Hi,
mein Virenscanner (Avria Antivir) schlägt in letzter zeit regelmäßig alarm.

in den letzten Scans hat er folgendes gefunden:

A0039304.exe
Bezeichnung(?): TR/agennt.anr.1

und in einem späteren:

A0039163.exe
Bezeichnung(?): DR/Dldr.load.adv.153438

Die exe datei langen laut Virenscan in "C:/.../lokale Einstellungen/Temp/"

An auffälligem Verhalten habe ich bis her nur das öffnen von Internet Explorer Fenster mit Werbung (z.B. ILove), während ich mit dem Firefox unterwegs bin, bemerkt.

Die EXE Datei habe ich beim Scan löschen lassen, aber das hat nicht so viel genützt. Ab und zu findet eher auch eine infizierte .dll Datei.....

Hab jetzt keinen genauen Dateinamen parat.

Vielleicht kann mir einer so schon helfen, wie ich das ding loswerde.


Danke!

Gruss

Olli

Halli hallo.

Mache bitte folgendes:

+Deaktiviere die Systemwiederherstellung auf allen Laufwerken.
+Update AntiVir.
+Konfiguriere AntiVir aggressiv.

+Wechsel in den abgesicherten Modus ohne Netzwerkunterstützung.
-Mache einen kompletten Systemscan und entferne alles was gefunden wird.
-Mache einen kompletten Systemscan mit Spybot und Lavasoft. Entferne jeweils alles was angezeigt wird.
-Lasse cCleaner laufen.
-Starte den Rechner ganz normal neu.



+Führe nun auch im normalen Modus einen kompletten scan mit allen Programmen durch.

+Lasse CCleaner nochmal laufen.

+Danach erstellst du ein HijackThis log und postest es hier. Anleitung im FAQ Bereich.

+Und ein eScan log bitte auch. Anleitung ist in meiner Signatur verlinkt.

Gruß

Undoreal

hi,
hier schon mal ein zwischen Stand. Nach dem Scan im abgesicherten modus hat sich was getan.

AntiVir:
- 2 Gefundene: ein davon TR/Small.DBY.Y wohl in Outlook.pst.
Der Andere Fund wurde gar nich angezeigt.
- 4 Warnungen

Sbybot:
Hat den "Virtumonde" (gebya.dll im Windows/system32 Verzeichniss) gefunden. laut Sbybot ein Trojaner der "BHO creates". Konnte Sbybot aber nicht löschen. Hängt wohl in System Registrierung. Beim Versuch die Datei von hand zu löschen, kam die Fehlermeldung das die Datei gerade nutzt wird.

bei Lavasoft und CCleaner ging alles glatt...

Hier der Bericht von AntiVir:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 7. Juni 2007 15:18

Es wird nach 809587 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: MOG
Computername: PC294386083997

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 16:19:19
AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 16:19:19
LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 16:19:19
LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 16:19:19
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 09:44:38
ANTIVIR2.VDF : 6.38.1.227 320000 Bytes 05.06.2007 16:04:21
ANTIVIR3.VDF : 6.38.2.6 52224 Bytes 07.06.2007 13:17:51
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 06.06.2007 16:04:21
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 16:19:19
AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 16:19:19
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 16:19:21
AVPACK32.DLL : 7.3.0.10 360488 Bytes 03.06.2007 12:56:39
AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 16:19:19
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 16:19:17
AVARKT.DLL : 1.0.0.17 278568 Bytes 09.05.2007 16:11:47
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 16:19:19
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 16:19:12
RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 16:19:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 7. Juni 2007 15:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrobat_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mqtgsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mqsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VersionCueCS2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '24' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\MOG\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst
[0] Archivtyp: MS Outlook Mailbox
--> Mailbox_[Folder:Posteingang][Subject:Emptiness Inside Me][From:bbz@illustrator.be]403.Flash Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
--> Mailbox_[Folder:Norton AntiSpam Folder][Subject:[Norton AntiSpam] All That Matters][From:qdegnf@vatech.se]467.Greeting Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.Y
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Donnerstag, 7. Juni 2007 16:54
Benötigte Zeit: 1:35:57 min

Der Suchlauf wurde vollständig durchgeführt.

