Nachdem ich nun mit Ewido meine gesamte Festplatte gescannt und auch die Ad-Ware NavExel und SaveNow (ich glaub jedenfalls, dass sie so hießen) gefunden und gelöscht habe, habe ich noch mal meine Festplatte mit dem Onlineprogramm Panda ActiveScan gescannt. Nun wurden nur noch 5 Spyware, aber immer noch 22 Hacker-Tools gefunden.
Einfach aus psychologischen Gründen, damit ich mich sicherer und wohler fühle, würde ich gerne wissen, wie ich auch den Kram loswerde.
Hier ist er, ich hoffe, er ist übersichtlich genug:
Ereignis Zustand Standort
Spyware:Cookie/Falkag Nicht desinfiziert D:\Dokumente und Einstellungen\Administrator.LUKAS1\Anwendungsdaten\Mozilla\Firefox\Profiles\paypznmw.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Nicht desinfiziert D:\Dokumente und Einstellungen\Administrator.LUKAS1\Cookies\[email protected][1].txt
Adware:Adware/IST.ISTBar Nicht desinfiziert D:\Programme\Gemeinsame Dateien\Totem Shared\Update\WindowsEx.dll.041
Adware:Adware/Ucontrol Nicht desinfiziert D:\Programme\Gemeinsame Dateien\WhenU\UControlScanAndRemove.ocx
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\2.bin\MWSOEMON.EXE
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\2.bin\MWSOESTB.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3CJPEG.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3HISTSW.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3HTMLMU.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3PSSAVR.SCR
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3REPROX.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3RESTUB.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3SCHMON.EXE
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3SCRCTR.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\F3WPHOOK.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\M3HTML.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\M3OUTLCN.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\M3PLUGIN.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\M3SKIN.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\MWSOEMON.EXE
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\MWSOEPLG.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\MWSOESTB.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\7.bin\NPMYWEBS.DLL
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\Game\CHESS.F3S
Potenziell unerwünschtes Tool:Application/MyWebSearch Nicht desinfiziert D:\Programme\MyWebSearch\bar\Game\REVERSI.F3S
Adware:Adware/NavHelper Nicht desinfiziert D:\Programme\NavExcel\NavHelper\v2.0.4d\NHUninstaller.exe
Um die restliche Malware vom Rechner zu entfernen, lade dir die 30 Tage Testversion von Panda Titanium AntiVirus 2006 5.02.01 herunter:
http://www.computerbase.de/downloads/software/antivirensoftware/panda_titanium_antivirus/
Deaktiviere die Systemwiederherstellung!
Deinstalliere vorrübergehend deine AntiVir PersonalEdition Classic und führe im Anschluss das Setup von Panda aus. Nach einen erfolgten Update der Antivirusdatenbank, scanne erneut deinen PC.
Zur Kontrolle sollte noch eine Überprüfung mit dem
F-Secure Online Scanner vorgenommen werden:
http://support.f-secure.com/enu/home/ols3.shtml
Zum Schluss führe einen Reboot aus und aktiviere wieder die Systemwiederherstellung.
Bei Rückfragen poste bitte wieder die Scan-Protokolle hier.
Ist alles wieder in Ordnung deinstalliere Panda und installiere AntiVir PersonalEdition Classic.
Hallo,
wie meinen zu diesen Einträgen ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
Sir Reklov
Sorry Sir Reklov, aber ich versteh wieder einmal nicht, was du meinst. Ist aber denke ich auch nicht mehr so wichtig, denn nachdem ich mit der Panda 30 Tagesoftware den PC gereinigt, das Programm wieder deinstalliert, AntiVir wieder installiert und anschließend noch mal mit Ewido einen Scan durchgeführt habe, wurden keine Vieren oder sonstige gefährliche Einträge gefunden.
Ich danke euch für eure Hilfsbereitschaft, Jungs.
Eine letzte Bitte hätte ich aber doch noch. Wenn einer mal über meinen aktuellen HiJackThis Logfile werfen könnte? Mir sind da wieder zwei Prozesse aufgefallen, die ich vorher nicht hatte:
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\MSTask.exe
soll ich die Einträge fixen? Oder sind die wichtig?
