Guten Morgen!
Ich muss mich nochmals bei euch melden, habe nämlich die Befürchtung, dass mein Rechner trotz der Hilfe vom 14.06 nicht "sauber" geworden ist.
eScan zeigt beim Durchsuchen im abgesicherten Modus mit deaktivierter Systemwiederherstellung (rechtsklick auf Arbeitsplatz; Eigenschaften; Systemwiederherstellung; Hacken bei Systemwiederherstllung auf allen Laufwerken deaktivieren) wieder an, dass sich cws.theresearch in meinem System eingenistet hat. Zudem nutze ich SpyBot (aktuellster Stand). Das Programm findet sowohl im abgesicherten als auch im normalen Modus NICHTS. Das gleiche gilt für die Programme CWShredder 2.15 und mein Anti - Virus Programm AVG Free Edition mit aktuellstem update. Was soll ich also davon halten? Gebe euch einfach mal die log-files von HijackThis und eScan mit der Bitte um Auswertung. Wäre nett, wenn ihr euch der Sache annehmen könntet...

eScan log file:

Fri Jun 17 18:04:55 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Fri Jun 17 18:04:56 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jun 17 18:06:10 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jun 17 18:06:10 2005 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.


Fri Jun 17 18:06:12 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****



hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:39:40, on 17.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Daniel\Desktop\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe



DANKE im Voraus

@AirKnee
System found infected with CWS.therealsearch Spyware/Adware (waol.exe)!
dieser datei hier online überprüfen lassen
http://virusscan.jotti.org/de/
das ergebnis posten, danach in den abgesicherten modus löschen


chaosman

Da gibt es ein Problem: Die Datei waol.exe ist per Suchfunktion nicht zu finden...

@AirKnee
dachte ich schon , vllt geht es danach
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman

hab ich auch schon versucht. suche bleibt ergebnislos...

Auch schon angeclickt: Inhalte von Systemordnern anzeigen?
cacatoa

Mal AOl installiert gehabt?
Und mittlerweile wieder entfernt. WAOL.exe ist normalerweise Bestandteil der Aol einwahlsoftware.

Sieht mir mehr nach falscher Alarm aus.

@Gnmpf

nicht unbedingt, siehe hier:

http://www.wintotal.de/Spyware/index.php

aber in diesem Fall hast du wohl recht.

@cacatoa
Ja, diese Option ist ebenfalls angeklickt. Finde die .exe dennoch nicht.
@Gnmpf
Ja, auf dem Rechner war etwas von AOL vorinstalliert, als ich ihn gekauft habe. Ist aber umgehend von mir über Start/Programmzugriff - und standarts deinstalliert worden.

Das heisst, ich kann davon ausgehen, dass die Sache harmlos ist?
Bin nur wieder stutzig geworden, da meine Desktopfirewall des öfteren Versuche von einer N/A application blockt, die von meinem Rechner ins Internet will. Dachte, das hätte dann wohl etwas damit zu tun...

Naja schon richtig dann solltest Du aber nach diesen Dateien suchen lassen:

quicken.exe, appxl.dll, bljdba.dll, d3ay.dll, editpad.exe, internat.dll, tapicfg.exe, twink64.exe

sie sollten sich im C:\windows oder c:\windows\system32 befinden.

Allerdings weisst Escan auf einen Registry eintrag hin daher tippe ich schwer auf einen AOL leftover.

@Gnmp
Konnte die von dir erwähnten Dateien in den Ordnern nicht finden. Gebe mich jetzt einfach damit zufrieden, dass der eScan einen Rest von der AOL Software muniert, die sonst wohl aber harmlos ist.
Welche Anwendung da von meiner firewall angezeigt wird, finde ich bestimmt auch noch raus.

DANKE NOCHMAL AN ALLE VON EUCH!!!!

Bis (hoffenlich nicht) demnächst<img>
MfG AirKnee