könnt ihr mir helfen, Adawre hängt bei Ordner AAWTMP

daniella17 · 26.11.2005, 18:42

hey ihr,

ich habe im Forum von HijackThis eigentlich viel Hilfe bekommen, Hab viel durchlafeun lassen, clean up, panda Activescan, regseeker, CWSredder, about:buster, hab den Spyware Blaster geholt, Spybot Search and Destroy.... SmitfraudFix, datbatfinder

Ich habe nun seit einiger Zei das Problem, dass Adaware sich immer augfhängt.
Zunächst war es immer bei einem Ordner namens AAWTMP (C:\DOKUME~1\username\LOKALE~1\Temp\AAWTMP und dann immer unterschiedliche \C223796 oder \C1286984), der Ordner war aber nur manchmal auffindbar und manchmal gar nicht. Sehr merkwürdig.
ZUletzt hat sich Adaware bei C:\DOKUME~1\username\LOKALE~1\Temp\pftE.tmp aufgehängt.

Was kann das sein?

Bei dem anderen Board wurde zwar viel gemacht, also viel gesucht, aber mir hat nie einer gesagt, was der PC hat, entweder weil sie es nicht wissen, oder weil sie es nicht sagen. Keine Ahnung. Ich muss dazu sagen, dass ich nunmal eher ein Laie bin und oft die Erklärungen in dem anderen Boar sehr schwer fand weil ich immer genaue Angaben brauche wie ich welche Einstellung verändere.....

Was haltet ihr davon, denkt ihr mein PC hat etwas?

Ich poste nochmal mein HJT Logfile und würde mich freuen, wenn mir hier geholfen wird.

Logfile of HijackThis v1.99.1
Scan saved at 18:39:29, on 26.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ARCORO~1\Arcor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\UltimateZip 2.7\uzqkst.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 -reboot 1
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120053775546
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129470730328
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - h**p://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1163447-86B3-4155-835C-BFF2B5D19610}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Vielen Dank schonmal,
Dani

Rene-gad · 27.11.2005, 10:40

@daniella17

Zitat:

ich habe im Forum von HijackThis eigentlich viel Hilfe bekommen

An der Stelle schweige ich still...

Du hast wohl nix dafür, aber ich denke, du müsstest meine Meinung vom HJT-Forum wissen

Zitat:

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

Das sagt mir nichts. Bitte checke die Datei bei http://www.virustotal.com/flash/index_en.html
Benutze bitte dieses Programm, um alle Temp-Ordner gründlich zu bereingen.

daniella17 · 27.11.2005, 16:04

Hi Rene-gad,

hm, ich kene deine Meinung zum HJT Forum nicht. Würde mich schon interessieren.....
also, ich hab den report von Virus Total

Code:

ATTFilter

This is a report processed by VirusTotal on 11/27/2005 at 15:51:42 (CET) after scanning the file "Check.exe" file.

Antivirus	Version	Update	Result
AntiVir	6.32.0.6	11.27.2005	no virus found
Avast	4.6.695.0	11.26.2005	no virus found
AVG	718	11.25.2005	no virus found
Avira	6.32.0.6	11.27.2005	no virus found
BitDefender	7.2	11.27.2005	no virus found
CAT-QuickHeal	8.00	11.25.2005	no virus found
ClamAV	devel-20051108	11.25.2005	no virus found
DrWeb	4.33	11.27.2005	no virus found
eTrust-Iris	7.1.194.0	11.27.2005	no virus found
eTrust-Vet	11.9.1.0	11.25.2005	no virus found
Fortinet	2.48.0.0	11.26.2005	no virus found
F-Prot	3.16c	11.24.2005	no virus found
Ikarus	0.2.59.0	11.26.2005	no virus found
Kaspersky	4.0.2.24	11.27.2005	no virus found
McAfee	4637	11.25.2005	no virus found
NOD32v2	1.1305	11.25.2005	no virus found
Norman	5.70.10	11.25.2005	no virus found
Panda	8.02.00	11.27.2005	no virus found
Sophos	4.00.0	11.26.2005	no virus found
Symantec	8.0	11.27.2005	no virus found
TheHacker	5.9.1.044	11.24.2005	no virus found
VBA32	3.10.5	11.26.2005	no virus found

