Bitte um Hilfe escan "wareout"

marco1974 · 02.10.2006, 10:55

Hi Leute!

Bitte euch um Hilfe wegen eines escans welches ich soeben gemacht habe

Habe schwere Probleme mit dem PC!

*Internet explorer startet nicht
* PC erhängt sich
* Norton Antivirus startet nicht mehr
* ....

Anbei habe ich ein Printscreen von escan gemacht

Object "Wareout adware" found in File System! Action Taken: Entries Removed.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Google Desktop". Action Taken: Entries Removed.

Bitte um Hilfe
Welche Schritte sollte ich machen?

Danke MArco

Mellosun · 02.10.2006, 10:57

Hallo Marco,

mit den wenigen aussagen kann Dir niemand helfen.

Aber ich denke mal, du hast eScan Installiert und nun spinnt Dein Rechner, Richtig?

Mache bitte mal nen Hijacktis Log. Alles dazu in meiner SIG!

Gruß Mellosun

marco1974 · 02.10.2006, 11:03

Sorry,

hier habe ich mal HijackThis gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 12:01:39, on 02.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\eScanWin.exe
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\mwavscan.com
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Norton AntiVirus\navw32.exe
C:\Programme\Windows Live Toolbar\msn_sl.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\station\Lokale Einstellungen\Temp\wzc36e\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [dmcvn.exe] C:\WINDOWS\system32\dmcvn.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?52ccf03bcd1a4db29edde6d2b68b0b97
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?52ccf03bcd1a4db29edde6d2b68b0b97
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139117465968
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{56C6E8D2-8082-4684-8E3C-AB25EE6CEC43}: NameServer = 85.255.116.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.72 85.255.112.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{56C6E8D2-8082-4684-8E3C-AB25EE6CEC43}: NameServer = 85.255.116.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.72 85.255.112.140
O17 - HKLM\System\CS2\Services\Tcpip\..\{56C6E8D2-8082-4684-8E3C-AB25EE6CEC43}: NameServer = 85.255.116.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.72 85.255.112.140
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ist das richtig so???

Mellosun · 02.10.2006, 11:17

Nochmal Hallo,

Zitat:

Zitat von marco1974

Ist das richtig so???

Jepp.....

OK, wie ich gedacht habe.

Deinstalliere als erstes mal eScan!

Start>Systemsteuerung>Software
Neustart
Lösche, sofern noch vorhanden, den Ordner unter C:Programme, von Escan manuell!
Schaue in der registry nach, sofern du Dich damit etwas auskennst, ob du noch irgendwelche Schlüssel von eScan fondest.Lösche diese per Hand. Mache aber bitte vorher ein Backup, sicher ist sicher!

Lasse dann bitte folgende Datei bei Jotti oder Virustotal auswerten. Link dafür in meiner SIG!

C:\WINDOWS\system32\dmcvn.exe

Poste das gesamte Ergebnis, auch wenn nichts gefunden wird. Bitte auch die dort angegebenen Größe der Datei!

Weiterhin ist eine Umleitung über die Ukraine bei Dir aktiv!

Zu erkennen daran:

O17 - HKLM\System\CCS\Services\Tcpip\..\{56C6E8D2-8082-4684-8E3C-AB25EE6CEC43}: NameServer = 85.255.116.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.72 85.255.112.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{56C6E8D2-8082-4684-8E3C-AB25EE6CEC43}: NameServer = 85.255.116.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.72 85.255.112.140
O17 - HKLM\System\CS2\Services\Tcpip\..\{56C6E8D2-8082-4684-8E3C-AB25EE6CEC43}: NameServer = 85.255.116.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.72 85.255.112.140

Ich war immer der Meinung, das diese nicht so einfach zu entfernen ist, aber gestern habe ich in einen Beitrag von felix gelesen, das dies doch möglich ist! Aber dazu später mehr.

Weiterhin mache bitte einen eScan, und zwar genau nach dieser Anleitung .
Lese sie genau, notfalls 10 mal.......gehe genau so vor und Poste das ergebnis mit Hilfe der find.zip ( Punkt 5 der Anleitung ).

Muss jetzt Leider schaffen gehen aber hier sind genügend fähige User, die Dir sicherlich helfen können!

Gruß Mellosun

marco1974 · 02.10.2006, 11:19

Danke mellosun!

Werde deinen Rat befolgen!

Ciao
Marco

Bitte um Hilfe escan "wareout"

Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe escan "wareout"