Eine mysteriöse CWShredder-Meldung

Hier escan und Sysclean im abges.-Modus laufen lassen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Gruß

Okay mach ich gleich.
Hier übrigens mein HijackthisLogfile.

Logfile of HijackThis v1.98.0
Scan saved at 17:22:12, on 18.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\LEXPPS.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\slserv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\system32\sstray.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Trojancheck 6\tcguard.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
E:\Programme\Lexmark X1100 Series\lxbkbmon.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Messenger\msmsgs.exe
E:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\PROGRA~1\ICQ\ICQ.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Winamp\Winamp.exe
E:\Dokumente und Einstellungen\Kolja\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=36524
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.150.97 194.25.2.129

Schaut IMO sauber aus, oder?

Achja, ich wollte noch anmerken, dass diese Meldung nicht immer erscheint wenn ich den Shredder nicht öffne, sondern nur sehr selten.

hi,
mal eine kleine zwischenfrage,
was ist das bei Kolja22 für eine 017 meldung?
also die hier meine ich
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.150.97 194.25.2.129

O17 steht für Domain-Hijack. Aber die Nummer die da steht ist schon richtig.

@ Nighty: Ich komm bei diesem escan nicht weiter:

Die downgeloadete exe mit winzip/Winrar in c:\bases entpacken-> in den Ordner gehen

Also ich hab das runtergeladen, dann ist das Symbol auf dem Desktop gewesen, und dann hab ich da drauf geklickt und jetzt komm ich nicht mehr weiter.

Jo steht doch dran in c:\bases entpacken nicht auf den desktop, dann im Explorer den Ordner c:\bases suchen -> in den Ordner gehn(links bases markieren, rechts is der Inhalt) dann im Inhalt kavupd.exe (Anwendung) suchen und mit nem Doppelklick ausführen.

Dann werden die Signaturen upgedatet und danach kannste mwavscan ausführen.

Gruß

Sorry, wenn ich langsam damit nerve aber ich kann c:/bases nicht finden.

Oder muss ich den Ordner c:\bases erstmal erstellen?

Nochmal zur Erklärung:

1. Ich gehe auf diesen Download Link
2. Mozilla Firefox erscheint mit der Meldung, was ich nun machen will. Ich habe nur eine Möglichkeit: AUf Diskette/Festplatte speichern.
3. Es wird runtergeladen und das Symbol ist dann anschließend direkt auf dem Desktop.

Das runtergeladene ist ein Archiv...

Mit Winrar/Winzip nach c:\bases entpacken.
Wenn er nicht existiert wird er von Winrar/Winzip angelegt wenn du einen nicht existierenden Ordner zum entpacken angibst.

Kannst ihn natürlich auch vorher erstellen und dann dort rein entpacken.

Gruß

Sorry, Nighty ich will dir nicht auf die Nerven gehen - ich will ja selbst, dass ich das so schnell wie möglich hier gebacken kriege - aber:

Das Symbol ist auf dem Desktop. Was soll ich nun als nächstes machen?

Draufklicken soll ich ja noch nicht, aber was dann?

Hast du die Datei auf den Desktop gespeichert (download->speichern unter / Ziel)?

Hast du Winrar oder Winzip?

Gruß

Zu Frage 1) Ja.
Zu Frage 2) Ob ich WinRAR hab, weiß ich nicht. WinZIP müsste ich eigentlich haben, denn sonst hätte ich mir ja auch gar nicht Hijackthis runterladen können, da man da ja zum Entpacken WinZIP braucht.

Jo dann klickste rechts auf das Icon aufm Desktop und dort archiv entpacken...->nach c:\bases

Oder Winzip öffnen->extrahieren->datei auf dem Desktop auswählen->entpacken in c:\bases.

Gruß

Jo dann klickste rechts auf das Icon aufm Desktop und dort archiv entpacken...->nach c:\bases

Wenn ich mit der rechten Maustaste auf das Icon klicke, erscheinen folgende Sachen:

Öffnen
Ausführen als...
Virensuche mit AntiVir
-----------------------
Mit Norton AntiVirus prüfen
An Startmenü anheften
-----------------------
Senden an
-----------------------
Ausschneiden
Kopieren
-----------------------
Verknüpfung erstellen
Löschen
Umbenennen
-----------------------
EIgenschaften

Bei "Senden an" steht ein Pfeil rechts. Geht man dorthin erscheint folgendes:

Desktop (Verknüpfung erstellen)
E-Mail-Empfänger
Eigene Dateien
ZIP-komprimierten Ordner
3 1halb Diskette (A:)
DVD/CD-RW-Laufwerk (K:)
Wechseldatenträger (M:)
Wechseldatenträger (N:)
Wechseldatenträger (O:)
Wechseldatenträger (P:)

VOn "Archiv entpacken" steht da nirgendwo was.

Ja drum hab ich doch 2 Möglichkeiten hingeschrieben...

Winzp starten->heruntergeladene datei wählen->extrahieren/entpacken -> ordner wählen wohin entpackt wird -> c:\bases wählen (vorher im Windows-Explorer erstellen) -> OK/übernehmen (dann wird entpackt) -> nach C:\bases gehn und kavupd.exe starten(doppelklick).

Wenn er upgedatet hat mwavscan in c:\basses starten( doppelklick)

Wennst winzip/winrar nicht hast musst es dir halt runterladen und installieren.

