Hallo,

ich hatte einige Malware, Spyware, etc. auf meinem Rechner (inzwischen: Win XP Prof, SP2, Firefox) und habe ihn so gut ich konnte mit Adaware, Spybott S&D, Microsoft AntiSpyware und eScan "gereinigt".

Kann ich mir nun sicher sein, dass ich nichts "Bösartiges" auf meinem Rechner haben, wenn alle Tools nichts mehr anzeigen?

Vielen Dank für die Hilfe
Daniel

Das kann man pauschal nicht sagen, ohne zu wissen, welche Malware Du drauf hattest (oder noch hast)...
Schreib, was eScan gefunden hat (die mwavlog ist ja noch auf dem Rechner) und poste mal ein HJT-Logfile.
cacatoa

Hallo,

erst mal Danke für die Antwort. Ich hatte leider nicht so viel Zeit, deshalb melde ich mich erst jetzt wieder.

Also hier die Ergebnisse von eScan (abgesicherter Modus, Version 4.8.7):

Sat Mar 05 13:46:51 2005 => File C:\WINDOWS\System32\msnvo.dll infected by "Trojan-Downloader.Win32.Murlo.c" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:47:02 2005 => File C:\WINDOWS\system32\rdspclips.exe infected by "HackTool.Win32.Hidd.f" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:47:03 2005 => File C:\WINDOWS\system32\sprmover.exe infected by "Trojan-Downloader.Win32.Small.agg" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:48:21 2005 => File C:\WINDOWS\system32\hdftr.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:49:43 2005 => File C:\WINDOWS\system32\sethcd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:49:48 2005 => File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.f" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:49:58 2005 => File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:50:00 2005 => File C:\WINDOWS\system32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:50:13 2005 => File C:\WINDOWS\system32\winwiz32.exe infected by "Trojan-Clicker.Win32.Agent.ce" Virus. Action Taken: No Action Taken.

Sat Mar 05 13:50:19 2005 => File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:30:22 2005 => File C:\WINDOWS\system32\hdftr.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:31:59 2005 => File C:\WINDOWS\system32\sethcd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:18 2005 => File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.f" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:29 2005 => File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:31 2005 => File C:\WINDOWS\system32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:32:57 2005 => File C:\WINDOWS\system32\winwiz32.exe infected by "Trojan-Clicker.Win32.Agent.ce" Virus. Action Taken: No Action Taken.

Sat Mar 05 15:33:03 2005 => File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.

Habe die Dateien über die "Delete at reboot"-Fkt. von HijackThis gelöscht!

Hier mein HijackThis-Logfile vor dem Löschen:

Logfile of HijackThis v1.99.0
Scan saved at 15:47:13, on 05.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Name - {2F7D5A2D-A4A3-4347-B05C-C5790CD8AC3C} - C:\WINDOWS\System32\msnvo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sprmover.exe] sprmover.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Netcounter] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{47A21B14-4665-48F3-8579-5A840C476773}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E560DFB4-8B0E-478F-8A71-FBD22A0C83DC}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F717E3AC-41FB-4909-9701-0F12B0765A54}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Habe es auf hijackthis.de überprüfen lassen und die entsprechenden Einträge gefixt. Das neue Logfile zeigt keine Auffälligkeiten mehr!

Die Datein sp.dll (wie von Lutz beschrieben) habe ich Suchen lassen, sie wurde jedoch auf dem System nicht gefunden!

Ansonsten Scans mit Norton AntiSpyware -> keine Befunde!

Ich habe mit großem Interesse die Diskussion zum Thema "Neuinstallation oder Bereinigung" gelesen. Eigentlich würde ich eher zur Neuinstallation tendieren, wenn ich einen DVD-Brenner hätte, um alle meine Daten vernünftig zu sichern.

Da stellt sich mir aber die Frage, ob Malware evtl. auch Auswirkungen auf meine Eigenen Dateien hatte? Kann nun was passieren, wenn ich die nun brenne (wenn ich einen DVD-Brenner kaufe) und auf mein "neues" System kopiere?

Allerbesten Dank und viele Grüße
Daniel

PS: Habe gerade gesehen, dass ich in meinem ersten Posting schon geschrieben habe, dass nichts mehr gefunden wurde. Stimmt wie ich nun gesehen habe leider nicht ganz!!! Sorry.

@karlheinz_100

Zitat:

Eigentlich würde ich eher zur Neuinstallation tendieren, wenn ich einen DVD-Brenner hätte, um alle meine Daten vernünftig zu sichern.

Alternative: ein CD-Brenner oder eine externe Festplatte

Zitat:

Kann nun was passieren, wenn ich die nun brenne (wenn ich einen DVD-Brenner kaufe) und auf mein "neues" System kopiere?

Das bestimmte Risiko besteht, natürlich, allerdings: die schlimmsten Backdoors und Troajner schreiben sich nicht zu den Office-Dokumenten und Nicht-Windows-Systemdateien zu. Manchmal gibt es Fragen mit Bild-Dateien oder Dateien mit "versteckten" Erweiterungen. Auf jedem Fall musst du alle Dateien vor oder während Zurückspielen mit einem aktuellen AV-Scanner checken.

fixe mit HijackThis diese einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)


scanne mit der neusten version von hjt

Ja, einen CD-Brenner habe ich natürlich, aber einige Dateien sind leider größer als 700MB. Als armer Student muss ich erst noch Sparen für Brenner/Festplatte.

Was sagts Du denn zu meinen gefundenen Dateien? Sollte ich das System neu machen oder sind die Trojaner, etc. nicht so "schlimm"?