10773 Verzeichnisse wurden überprüft
434559 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
434557 Dateien ohne Befall
9539 Archive wurden durchsucht
4 Warnungen
12 Hinweise
0 Versteckte Objekte wurden gefunden

---------------------

Kann man daraus schon mehr schliessen, in welche Richtung das ganze geht.

die HijackThis und eScan Geschichte werde ich jetzt a angehen....danke!


Gruss
Olli

sooo, hier ist die HijackThis Log....

Logfile of HijackThis v1.99.1
Scan saved at 17:48:25, on 07.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Die eScan log was os gross. Welcher Teil is da interessant?

eScan hatte 24 Warnung und 22 Viren gefunden.....irgendwie krass....

Naja und der Antivir zeigte eben wieder was neues an oqolhqoh.dll - TR/Vund.Gen

wat nun?

Gruss

Olli

Ich brauche den eScan log. Lies die Anleitung genau durch und werte das log mit Hilfe der find.bat aus!!!

mfg

Undoreal

hi,

hier sind die Beiden Datei die eScan ausgespuckt hat (eScan_neu.txt und MWAV.LOG)

eScan_neu.txt:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MWAV.LOG
C:\Dokumente und Einstellungen\MOG\Eigene Dateien\downloads\antivir\MWAV.LOG
C:\Dokumente und Einstellungen\MOG\Eigene Dateien\downloads\antivir\endstand\MWAV.LOG
C:\Dokumente und Einstellungen\MOG\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 19:22:45,26
Batchende: 19:23:30,09


und die MWAV.LOG:

Fri Jun 08 17:40:27 2007 => **********************************************************
Fri Jun 08 17:40:27 2007 => eScan AntiVirus Toolkit Utility.
Fri Jun 08 17:40:27 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Jun 08 17:40:27 2007 => **********************************************************
Fri Jun 08 17:40:27 2007 => Source: C:\DOKUME~1\MOG\EIGENE~1\DOWNLO~1\antivir\escan\mwav.exe
Fri Jun 08 17:40:27 2007 => Version 9.2.7
Fri Jun 08 17:40:27 2007 => Protokolldatei: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG
Fri Jun 08 17:40:27 2007 => Datum und Uhrzeit des letzten Scans: 07.06.2007 17:58:07
Fri Jun 08 17:40:27 2007 => MWAV Registered: FALSE.
Fri Jun 08 17:40:27 2007 => User Account: Administrator
Fri Jun 08 17:40:27 2007 => OS Type: Windows Workstation
Fri Jun 08 17:40:27 2007 => OS: Windows XP
Fri Jun 08 17:40:27 2007 => Ver: Service Pack 2 (Build 2600)
Fri Jun 08 17:40:27 2007 => Windows Root Folder: C:\WINDOWS
Fri Jun 08 17:40:27 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Fri Jun 08 17:40:27 2007 => DHCP NameServer: 217.237.149.142 217.237.150.205
Fri Jun 08 17:40:27 2007 => Interface0 DHCPNameServer: 217.237.149.142 217.237.150.205
Fri Jun 08 17:40:27 2007 => Local Fixed Drives: c:\,d:\
Fri Jun 08 17:40:27 2007 => MWAV Mode: Only Scan files.

Fri Jun 08 17:40:27 2007 => ********** Files created/modified in last fortnight in Windows Folder **********
Fri Jun 08 17:40:28 2007 => C:\WINDOWS\NeroDigital.ini (116), 02-Jun-2007
Fri Jun 08 17:40:28 2007 => C:\WINDOWS\R.COM (153600), 07-Jun-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Fri Jun 08 17:40:28 2007 => C:\WINDOWS\REGEDIT.COM (153600), 07-Jun-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Fri Jun 08 17:40:28 2007 => C:\WINDOWS\win.ini (704), 07-Jun-2007
Fri Jun 08 17:40:28 2007 => C:\WINDOWS\system32\aybeg.ini (979366), 07-Jun-2007
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\dumphive.exe (51200), 06-Jun-2007
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\gebya.dll (263220), 03-Jun-2007
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\hoqhloqo.ini (982785), 07-Jun-2007
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\Process.exe (53248), 06-Jun-2007, http://www.beyondlogic.org, Command Line Process Utility
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\sfaojcql.dll (55316), 06-Jun-2007
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\spmsg.dll (14640), 04-Jun-2007, Microsoft Corporation, Microsoft® Windows® Operating System
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\SrchSTS.exe (288417), 06-Jun-2007, S!Ri, SrchSTS
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\swreg.exe (135168), 06-Jun-2007, SteelWerX, SteelWerX Registry Editor
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\swsc.exe (40960), 06-Jun-2007
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\swxcacls.exe (79360), 06-Jun-2007, SteelWerX, SteelWerX Extended Configurator ACLists
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\T.COM (140800), 07-Jun-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\TASKMGR.COM (140800), 07-Jun-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Fri Jun 08 17:40:29 2007 => C:\WINDOWS\system32\xxyxwvu.dll (33302), 03-Jun-2007
Fri Jun 08 17:40:29 2007 => ********************************************************************************

