Spyware lässt sich nicht finden Einstellungen

[Urknall]

Hallo zusammen,

als AntiVirnutzer wurde ich den Verdacht nicht los, dass sich hier noch auf dem Rechner was anderes tummelt.
Also habe ich mir Escan heruntergeladen, der 33 Viren (Spyware - manche mehrfach) auf meinem Rechner gefunden hat. Jedoch wegen der Freeware-Version wurde auch nix gelöscht.

Also habe ich mir Spybot S&D heruntergeladen.
Dieses Tool findet aber nichts.
Auch Bitdefender.de habe ich durchlaufen lassen : NIX !

Jetzt habe ich die Suche hier im Forum bemüht und gelesen, dass
es sich bei Escan dabei um eine Art "falschen Alarm" handeln könnte.

Ich weiss aber nicht, ob es alle dieser "Spione" betrifft die bei mir gefudnen wurden.
Daher hier eine Liste der angeblichen Plagegeister :

- smartfinder
- alexa
- zipitpro
- 180solutions (2x)
- whenu.savenow
- whenu.sidefinder (bestimmt 15x)
- unknown pest
- media ticket

Ich kann mir kaum vorstellen, dass das alles falscher Alarm ist. (oder ???)
Wie werde ich die Dinger los ?

Grüße
Urknall

[Kenshiro]

Hallo Urknall,

hier 1 paar Infos zu d. Spyware.
180solutions -> www3.ca.com/securityadvisor/pest/pest.aspx?id=453076019
whenu.savenow -> www3.ca.com/securityadvisor/pest/pest.aspx?id=453075520
whenu.sidefinder -> www3.ca.com/securityadvisor/pest/pest.aspx?id=453091166
Smartfinder -> www3.ca.com/securityadvisor/pest/pest.aspx?id=453078879
alexa -> ??
media ticket -> ??
zipit pro -> ??

Hier noch 2 Links zu AS-Hersteller (habe ich selbst drauf)
PestPatrol = www3.ca.com/securityadvisor/pest/
Spy Sweeper = www.webroot.com/de/products/spysweeper_overview/?WRSID=34994c2fbe5d8e3b339393a49ebc3470

Hier kannst Du 1 OnlineScan durchführen lassen:
www3.ca.com/securityadvisor/pest
www.webroot.com/services/spyaudit_03.htm?WRSID=34994c2fbe5d8e3b339393a49ebc3470

So ich hoffe, hier wird Dir geholfen !!!!

Gruß
Kenshiro

P. S.
1 habe ich vergessen:

Es gibt noch d. "Antispion" von DataBecker. Wenn mich alles nicht täuscht, ist das die Scan-engine v. "Bulletproofsoft" Angeblich auch sehr effektiv.
HP: www.bulletproofsoft.com



Der Beitrag wurde von Kenshiro bearbeitet: 16.01.2006, 17:02

[raman]

Kopiere bitte die Teile aus dem Escan log,wo die Spyware gefunden wurde, dann kann ich dir mehr sagen.

[Urknall]

Dieses Onlinescanning ist ja interessant zumal Trojan-downloader gefunden wurden.
Allerdings nicht als Datei sondern als Registry-Eintrag.
Könnten noch alte Einträge sein, denn ich hatte mal solche Trojaner, die ich
glücklicherweise entfernen konnte (übrigens auch mit Hilfe dieses Forums - aber ich hatte leider kein Login bzw. keine Login-Daten mehr)

Schade, dass auch dieses Online-Tool die Probleme nicht beseitigt...


So, ich habe Escan nochmal ausgeführt, wegen des Protokolls (Ausschnitte):

Ich muss zu meiner Schande gestehen, dass ich noch nciht da 'rein geguckt habe.
Komischerweise sind die (angeblich) infizierten Dateien HTML-Seiten die ich erstellt habe.
Diesen Dateien kann ich nichts entnehmen (stinknormales HTML und mit einfachen simplen JavaScript-Menus (OnMouseOver)
Eine blank.html (mit "Media-Ticket" 'verseucht') ist eine leere Datei - eben ein blank.
Die remote.ini von JediRitter ist eine Ini die ich selber mal geschrieben habe als
ich mal ein IRC-Script-kreiert habe -> Mitte der 90er-Jahre als im IRC jeder auf jeden geschossen hat (dos-Attacken und floods und sowas - lange her *räupser*

Einzig die cmdlineext02.dll, die war3_install.exe (von Warcraft3) und die
iun6002.exe im Windows sind mir schleierhaft !

Hier nun die Auschnitte :

Mon Jan 16 11:03:42 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Mon Jan 16 11:03:44 2006 => Offending file found: C:\DOKUME~1\Thomas\LOKALE~1\Temp\war3_install.exe
Mon Jan 16 11:03:44 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Mon Jan 16 11:03:46 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\alterrechner\bidt\bidt\bidt_aktuell\top.html
Mon Jan 16 11:03:46 2006 => System found infected with whenu.sidefinder Spyware/Adware (top.html)! Action taken: No Action Taken.