Und hier der komplette Logfile
Logfile of HijackThis v1.99.1
Scan saved at 14:31:33, on 13.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\SYSTEM32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\Ati2evxx.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Ewido\guard.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\UAService7.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\SYSTEM32\Ati2evxx.exe
D:\WINNT\Explorer.EXE
D:\WINNT\SOUNDMAN.EXE
D:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\Programme\ZoneAlarm\zlclient.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINNT\system32\internat.exe
D:\Programme\Core Center\CoreCenter.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Proginstalls\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: CoreCenter.lnk = D:\Programme\Core Center\CoreCenter.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9C3D6F-3C29-4A73-9361-59DDBBFCAC99}: NameServer = xxx.xxx.x.x
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Programme\Ewido\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - D:\WINNT\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
LukeFileWalker,
du musst noch meinen Tipp vom 07.08. beachten, ansonsten ist dein Browser sehr anfällig für Malware.
“... und installiere dir den Internet Explorer Version 6 von Microsoft!
oder verwende besser gleich alternative Browser Programme, wie Firefox und Opera.
http://www.mozilla-europe.org/de/
http://www.opera.com/download/index.dml?step=2&opsys=Windows&platform=win
Beide Programme sind Freeware und bieten viel mehr Sicherheit als der Browser von Microsoft. Zudem sind sie schneller und zeichnen sich mit neuen sinnvollen Funktionen aus.
Trotzdem ist ein Update auf Internet Explorer Version 6 von Microsoft Pflicht!“
Ansonsten ist dein Logfile of HijackThis OK,
auch die Einträge
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\svchost.exe
Ich würd ja gerne den Internet Explorer 6 installieren, aber es geht nicht. Ich hab im Internet nur 500 kb große Installationsdateien für den Explorer gefunden, der bei der Anwendung die eigentlichen Installationsdateien runterläd. Doch genau da bricht die Istallation immer ab. Wenn jemand rat weiß, bitte melden.
Mit welcher Fehlermeldung wird das Setup abgebrochen?
Hier ein Link mit der Vollversion zum Download:
http://www.computerbase.de/downloads/software/browser/internet_explorer/
(Internet Explorer 6.0 SP1, 11,9 MB)
... und führe unbedingt nach der Installation vom Internet Explorer Version 6 das Windows solange erneut aus, bis alle Sicherheitsupdates zu diesen Programm eingespielt sind!
Und installiere Firefox 1.5.0.6 !!!
Die Installation des Internet Explorers 6 bricht mit der Meldung „Es konnten nicht alle erforderlichen Komponenten übertragen werden. Stellen Sie sicher, dass noch eine Verbindung mit dem Internet besteht, oder starten Sie Setup später erneut“ ab. Egal wie oft ich es erneut versuche, es kommt immer die gleiche Meldung.
Mit Hilfe des Links konnte ich nun den Internet Explorer Version 6.00.2800.1106 installieren.
Den Browser Firefox 1.5.0.6 habe ich bereits. Allerdings habe ich sobald ich den Browser starte solche Einträge paypznmw.default\cookies.txt, die von Ewido erkannt werden. Lösche ich aber alle Temporären Dateien, so verschwinden auch diese Einträge wieder. Ist das dennoch gefährlich?
Allerdings habe ich sobald ich den Browser starte solche Einträge paypznmw.default\cookies.txt, die von Ewido erkannt werden. Lösche ich aber alle Temporären Dateien, so verschwinden auch diese Einträge wieder. Ist das dennoch gefährlich?
Nein!
Das sind nur Cookies, mehr nicht.
Hallo,
bin mit 2000 nicht mehr ganz so fit.. :'(
Lasse diese Exe aber mal bei "Virustotal prüfen :
D:\WINNT\system32\internat.exeKopiere und poste das Ergebnis.
Besteht die Möglichkeit das dein Betriebssystem,ein geklautes ist ?
Sir Reklov
« LESSON LEARNED VIRUS | antivir » | ||