Genauer kann ichs jetzt nich mehr erklären musste halt probieren

Gruß

Ich bin nicht mehr weitergekommen und hab jetzt gescannt ohne vorher upzudaten.

Escan hat einen Virus gefunden:

Wed Aug 18 23:04:59 2004 => File E:\WINDOWS\adiras.exe tagged as not-a-virus:---Ware.Dialer.Generic. No Action Taken.

Was soll ich jetzt mit diesem einen Virus machen? Und ist das evtl. ein Dialer - wie der Name vermuten lässt?

Werde jetzt gleich noch mit Sysclean scannen.

Ich bin nicht mehr weitergekommen und hab jetzt gescannt ohne vorher upzudaten.

Was genau is jetzt an der Erklärung unklar?

Es bringt ja nix wenn du ohne updaten scannst...

Und wenn du scannst musste das im abges.-Modus machen wie es in der Anleitung steht, dann kann gefunden Sachen auch löschen.

Gruß

So nach langem Hin und her hat jetzt doch alles geklappt.
Folgendes hab ich gemacht:
1) WinZIP runtergeladen
2) Die Schritte mit escan befolgt die du mir genannt hast (entpackt, vorher geupdatet etc.)
3) Im abgesicherten Mdus gescannt. Ergebnis:

Thu Aug 19 05:02:00 2004 => File E:\WINDOWS\adiras.exe tagged as not-a-virus:---Ware.Dialer.Generic. No Action Taken.

Heißt: Auch im abgesicherten Modus lässt sich das nicht löschen. Hab dann mal nachgeguckt, was Adiras.exe überhaupt ist. Und siehe da:

Es ist scheinbar eine Anwendung, kein Virus.
Beschreibung: ADI RAS setup Application zuletzt geändert am 29.05.2002.

Diese Anwendung müsstest dann wahrscheinlich auch Du auf deinem PC besitzen (dann aber wohl unter C:, nicht unter E:).

Handelt es sich um einen Fehlalarm von escan oder was nun? Und was heißt "not-a-virus"??? "Kein Virus" oder was?

Sysclean hat übrigens nix gefunden. (hab auch da natürlich im abgesicherten Modus gescannt).

Also adiras is kein virus steht ja auch dran, drum wirds auch nicht gelöscht.

Hat irgendwas mit DSL-Modem zu tun, haste DSL?

Ansonsten steht ja auch nicht dran das ers versucht hätte zu löschen und es dann nicht ging.

Haste denn jetzt noch die Meldung von CWS-shredder(neueste Version)?

Ansonsten wenn sysclean + Escan nichts findet is dein Rechner auch sauber.

Kannste noch folgendes runterladen
http://home.pages.at/winlinks/StealthTest.zip <-rechtsklick->ziel speichern

Irgendwohin entpacken und dann starten->Suche starten und das LOG mit rechtsklick ins Ergebnisfenster kopieren (in zwischenablage kopieren) und hier einfügen.

Aber solange warten bis unten kein ### Please wait ### mehr steht, musste runterscrollen um das zu sehn:

Gruß

Jepp, hab DSL.
Die Meldung ist - seitdem ich diesen Thread hier aufgemacht habe - nicht mehr erschienen.

Das einzige was mcih aber noch wundert ist dieses ---Ware.Dialer.Generic.

Was hat das zu bedeuten?

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Connection Wizard, Shellnext: http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=36524
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKU\S-1-5\Software\Microsoft\Internet Connection Wizard, Shellnext: http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=36524
O2 - BHO:AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO:(no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO:CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
F2 - HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon, Userinit: E:\WINDOWS\system32\userinit.exe,
F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs:
F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon, shell: Explorer.exe
F2 - HKU\.DEFA\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
O4 - HKCU..\Run:[CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run:[NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU..\Run:[MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM..\Run:[nForce Tray Options] sstray.exe /r
O4 - HKLM..\Run:[NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM..\Run:[nwiz] nwiz.exe /install
O4 - HKLM..\Run:[Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM..\Run:[WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM..\Run:[Lexmark X1100 Series] "E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM..\Run:[ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM..\Run:[AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM..\Run:[TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM..\Run:[Trojancheck 6 Guard] E:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM..\Run:[Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM..\Run:[ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM..\Run:[ccRegVfy] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM..\Run:[SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKU\.DEFA..\Run:[CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKU\S-1-5..\Run:[NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKU\S-1-5..\Run:[MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE
Stealthed *.dll's:

Stealthed *.exe's:

Stealthed *.sys's:

Log is in Ordnung...

Das einzige was mcih aber noch wundert ist dieses ---Ware.Dialer.Generic.

Hab ich doch geschrieben is kein Virus, steht ja auch dran ( not-a-virus:---Ware.Dialer.Generic)...wahrscheinlich ne Falschmeldung evtl. hat irgendein Dialer ne ähnliche Signaur wie die Datei

Allso alles i.O.

Gruß

Okay, dann ist ja gut.

Ich danke dir bis hierher für deine ausgezeichnete Hilfestellung in den letzten beiden Tagen.  

Was bedeutet dieser Eintrag:

E:\WINDOWS\system32\slserv.exe

Teste die Datei einfach bei Kaspersky-Online Virentest

Gruß