Fri Jun 08 17:40:29 2007 => Letztes Datum der MWAV Dateien: 06 Jun 2007 07:06:0.
Fri Jun 08 17:40:36 2007 => AV Bibliothek wird geladen...
Fri Jun 08 17:40:36 2007 => MWAV doing self scanning...
Fri Jun 08 17:40:36 2007 => Scanne Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\getvlist.exe
Fri Jun 08 17:40:36 2007 => Scanne Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\main.avi
Fri Jun 08 17:40:36 2007 => Scanne Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\virus.avi
Fri Jun 08 17:40:36 2007 => Scanne Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ScanningProcess.exe
Fri Jun 08 17:40:36 2007 => Scanne Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kave.dll
Fri Jun 08 17:40:36 2007 => Scanne Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\prloader.dll
Fri Jun 08 17:40:36 2007 => MWAV files are clean.
Fri Jun 08 17:40:36 2007 => Virus-Datenbank Datum: 6/6/2007
Fri Jun 08 17:40:36 2007 => Virus-Datenbank Zähler: 340128
Fri Jun 08 17:40:38 2007 => Uninitializing Scanner (3)...
Fri Jun 08 17:40:41 2007 => Freeing Libraries (3)...
Fri Jun 08 17:40:41 2007 => AV Library Unloaded (3)...


danke schon mal im vorraus!!!

Gruss
Olli

Das eScan log verstehe ich nicht.

eScan findet IMMER irgentwas und wenn's nur verwaiste Registrierungs-Einträge sind..

Und wie passt das hiermit zusammen?

Zitat:

eScan hatte 24 Warnung und 22 Viren

Hast du beim ersten Scan den Haken bei "Scan only" vergessen?
Dann sollte dein Rechner jetzt aufgeräumt sein.. ^^

mfg

Undoreal

der hat aufjedenfall nur gescannt. Weil, als er den ersten Virus gefunden hatte kam die Meldung, dass ich zum beseitigen die Vollversion bestellen müsste oder sowas in derart.

Ich hatte dann eben escan nochmla laufen alssen da waren es dann 28 fehler 28 viren.

Sbybot kommt jetzt mit einem "Virtumode" (gebya.dll) daher...kann den aber nich beseitigen..

Lavasoft findet witziger weise gar nix....
Bevor ich das Viren problem hatte, hat Lavasoft eigentlich irgendwie was gefunden....recht komisch...

irgendwie verschwinden die Viren und dafür kommen neue.

ne idee?

Gruss

Olli

Das mit dem eScan nicht sein. Werfe bitte mal alles was mit eScan zu tun hat von deinem Rechner und gehe die Anleitung nochmal Schritt für Schritt durch.

mfg

HI,

die Auswertung spuckt immer nur das aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German
C:\Dokumente und Einstellungen\MOG\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 1:05:12,64
Batchende: 1:07:26,10


Ich hab noch mal 3 mal genau genau nach der Anleitung gemacht.
Gibt irgendwie noch nen alternativ Programm zu eScan?

Gruss
Olli

warte bitte; da stimmt was nicht....

hast du den downloadlink für MWAVE aus der Anleitung benutzt?

jap, hab ich...ich glaube den ersten oder zweiten ganze oben in der Anleitung.

gibts da auch noch unterschiede?

@mog

Lade bitte die Datei mwav.log bei file-upload.net hoch und poste den Downloadlink hier (oder sende ihn mir per PM). Ich werte das Log dann händisch aus.

Gruß

Marc