Hallo piratenbraut,

kennst du diesen Eintrag?
Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Deaktiviere Teatimer, dann
diesen zwei einträge in den abgesicherten Modus fixen.
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

neu booten, scanne dein System mit escan

chaosman

Zitat:

Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Sollte zu Winpcap gehören. Der wird z.B. benötigt, wenn man mit nhsc spielen will.

Hallo Chaosman und Cosinus.

danke für die Hilfe, aber das Problem existiert immer noch und ich fange an zu verzweifeln.

Hier die Schritte die ich gemacht habe.

1. WinPcap deinstalliert
2. Escan runtergeladen, installiert im abgesicherten Modus ausgeführt und log erstellt. Dabei wurde mir angzeigt, dass das System mit der Spyware Ezula infiziert ist. Ich lud das Removal Tool für Ezula von Symantec runter. Der Scan brachte kein Ergebnis für Ezula.
3. bei google gesucht und den Hinweis auf den Trojaner Swizzor bei Sophos gefunden. jetzt weiss ich aber nicht, ob es der wirklich ist. Für Swizzor müssten auch zwei Dateien infiziert sein, bei mir ist es nur eine.
4. Ausserdem habe ich noch einen kompletten AntiVir Scan laufen lassen, auch ohne Ergebnis.

Hier der Log von HJT, der plötzlich sehr anders und komisch aussieht, was den Winows Messenger angeht. Der ist eigentlich deaktiviert. (was hat es mit dem O10 plötzlich auf sich? Ein WinsockVirus? ) und das log von escan (escan_neu):

Nochmal Danke, dabei wäre das Wetter endlich mal erträglich heute.

Grüsse piratenbraut

HJT
***
Logfile of HijackThis v1.99.1
Scan saved at 15:17:37, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\Browsers\Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\QuickSoft\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://scholar.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h++p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120219749375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E931198F-1993-4FD2-8FA3-A68DD512E249}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Escan:
*****

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 05 13:16:32 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 05 13:16:32 2006 => Offending file found: C:\Dokumente und Einstellungen\trt\Desktop\internet.lnk
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 05 13:21:18 2006 => Total Errors: 3
Fri May 05 13:21:18 2006 => Time Elapsed: 00:05:35
Fri May 05 13:21:18 2006 => Total Objects Scanned: 17808
Fri May 05 13:21:18 2006 => Virus Database Date: 5/5/2006

...dazu kommt dass das System seit ca. 2 Stunden unbrauchbar ist und voll ausgelastet. Programme öffnen und schliessen nicht mehr anständig etc. das war heute morgen definitiv noch nicht so.... keine ahnung was da los ist...

Hallo,
das kommt daher, dass du eine falsche Escan Version installiert hast, du hättest die Freeware Version (Escan MWAV) installieren sollen. Deinstalliere Escan wieder (dann sollten auch die O10 Einträge wieder weg sein).
Die ICQ Toolbar hast du nicht erst kürzlich installiert? Ansonsten kann ich erstmal kein Problem ausmachen, hast du noch einen genaueren Pfad den Ad-Aware oder A2 angeben?
Wie kommst du auf Swizzor? Finde nichts was darauf hinweist.


Grüße Wildone

Hi, besten Dank, das war es. Da hatte sich mit dieser Version von escan ein Programm mwagent.exe von microworld hochgeladen, das zwei fressende Prozesse verursachte. Jezt läuft der Rechner wenigstens wieder. Leider läd sich dieses dumme trace, das eigentliche problem, immer noch hoch. IM HJT stimmt auch wieder alles mit O10. Das ICQ Toolbar habe ich deinstalliert.

Ich werde morgen nochmal das richtige escan-version installieren und damit scannen. Die Ergebnisse poste ich wieder rein.

Bis dahin schönen abend noch, ich muss raus...
piratenbraut

Hallo,

Zitat:

Ich werde morgen nochmal das richtige escan-version installieren und damit scannen. Die Ergebnisse poste ich wieder rein.

Musst du nicht, die Ergebnisse sind mit beiden Versionen gleich, nur verträgt sich die Version die du installiert hast mit keinem aktivem weiteren Virenscanner.
Poste noch mal die Adaware Meldung mit genauem Wortlaut.



Grüße Wildone