Noch eine Frage: Habe die ganz Zeit Norton Personal Firewall und Antivirus 2004 (immer aktualisiert) im Einsatz? Sollte ich was anderes kaufen?

Danke

Zitat:

Zitat von The Don - D.R.

fixe mit HijackThis diese einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)


scanne mit der neusten version von hjt

@The Don: JA, ich werde mir die neueste Version holen und naochmal scannen!
Wie ich unten geschrieben habe, habe ich diese Einträge schon alle gefixt.

Wie ist Deine Meinung zu meinen beiden anderen Fragen?
Danke

Jetzt verstehe ich gar nichts mehr. Habe erst eScan nochmal laufen lassen. Der einzige Fehler lag in der Backup-Datein von HijackThis.

Dann nochmal HijackThis und dann das:

Logfile of HijackThis v1.99.1
Scan saved at 20:15:52, on 05.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Netcounter] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Woher kommt die Datei qwsxp.dll immer wieder? Habe sie jetzt wieder gefixt.

Vielen Dank für jede Hilfe.

sorry hab ich falsch verstanden


versuche mal im abgesicherten modus die 4 ersten R1 einträge (fettgedruckt in deinem post) mit HJT zu fixen. system wiederherstellung zuerst ausschalten
und nach dem fixen neustarten und systemwiederherstellung einschalten.

Zitat:

Zitat von The Don - D.R.

versuche mal im abgesicherten modus die 4 ersten R1 einträge (fettgedruckt in deinem post) mit HJT zu fixen. system wiederherstellung zuerst ausschalten
und nach dem fixen neustarten und systemwiederherstellung einschalten.

Ja genau das habe ich gemacht. Auch mit Systemwiederherstellung uns so. Escan läuft gerade noch. MS AntiSpyware, Spybot, Adaware haben nix gefunden!

Ich hoffe das bleibt so.

Poste morgen noch ein Logfile von HijackThis.

Hast Du eine Ahnung wo die qwsxp.dll immer wieder her kommt. Ich hatte sie auch zuvor schon gefixt.

Danke

Hallo,

Zitat:

Poste morgen noch ein Logfile von HijackThis.

Aber dieses Mal solltest du das Log-File im normalen Modus erstellen und posten.

Zitat:

Hast Du eine Ahnung wo die qwsxp.dll immer wieder her kommt.

Es macht wenig Sinn, wenn du nur die Einträge fixed, du musst nachträglich auch diese Datei löschen.

Zitat:

Zitat von Cidre

Es macht wenig Sinn, wenn du nur die Einträge fixed, du musst nachträglich auch diese Datei löschen.

Oh sorry, habe gerade nachgelesen, dass fixen die Dateien nicht entgültig löscht. Aber ich finde die Datei auch nicht mehr, obwohl alle versteckten Dateien, Systemdateien usw. angezeigt werden?

Muss ich sie vor dem fixen löschen?

Danke

Zitat:

Muss ich sie vor dem fixen löschen?

Ob davor oder danach ist egal, aber sie muss in einem Aufwasch mit dem fixen im abgesicherten Modus gelöscht werden.

Zitat:

Aber ich finde die Datei auch nicht mehr, obwohl alle versteckten Dateien, Systemdateien usw. angezeigt werden?

Eventuell gibt es diese Datei auch nicht mehr und diese wurde entweder von Dir oder von einer Sicherheitssoftware entfernt.

Ich denke eher, dass entweder Ad-Aware oder Spybot S&D mittels Immunisierung diese Registry Schlüssel wiederherstellen.
Hast du so eine Option in einen der beiden oder auch in anderen Programmen festgelegt?

Kleines Update: Norton AV hat gerade einen Virus gefunden: C:\WINDOWS\System32\opensdl.exe! Nur offene DSL Verbindung, keine Website, kein IE offen, usw. Wurde vorher nicht gefunden. Woher?

Vielen, vielen Dank für jede Hilfe!

Zitat:

Zitat von Cidre

Ob davor oder danach ist egal, aber sie muss in einem Aufwasch mit dem fixen im abgesicherten Modus gelöscht werden.

Also ich habe sie im abgesicherten Modus gefixt, bin danach in "System32" und wollte sie löschen, habe sie aber nicht mehr gefunden. Wie gesagt, alle Dateien werden angezeigt. Auch nach Neustart im Normalmodus oder im abgesicherten Modus taucht in HJT nichts mehr auf. eScan läuft gerade mal wieder im abgesicherten Modus.

Zitat:

Zitat von Cidre

Ich denke eher, dass entweder Ad-Aware oder Spybot S&D mittels Immunisierung diese Registry Schlüssel wiederherstellen.
Hast du so eine Option in einen der beiden oder auch in anderen Programmen festgelegt?

Das ist eine sehr gute Idee. Also auf "Immunisieren" habe ich bei Spybot zwar nicht geklickt, aber vielleicht ist eine solche Option bei Ad-Aware oder bei Spyboot im Scannen integriert.

Aber warum erstellen diese Programme böse Dateien?

Vielen Dank für Deine Hilfe!
Daniel

Hallo,

nachdem ich jeden Tag mit HJT gescannt habe und nichts gefunden wurde, habe ich nun folgendes Logfile bekommen:

Es geht immer wieder um die qwsxp.dll, die scheinbar auftaucht wenn ich mit Microsoft AntiSpyware oder Ad-Aware scanne.

Warum kommt das und was kann ich tun?

Vielen Dank


Logfile of HijackThis v1.99.1
Scan saved at 11:29:34, on 16.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\programme\Quick Time\qttask.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [Netcounter] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe