Hallo,

habe vorsorglich einige Scan auf dem PC durchlaufen lassen (Antivir, SuperAntspyware, Ad Aware) ohne Fund. Escan jedoch zeigte mir vier Viren an - "wareout adware". Hatte vor einiger Zeit schonmal Viren, habe die jedoch mit Hilfe hier im Forum beseitigen können.

Vielen Dank im voraus!



Logfile of HijackThis v1.99.1
Scan saved at 17:13:03, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Prevx1\PXAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\VDOTool\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\****************\****************.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\DOKUME~1\Fess\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\Fess\LOKALE~1\Temp\ScanningProcess.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Fess\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.arcor.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HPHUPD08] C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154680997375
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586-jc.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FPNXFRLOC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Fess\LOKALE~1\Temp\FPNXFRLOC.exe
O23 - Service: GF - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Fess\LOKALE~1\Temp\GF.exe
O23 - Service: HI - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Fess\LOKALE~1\Temp\HI.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Sun Apr 22 16:17:16 2007 => Virus-Datenbank Datum: 4/17/2007
Sun Apr 22 16:18:01 2007 => Virus-Datenbank Datum: 4/22/2007
Sun Apr 22 17:07:24 2007 => Virus-Datenbank Datum: 4/22/2007
Sun Apr 22 17:28:33 2007 => Virus-Datenbank Datum: 4/22/2007
Sat Jun 09 08:04:18 2007 => Virus-Datenbank Datum: 4/16/2007
Sat Jun 09 08:11:27 2007 => Virus-Datenbank Datum: 4/16/2007
Sat Jun 09 08:23:07 2007 => Virus-Datenbank Datum: 4/16/2007
Sun Jun 17 16:53:37 2007 => Virus-Datenbank Datum: 4/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 22 16:19:56 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Sun Apr 22 16:19:57 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Sun Apr 22 16:20:05 2007 => Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Sun Apr 22 16:20:05 2007 => System found infected with wareout Adware (1.dat)! Action taken: Einträge entfernt.
Sat Jun 09 08:09:06 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sat Jun 09 08:09:06 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
Sat Jun 09 08:09:07 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sat Jun 09 08:09:07 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 22 16:20:05 2007 => Offending file found: C:\DOKUME~1\Fess\LOKALE~1\ANWEND~1\hp\DIGITA~1\cache\1.dat
Sat Jun 09 08:09:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sat Jun 09 08:09:06 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Sat Jun 09 08:09:07 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sat Jun 09 08:09:07 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
Sun Jun 17 16:55:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Jun 17 16:55:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Sun Jun 17 16:55:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Jun 17 16:55:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 22 16:19:16 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Sun Apr 22 16:19:57 2007 => Offending Key found: HKLM\System\ControlSet003\Services\nwsapagent !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 22 16:49:51 2007 => C:\Programme\Prevx1\modules\stub_dll_native.bin nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sun Apr 22 16:56:42 2007 => C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPFC.tmp\System.Web.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Jun 09 08:11:02 2007 => C:\DOKUME~1\Fess\LOKALE~1\Temp\GLB55.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sun Jun 17 16:57:17 2007 => C:\DOKUME~1\Fess\LOKALE~1\Temp\GLB55.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sun Jun 17 17:01:44 2007 => C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Temp\GLB55.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 22 17:07:24 2007 => Gescannte Dateien: 62008
Sat Jun 09 08:11:27 2007 => Gescannte Dateien: 26760
Sun Apr 22 17:07:24 2007 => Gefundene Viren: 3
Sat Jun 09 08:11:27 2007 => Gefundene Viren: 4
Sun Apr 22 17:07:24 2007 => Anzahl der desinfizierten Dateien: 0
Sat Jun 09 08:11:27 2007 => Anzahl der desinfizierten Dateien: 0
Sun Apr 22 17:07:24 2007 => Umbenannte Dateien: 0
Sat Jun 09 08:11:27 2007 => Umbenannte Dateien: 0
Sun Apr 22 17:07:24 2007 => Anzahl der gelöschten Dateien: 3
Sat Jun 09 08:11:27 2007 => Anzahl der gelöschten Dateien: 0
Sun Apr 22 17:07:24 2007 => Anzahl Fehler: 1
Sat Jun 09 08:11:27 2007 => Anzahl Fehler: 12
Sun Apr 22 17:07:24 2007 => Dauer des Scans bisher: 00:48:59
Sat Jun 09 08:11:27 2007 => Dauer des Scans bisher: 00:04:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 22 16:18:13 2007 => Specherüberprüfung: Aktiviert
Sat Jun 09 08:07:17 2007 => Specherüberprüfung: Aktiviert
Sun Jun 17 16:54:48 2007 => Specherüberprüfung: Aktiviert
Sun Apr 22 16:18:13 2007 => Registry Überprüfung: Aktiviert
Sat Jun 09 08:07:17 2007 => Registry Überprüfung: Aktiviert
Sun Jun 17 16:54:48 2007 => Registry Überprüfung: Aktiviert
Sun Apr 22 16:18:13 2007 => System-Ordner Überprüfung: Aktiviert
Sat Jun 09 08:07:17 2007 => System-Ordner Überprüfung: Aktiviert
Sun Jun 17 16:54:48 2007 => System-Ordner Überprüfung: Aktiviert
Sun Apr 22 16:18:13 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Jun 09 08:07:17 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Jun 17 16:54:48 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Apr 22 16:18:13 2007 => Überprüfung der Dienste: Aktiviert
Sat Jun 09 08:07:17 2007 => Überprüfung der Dienste: Aktiviert
Sun Jun 17 16:54:48 2007 => Überprüfung der Dienste: Aktiviert
Sun Apr 22 16:18:13 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Jun 17 16:54:48 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Apr 22 16:18:13 2007 => Überprüfung aller Festplatten :Aktiviert
Sun Jun 17 16:54:48 2007 => Überprüfung aller Festplatten :Aktiviert

Hallo Fess.

Ohne Probleme hier zu posten etspricht nicht ganz den Regeln.. ^^

Ich denke mal hier übertreibt eScan. Lösche die bisher nicht gelöschten Dateien halt einfach..

Zitat:

Sat Jun 09 08:09:06 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sat Jun 09 08:09:06 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
Sat Jun 09 08:09:07 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sat Jun 09 08:09:07 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Sun Jun 17 16:55:45 2007 => System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.

mfg

Undoreal

Hallo undoreal,

vielen Dank für die Info. War keine böse Absicht oder ähnliches, war nur beunruhigt da plötzlich erneut von escan scheinbar Viren gefunden wurden.

Besten Dank!

Zitat:

War keine böse Absicht oder ähnliches,

weiss ich ..