Ich hab ClearProg angewandt. Werde jetzt nochmal Adaware laufen lassen, versuchs erstmal im normalen Modus (hat sich ja immer in beiden aufgehangen), meld mich dann gleich nochmal...

später hinzugefügt: Adaware hängt noch immer.....am selben Ordner AAWTMP. Was ist das denn für ein Ordner?
Der ist angeblich leer, wenn ich im Explorer schaue, manchmal is er auch plötzlich ganz weg....sehr komisch irgendwie....

Liebe Grüße, Dani

Rene-gad · 27.11.2005, 18:30

@daniella17

Zitat:

...ich kene deine Meinung zum HJT Forum nicht. Würde mich schon interessieren....

Keine gute Meinung.

Zitat:

Ich hab ClearProg angewandt.

Und die Haken, wie abgebildet, gesetzt? (s. angehängte Bilder)

daniella17 · 27.11.2005, 22:21

Ja, das hab ich jetzt auch gemacht.

Nun hat sich Adaware wieder aufgehängt, diesmal bei "Scanning Browser Cache"

oh man...

darf man denn fragen, warum du keine gute Meinung vom HJT Forum hast?

Liebe Grüße

daniella17 · 28.11.2005, 21:47

Habt ihr mich vergessen?

Ich habe in der Zwischenzeit mal weitergesucht,

hab unter anderem ewido laufen lassen. das ist mein log:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:09:40, 28.11.2005
+ Report-Checksumme: 26B6A79E

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} -> Spyware.MiniBug : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX\CLSID\\ -> Spyware.MiniBug : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX.1\CLSID\\ -> Spyware.MiniBug : Gesäubert mit Backup

::Report Ende

ch habe Adaware mal komplett neuinstalliert aber es hängt weiter am Ordner AAWTMP.
Mittlwerweile hab ich dank Google herausgefunden, dass das wohl angbeblich ein Ordner sei, den Adaware selbst schafft.
Aber warum is er dann immer wieder weg?
Und warum ist er angeblich leer?
Und dennoch hängt sich Adaware immer wieder auf, und zwar bei unterschiedlichen Zahlenkombinationen

also z.B.
.......\AAWTMP\C8503750???

Also, ich verstehe das ja gar nicht mehr...

PandaActivescan und Kasperskyonlinescan finden nichts...

Liebe Grüße,
Dani

cacatoa · 28.11.2005, 22:13

Kurze Einmischung:
Hast du den Quarantäne-Ordner von AdAware schon mal geleert?
Welche Version hast Du? Schon die 1.06?
Evtl. den Windows-temp-Ordner durchaus im abgesicherten Modus mal löschen.
cacatoa

daniella17 · 30.11.2005, 02:06

alles schon gemacht...hab Adaware schon neu installiert, also die neueste Version...

also, im Hijackthisforum versuchen die weiter wie die Wilden mir zu helfen...

Hier scheint keiner ne Idee zu haben???

Also, da kann ich dann die nicht so gute Meinung von dem HJT-Forum nicht teilen...da wird mir immer ganz schnell geantwortet. Dachte, dass hier evtl jemand noch ne super Idee hätte, aber....hm.....

Kann Adaware denn auch aus anderen Günden hängen? Ich weiß nicht, dass irgendein anderes Programm es blockiert oder sowas?

Alles Liebe euch,
Dani

cacatoa · 30.11.2005, 09:44

Schon mal Verbindung zu Lavasoft aufgenommen? Die kennen ihr eigenes Programm schließlich am besten....
cacatoa

könnt ihr mir helfen, Adawre hängt bei Ordner AAWTMP

Log-Analyse und Auswertung: könnt ihr mir helfen, Adawre hängt bei Ordner AAWTMP