[KdrV]

Hallo an alle,

ich hab gerade was auf meinem Rechner entdeckt, was echt nicht wahr sein kann.

Angefangen hat alles damit, daß Microworld E-Scan free antivirus toolkit behauptete, auf meinem Rechner die Adware "AltNet" gefunden zu haben, ohne aber nähere Angaben zu machen, wo sich dieses Programm befindet.
In diversen Foren hab ich nachgelesen, daß AltNet ein Mitbringsel von Kazaa ist und mit dem Programm installiert wird, des weiteren daß es relativ harmlos sei und Bla.


Der Punkt ist nur - ich habe und hatte Kazaa NIE auf meinem Rechner installiert!


Weil mich das mächtig angenervt hat, habe ich mittlerweile E-trust Pest Patrol erworben, weil laut gewissen Sites dieses Prog in der Lage ist, sämtliche AltNet-Varianten zu entdecken und zu entfernen.
Pest Patrol hat neben diverser anderer Spyware (ich war verblüfft...aber sicher sind auch ein paar false positives dabei) kein AltNet auf meiner Keule entdeckt - schöner Reinfall.


Was mich aber echt umhaut, ist, daß Pest Patrol bei seinem Scan auch ein Verzeichnis anzeigt und dieses mitsamt Inhalt - diverse MP3s - untersucht, das ich auf meinem Rechner nicht finde - nämlich

C:\Programme\Kazaa

, wie gesagt mit diversen Unterverzeichnissen und Inhalten, die mir völlig fremd sind und im Explorer nicht angezeigt werden!!!

Dazu: Auf meinem gesamten Rechner werden bereits in ALLEN Verzeichnissen versteckte Dateien sowie Systemdateien angezeigt. Daran kann's also nicht hapern.



Also was ist da los? Gibt es das Verzeichnis gar nicht, d.h. zeigt mir Pest Patrol einen Quatsch an - was ich nicht glaube - oder hat sich da was bei mir eingenistet, das sich im Explorer nicht anzeigen lässt? Das geht ja wohl gar nicht an!!!

Kiste: AMD Sempron 2400+, getaktet auf 1,666 Ghz, 2 GiG RAM, zwei S-ATA-Platten, Windows XP auf dem neuesten Stand.

Ich würde jedem empfehlen, mal die 30-tägige Testversion von Pest Patrol zu installieren und dem Programm beim Scannen genau zuzuschauen, wäre auch sehr interessiert an den Ergebnissen anderer.
Ich weiß jetzt nicht, ob das erlaubt ist, daß ich hier den Link poste - wenn nicht, bitte ich die Administratoren dieser Site, mir das Posting hier nachzusehen und den Link aus meinem Thread zu entfernen - aber hier gibt's die Testversion von Pest Patrol:

http://www3.ca.com/S...l.asp?CID=72338

Hier gibt es Microworld E-Scan free:

http://www.mwti.net/antivirus/mwav.asp


Bitte diesbezüglich um Hilfe... wer kann mir erklären, was da passiert? Gibt es Programme, die einem den GANZEN Inhalt der Festplatte zeigen können, ohne Einschränkungen? Hat jemand ähnliches erlebt?


Freundliche Grüße,

KdrV

Dieser Beitrag wurde von KdrV bearbeitet: 18. August 2005 - 02:03

[flo]

Hallo KdrV


Bitte lad dir hier

www.hijackthis.de das Programm Hijackthis herunter

dann entpacken, ausführen, Log Datei erstellen, und diesae LOG datei hier Posten


Das Brauchen wir um zu sehen was alles auf deinem Rechner Läuft

[KdrV]

Hallo Flo, alles klar, hier ist der Log... ich erkenne selber nichts darin, was mir fremd wäre.

Grüsse,
KdrV

Logfile of HijackThis v1.99.1
Scan saved at 23:09:31, on 17.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msg32.exe
C:\WINDOWS\system32\JulaPan.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\philipp\LOKALE~1\Temp\Rar$EX10.594\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [JulaPan] JulaPan.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe /auto
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{386AD38D-85E3-4259-9201-F56BEBBB0604}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmcService - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[flo]

Hallo


Da ist eigentlich auch alles ok...hm

Zitat

C:\WINDOWS\system32\JulaPan.Exe

was ist das ?


und lad dir mal escan runter

das bekommst du hier

http://www.trojaner-...ker/escan.shtml

beachte die anleitung!

scanne den PC im abgesicherten modus

Wichtig Aktiviere Scan all Files und Scan all local Drives

das ergebnis poste wieder hier

Dieser Beitrag wurde von Flo bearbeitet: 17. August 2005 - 22:17

[KdrV]

Das ist der Treiber für die ESI Juli@, meine Soundkarte.

Noch was (ohne hier als paranoid bezeichnet werden zu wollen ):

meine Leitung benimmt sich auch komisch. Sie sendet ständig Pakete an ich weiß nicht wohin, diverse Programme - wie z.B. Virendefinitions-Update-Programme versuchen, irgendwelche ICMP Pings Typ 1 ins Netz zu schicken - was sie vorher nie getan haben. Ist seit ca. 3 Wochen so. Meine Firewall - Sygate - erzählt mir von gesendeten Bytes über Befehle, denen ich den Zutritt ins Netz strikt verweigere.
Habe meine Virenscanner auch schon sämtlich im abgesicherten Modus laufen lassen.

