 158898 Latest Date = 2005/11/08

Bei den letzten zwei Meldungen (norton disk doctor.lnk) bin ich Deiner Meinung, dass es sich um Fehlalarme handelt.

Aber wie sieht es mit den ersten drei Meldungen (insthelp.dll und settings.dat) aus? Brauche ich diese Dateien oder kann ich diese evtl. auch löschen.

Aufgefallen ist mir auch, dass ich die Datei insthelp.dat nur einmal auf meinem PC habe, und zwar im Verzeichnis:

C:\Dokumente und Einstellungen\Administrator.JOSEF1.001\Lokale Einstellungen\temp\insthelp.dll

Das Verzeichnis bzw. die Datei insthelp.dll in

C:\DOKUME~1\ADMINI~1.001\LOKALE~1\Temp\insthelp.dll

existiert auf meinem PC nicht. Ich vermute fast, dass es sich hier um die alte DOS-schreibweise bzw. die Kurzform 8+3 handelt und dass in beiden Fällen die gleiche Datei gemeint ist.

Was meinst Du, ist mein PC jetzt soweit, dass ich SP2 installieren kann (und wenn ja, muss ich vorher SP1 installieren)?

Gruß
Josef

SetzDichNimmDirNKeks · 09.11.2005

Hallo,

FaberJoe schrieb:
Tue Nov 08 21:35:38 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Tue Nov 08 21:35:38 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Nov 08 21:35:39 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.

halte ich alle für Fehlalarme. Schade, dass eScan keine genaueren Pfade angibt.

Zur Vorsicht kannst du die Dateien ja noch einmal hier überprüfen lassen:

http://virusscan.jotti.org/de/

FaberJoe schrieb:
Was meinst Du, ist mein PC jetzt soweit, dass ich SP2 installieren kann (und wenn ja, muss ich vorher SP1 installieren)?

Na klar. Aber nicht vergessen, dass seit dem Erscheinen des SP 2 ( das war im August 2004 ) jede Menge weiterer Sicherheits-Updates erschienen sind, die du natürlich auch installieren musst ( am einfachsten mit dem automatischen Windows-Update ).

Das SP 1 musst du nicht vorher separat installieren! Das SP 2 ist kumulativ. Es beinhaltet also alle bisherigen Patches und Sicherheits-Updates.

SDNDNK

PCDpan_fee · 09.11.2005

insthelp.dll gehört zur Spyware RedV:
http://www.wintotal.de/Spyware/index.php?Filter=I#Spyware7026

pan_fee

Herstellung Internetverbindung sofort nach Windows-Start

FaberJoe

SetzDichNimmDirNKeks

SetzDichNimmDirNKeks

FaberJoe

SetzDichNimmDirNKeks

FaberJoe

FaberJoe

SetzDichNimmDirNKeks

SetzDichNimmDirNKeks

FaberJoe

FaberJoe

SetzDichNimmDirNKeks

FaberJoe

SetzDichNimmDirNKeks

FaberJoe

SetzDichNimmDirnKeks

FaberJoe

FaberJoe

SetzDichNimmDirNKeks

PCDpan_fee

Herstellung Internetverbindung sofort nach Windows-Start

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums