[Heidelbaer]

So, ich versuche es noch mal:

LINK

Also: e-scan hat hat zwar noch eine Menge Ad-Ware gefunden, die Trojaner, die f-secure umbenannt hatte, hat es gelöscht, nun sieht das Hijack-Log schon richtig aufgeräumt aus.



Könnte sein, dass ich mit einem blauen Auge davon gekommen bin.


Die von mir genannten Einträge wurden immer noch als unbekannt oder schädlich erkannt, bin aber wirklich ZIEMLICH sicher, dass sie koscher sind.

Zitat

C:\PROGRAMME\F-SECURE ANTI-VIRUS 2004 - WEB.DE
EDITION\BACKWEB\154149\PROGRAM\BACKWEB-154149.EXE   
Unbekannt   Laufender Prozess. (BACKWEB-154149.EXE)
   Dies ist ein unbekannter Prozess.

  C:\PROGRAMME\IOMEGA\TOOLS\IOWATCH.EXE   
Unbekannt   Laufender Prozess. (IOWATCH.EXE)
   Dies ist ein unbekannter Prozess.

O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE   
Unbekannt   Zum eingegebenen Programm SO5 Integrator Pass Two haben wir folgendes Programm gefunden: SO5 Integrator Pass One. Trefferquote: 46 % (Resultate)   Nicht bekanntes Programm.

O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE   
Unbekannt   Zum eingegebenen Programm SO5 Integrator Pass One haben wir folgendes Programm gefunden: SO5 Integrator Pass One. Trefferquote: 53 % (Resultate)   Nicht bekanntes Programm.

O4 - Global Startup: F-Secure Anti-Virus 2004 - WEB.DE Edition.lnk =
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE
Edition\backweb\154149\Program\backweb-154149.exe   
Böse   Zum eingegebenen Programm 'F-Secure Anti-Virus 2004 - WEB.DE Edition.lnk (backweb-154149.exe)' haben wir folgendes Programm gefunden: 'rundll### (die.exe and either ttg.exe or secure.exe or mdll.exe or secure.bat )'. Trefferquote: 12 % (Resultate)   Unbedingt fixen!

Und dann halt noch dieser Spruch in der Warnleiste:

Zitat

Sie benutzen anscheinend kein Antivirenscanner oder ihr Scanner ist nicht aktiv. Nur ein Antivirenscanner kann Sie ausreichend vor neuen Viren schützen. Informieren Sie sich hier über gute Antivirenscanner.

Kann das jemand verifizieren?

Vielen Dank und liebe Grüße.

Heidelbaer

EDIT: Ich verwende den IE eigentlich gar nicht, weil ich momentan die AOL-Modemflat benutze. (Testen Sie kostenlos) updaten werde ich das Dingen nicht, sondern mir wohl lieber gleich Firefox downloaden.
Naja, und das *eigentlich* war mein Problem, weil ein Lieblingsforum von mir sich nicht mit meiner AOL-Version verstand, naja, und dann folgt man einem Link und plötzlich klingelt es im Karton.
Wieder was gelernt...

Dieser Beitrag wurde von Heidelbaer bearbeitet: 28. September 2004 - 20:13

[Rika]

Backweb -> böse. Aber bring das mal F-Secure und Logitech bei...

[Heidelbaer]

Hä, frag ich?

Soll das heißen, f-secure verwendet "böse" Progi's?
Soll ich jetzt fixen, oder geht mein Virenscanner dann nicht mehr?
Oder wie oder was?

*verunsichert guck*

Heidelbaer

[Rika]

Ja, ja, ja, doch, nein, nein.

[Heidelbaer]

Öhm, das waren mehr Antworten als ich gefragt habe. Also verstehe ich dich richtig:
F-Secure verwendet das böse backweb.
Es lohnt sich, das zu fixen
Die Leistung des Virenscanners wird dadurch nicht beeinträchtigt.

Richtig?

Heidelbaer

[Matze]

>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Trotzdem updaten. Auch wenn du ihn nicht benutzt.

Die Backwebprozesse sind, wie Rika schon gesagt hat, böse. Ich weiß nur nicht, ob durch löschen F-Secure geschrottet wird.

Ansonsten sieht dein Logfile ok aus.

>Und dann halt noch dieser Spruch in der Warnleiste: (...)
>Kann das jemand verifizieren?
Höchstens ich ^^ Sollte im Laufe des Abends nicht mehr angezeigt werden. F-Secure wird nicht als AV-Scanner sondern als gewöhnlicher Prozess erkannt.

[Heidelbaer]

Ach, es wäre so schön, wenn es einfach wäre.
Nun weiß ich wieder nicht, was ist gefährlicher: den Virenscanner zu schrotten (hab von f-secure nur gutes gehört) oder backweb weiter laufen zu lassen?

Was ist an backweb böse? Google findet zigtausend irgendwo gepostete Hijackthis logfiles, vielleicht kann mir jemand einmal für DAU's erklären, was daran nun schädlich ist, bzw, einen Link gönnen, wo das für Doofe steht?

Aber jedenfalls mal ein Riesendanke für Eure schnelle Hilfe!


Heidelbaer

Edit: Das sagt F-Secure dazu:

Zitat

What is F-Secure BackWeb™?

With F-Secure BackWeb users can get antivirus database updates and informational content without interrupting their work to wait for files to download from the Web. F-Secure BackWeb downloads files automatically in the background using bandwidth not being used by other Internet applications, so the users can always be sure they will have the latest updates without having to search the Web.


If the F-Secure BackWeb client is always connected to the Internet, it will automatically receive new antivirus updates within about two hours after they have been published by F-Secure. Any possible delays will depend on when a connection to the Internet is available.

F-Secure BackWeb client is used to update either centrally managed or stand-alone F-Secure Anti-Virus 5.x. By default the client also downloads Computer Virus News and F-Secure News. Downloading these can be disabled if so desired.

F-Secure BackWeb can be installed in Windows 95, Windows 98, Windows ME, Windows NT 4.0, Windows 2000, and Windows XP.

You may install and use F-Secure BackWeb in conjunction with licensed F-Secure Anti-Virus and security products. F-Secure BackWeb shall be used only for receiving updates and related information on F-Secure's antivirus and security products. F-Secure BackWeb may not be used for any other purpose or service. "BackWeb" is a trademark of BackWeb Technologies.

NOTE: In order to use F-Secure BackWeb to get antivirus updates, you must have F-Secure Anti-Virus Release 5.00 build 5271 or newer.

*grummelgrübel*

Dieser Beitrag wurde von Heidelbaer bearbeitet: 28. September 2004 - 20:53

[Rika]

http://www.backweb.c...vacy_policy.cfm
http://www.liutilities.com/products/wintas...ibrary/backWeb/
http://www.kephyr.com/spywarescanner/libra...ent/index.phtml
http://www.cexx.org/dlgli.htm

Sämtliche mit Backweb gelieferte Software läuft auch ohne.

[BlueDarknezz]

so...kann evtl. mal wieder ein kleines update liefern, leider hab ich keinen log für den prozess...da er bei nem kumpel war und er den log warscheinlich schonwieder gelöscht hat

Prozess: "windbg.exe" (zur zeit noch "unbekannt")
Sympthome: verlängert den systemstart imens und lässt die cpu-auslastung nach dem trennen der internet-verbindung dauerhaft auf 100% steigen, bis zum nächsten neustart

ich kann mal nachfragen, ob er evtl. den log noch hat, wenn er wieder online kommt

Dieser Beitrag wurde von BlueDarknezz bearbeitet: 30. September 2004 - 16:51

[Matze]

Das kann entweder der WinDgb-Debugger oder aber auch W32/Agobot-MD sein. Wo liegt die Datei?
Am besten wäre es, wenn du / dein Kumpel mit die Datei schicken könntet.

Bitte an [email protected] dort ist kein Virenscanner installiert. (Sonst würde die Mail nicht ankommen ^^)

[BlueDarknezz]

das prop iss, er hat es scho mit hijackthis gereinigt, die datei müsste nun auch fort sein, da die sympthome nichtmehr auftreten :|

[Matze]

Dann kann ich den Eintrag nicht hinzufügen, sorry.

[BlueDarknezz]

habs weitergeleitet...er hat den log noch und warscheinlich auch die datei, er wird sie mir dann zuschicken, nur noch etwas geduld...das "real-life" geht vor

Edit: hab dir ne pm und die mail mit der datei + log geschickt

Dieser Beitrag wurde von BlueDarknezz bearbeitet: 03. Oktober 2004 - 10:47

[DiNozzo]

Hier mal ein paar unbekannte: (hab ich gestern in dem Logfile von einen Bekannten gefunden )

Zitat

C:\Programme\Norton Internet Security\ISSVC.exe

Gut, gehört zu Norton Internet Security 2005

Zitat

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

Gut, gehört zu Norton Internet Security 2005

Zitat

C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe

Norton Ghost (Backup Programm)

Zitat

C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

Gut, gehört zu Norton Antivirus 2005

Zitat

O4 - HKCU\..\Run: [ITD7] "C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot

Gut, gehört zu Steganos Internet Spurenvernichter

Zitat

O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton
Ghost\Agent\GhostTray.exe

Auf keinen Fall Böse, gehört zu Norton Ghost

Hier nochmals zum ansehen:
http://www.hijackthis.de/logfiles/26d4599b...7890a1f476.html

Dieser Beitrag wurde von mastre1 bearbeitet: 03. Oktober 2004 - 11:43

[Matze]

Hinzugefügt