Aber besonders nervt mich die Vorstellung, daß auf meiner Platte versteckte Verzeichnisse rumliegen, von denen ich nichts weiß und die womöglich an irgendwelchen Leech-Aktivitäten beteiligt sind. Gibt es irgendwelche Tools, um sich solche Verzeichnisse anzuschauen?

Gruß,
KdrV

[flo]

mach mal einen scan mit escan, und lad dier

TCPView runter, da siehst du alle Verbindungen die bestehen!

kannst ja mal davon nen screenshot machen, und hier posten

[KdrV]

E-Scan hab ich schon installiert, ist auch die neueste Version (v6.6.7) und auf dem neuesten Stand (stand schon im ersten Post ). Der Log sagt folgendes (ist natürlich nur der Log vom "Virus Log Information"-Fenster, der andere würde hier den Rahmen sprengen):


Object "AltNet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{25E35F41-B7EB-11D0-AD33-0080AD13BF4C}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{4BC02DC2-3B39-4A98-BAB3-79C2FF247051}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{64B5C6E1-BA57-11D0-AD33-0080AD13BF4C}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{64B5C6E2-BA57-11D0-AD33-0080AD13BF4C}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{714A09E5-A677-11d7-A773-00C04F68F44E}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{DCB46422-B7CE-11D0-AD33-0080AD13BF4C}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{DCB46423-B7CE-11D0-AD33-0080AD13BF4C}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{DCB46424-B7CE-11D0-AD33-0080AD13BF4C}" refers to invalid object "blank". Action Taken: Keine Aktion vorgenommen.


Was die Registry-Einträge angeht, bin ich zugegebenermaßen ahnungslos. Aber daß ein Wert=blank ist, sollte doch kein Problem darstellen - oder doch?

[flo]

hm.. ist schon komisch


mach das mal mit TCP VIEW

[KdrV]

Ok, hier kommt die TCP_IP_View:

[attachment=10107:attachment]

hoffentlich hat das geklappt mit dem Abbilden im Post...

[flo]

ok dann wollen wir dort mal ein bischen ordnung schaffen!


du hast einen Router?


lad dir bitte folgendes Programm runter


http://www.dingens.org/


und führe es aus, mit der option Computer im Netzwerk!

dann gehst du in die eigenschaften deiner Netzwerkverbindung

dann auf einegnschaften von TCPIP Protokoll --> Wins und da unten machst du Net Bios über TCPIP deaktivieren.


dann nochmal nen Screenshot Posten

[KdrV]

Habe zwar keinen eigentlichen Router, nur ne FritzBox, aber die wird ja laut Hersteller "als Router benutzt"...

Wow... muss sagen, bin zutiefst beeindruckt von dem Ergebnis!!!
Nur noch vier Verbindungen, nur noch ein aktives Programm, das von der Firewall geblockt werden muss! Klasse!

[attachment=10108:attachment]

Auch wenn ich das jetzige Prozedere nicht verstehe, aber ich nehm an, das erschwert es eventueller Adware/Spyware, von meinem Rechner aus zu arbeiten.
Vielen Dank für deine Mühen erstmal, Flo!

Jetzt bräuchte ich nur noch jemand, der mir ein gutes Tool nennt, um die dunklen Tiefen meiner Festplatte zu erforschen.

Dieser Beitrag wurde von KdrV bearbeitet: 17. August 2005 - 23:29

[flo]

was ist denn die SMC.EXE?



wenn du den nFF wieder afmachst sind es mehr

Dieser Beitrag wurde von Flo bearbeitet: 17. August 2005 - 23:14

[KdrV]

Die Firewall, Sygate Personal Firewall.

[flo]

aso..


übrigens, das was wir da grade gemacht haben, das sollte normalerweise(laut hersteller) die PFW machen

wie du siehst ein Durchschlagender erfolg!


so die letzten beiden einträge bekommen wir auch noch weg, ich such grad mal den Registry eintrag



Edit: hast du ein Lokales Netzwerk?

wenn nicht solltest du auch noch die Datei und Druckerfreigebe deaktivieren

Dieser Beitrag wurde von Flo bearbeitet: 17. August 2005 - 23:20

[KdrV]

Ja, bin echt beeindruckt. Im Moment geht auch - außer dem letzten aktiven Prozeß, "NT-Kernel und -System" - kein einziger überflüssiger Byte mehr raus!

Na ja, die Firewall gibt's halt kostenlos zur privaten Nutzung, und als ahnungsloser User hab ich einfach mal die FW genommen, die in diversen Tests damals relativ gut abgeschnitten hat... ...ist halt alles so teuer


Edit:

zum lokalen Netzwerk: weiß ich leider nicht, ob das ein ECHTES LAN ist, was ich habe - ist halt ne FritzBox an nem normalen analogen Telefonanschluss, und meine Netzwerkverbindungen nennen das eine LAN-Verbindung... also ist's eine, oder ?!?

Dieser Beitrag wurde von KdrV bearbeitet: 17. August 2005 - 23:25