Mon Jan 16 11:03:46 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\alterrechner\bidt\bidt\top.html
Mon Jan 16 11:03:46 2006 => System found infected with whenu.sidefinder Spyware/Adware (top.html)! Action taken: No Action Taken.

Mon Jan 16 11:03:47 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\alterrechner\bidt\hannen\entwurf 1\top.html
Mon Jan 16 11:03:47 2006 => System found infected with whenu.sidefinder Spyware/Adware (top.html)! Action taken: No Action Taken.

Mon Jan 16 11:03:47 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\alterrechner\bidt\hannen\entwurf 2\top.html
Mon Jan 16 11:03:47 2006 => System found infected with whenu.sidefinder Spyware/Adware (top.html)! Action taken: No Action Taken.

usw. usw.


Mon Jan 16 11:03:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\misc\alterkram\jediritter\remote.ini
Mon Jan 16 11:03:54 2006 => System found infected with unknown pest Spyware/Adware (remote.ini)! Action taken: No Action Taken.


Mon Jan 16 11:03:55 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\websachen_th\hagmann\anwalt_stripes\top.html
Mon Jan 16 11:03:55 2006 => System found infected with whenu.sidefinder Spyware/Adware (top.html)! Action taken: No Action Taken.

Mon Jan 16 11:03:56 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\websachen_th\kleider-werkstatt\2005\webpage2005\blank.html
Mon Jan 16 11:03:56 2006 => System found infected with media tickets Spyware/Adware (blank.html)! Action taken: No Action Taken.

Mon Jan 16 11:03:57 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\cmdlineext02.dll
Mon Jan 16 11:03:57 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Mon Jan 16 11:03:58 2006 => Offending file found: C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\war3_install.exe
Mon Jan 16 11:03:58 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Mon Jan 16 11:04:02 2006 => Offending file found: C:\WINDOWS\iun6002.exe
Mon Jan 16 11:04:02 2006 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.


Mon Jan 16 11:04:05 2006 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware *****

Grüße
Urknall

[Urknall]

ich habe übrigens mal die war3_intall.exe und diese iun6002.exe mal bei
Jottis Malware gescannt und dort wurde nichts gefunden.

Doch etwa falscher Alarm ?? Aber eine solche Virenmeldung unter Escan muss doch eine Ursache haben ?

[Domino]

Hast du eines oder mehrere von diesen Programmen installiert ?
InnoSetup
IndigoRose
Install Shield

Mach mal einen Rechtsklick auf iun6002.exe und poste was dort unter "Eigenschaften" steht. Vielleicht dieses ? :
Properties: SUR60Runtime
720kb File Version 6.0.1.4.
2002 Indigo Rose Corp.
Product Name: Setup Factory 6.0 Runtime Module

---------

Kennst du diese war3.exe, ist die dir bekannt, von einem Spiel, vielleicht ?




Domino

[Urknall]

Die war3_install.exe ist wohl von Warcraft3 das ich mal installiert hatte.
Ich schätze, dass diese Datei im Temp-Ordner einfach verblieben ist.
(..wie gesagt : ich schätze es)

Die von Dir genannten Programme sind mir völlig unbekannt.
InstallShield ist doch eigentlich eine gängige Installationsumgebung.

Ich habe mal die Eigenschaften von der iun6002 nachgeschaut.
da steht
SUF60Runtime
und sie ist tatsächlich von Indigo Rose,
Dateiversion 6.0.1.2
Copyright © 2001 - 2002 Indigo Rose Corporation. All Rights Reserved
Setup Factory Runtime Module....

hmmmm...... ich habe den Verdacht, dass es sich ganz einfach um eine
'falsche Fehlermeldung' von EScan handelt.
Bislang auch das einzige Tool, dass diese Datei beanstandet.
Welchen Sinn die Runtime hat oder hatte ist mir nicht bekannt.

Was weisst Du über die Datei ?

Danke & Grüße
Urknall

[Gast_Jens1962_*]

und sie ist tatsächlich von Indigo Rose, [right][snapback]127695[/snapback][/right]

Indigo Rose bieten u.a. ein Programm zur Erstellung von Installationsroutinen an, hier mal was in Deutsch. Wenn etwas installiert wird, dann muß es auch die Möglichkeit geben, das Programm wieder zu deinstallieren. Der Uninstaller bleibt manchmal als Rest auf der Platte. Was ich nicht beantworten kann: Welches Programm wurde hier installiert. Ignorieren, die iun6002, vielleicht wird sie doch noch benötigt.

[Domino]

Schick die Datei bitte mal an virus(ät)rokop-security.de

Ich vermute ebenfalls einen Fehlalarm.





Domino

[Gast_Jens1962_*]

Ich mußte erstmal überlegen, irgendetwas mit dem IndigoRose-Installer war schon einmal. Ich meine, daß das damals Adaware verzapft hatte.

Jens