Ich werds nicht los!

Tue Apr 29 19:47:36 2008 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Tue Apr 29 19:47:38 2008 => Loading Spyware Signatures from new External Database (Size: 814586).
Tue Apr 29 19:47:45 2008 => Indexed Spyware Databases Successfully Created...

Tue Apr 29 19:49:16 2008 => Offending file found: C:\WINDOWS\system32\svchost.exe
Tue Apr 29 19:49:16 2008 => System found infected with combo Spyware/Adware (C:\WINDOWS\system32\svchost.exe)! Action taken: Einträge entfernt.
Tue Apr 29 19:49:16 2008 => Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Tue Apr 29 19:49:16 2008 => Offending file found: C:\WINDOWS\system32\spoolsv.exe
Tue Apr 29 19:49:16 2008 => System found infected with combo Spyware/Adware (C:\WINDOWS\system32\spoolsv.exe)! Action taken: Einträge entfernt.
Tue Apr 29 19:49:16 2008 => Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Spybot findet jetzt auch immer:

Microsoft Windows Active Desktop

Kann ich löschen so oft ich will komt immer wieder...

Microsoft.Windows.ActiveDesktop: [SBI $377029D9] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-861567501-507921405-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper

WebTrends live: Verfolgender Cookie (Opera 7+: Kai) (Cookie, nothing done)


Common Dialogs: History (399 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Datei sichern, nothing done)
C:\WINDOWS\imsins.log

Log: Activity: OEWABLog.txt (Datei sichern, nothing done)
C:\WINDOWS\OEWABLog.txt

Log: Activity: ntbtlog.txt (Datei sichern, nothing done)
C:\WINDOWS\ntbtlog.txt

Log: Install: comsetup.log (Datei sichern, nothing done)
C:\WINDOWS\comsetup.log

Log: Install: Directx.log (Datei sichern, nothing done)
C:\WINDOWS\Directx.log

Log: Install: ocgen.log (Datei sichern, nothing done)
C:\WINDOWS\ocgen.log

Log: Install: setupact.log (Datei sichern, nothing done)
C:\WINDOWS\setupact.log

Log: Install: setupapi.log (Datei sichern, nothing done)
C:\WINDOWS\setupapi.log

Log: Install: setuplog.txt (Datei sichern, nothing done)
C:\WINDOWS\setuplog.txt

Log: Shutdown: System32\wbem\logs\mofcomp.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\setup.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\setup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wbemsnmp.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemsnmp.log

Log: Shutdown: System32\wbem\logs\winmgmt.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiadap.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Cookie: Cookie (16) (Cookie, nothing done)


Cache: Cache (5074) (Cache, nothing done)


History: Verlauf (60) (Verlauf, nothing done)


Cookie: Cookie (34) (Cookie, nothing done)


Cache: Cache (1) (Cache, nothing done)


History: Verlauf (18) (Verlauf, nothing done)


Cookie: Cookie (9) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---

2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2006-03-12 unins000.exe (51.41.0.0)
2008-02-06 unins001.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-04-16 Includes\Adware.sbi (*)
2008-04-24 Includes\AdwareC.sbi (*)
2008-04-24 Includes\Cookies.sbi (*)
2007-12-26 Includes\Dialer.sbi (*)
2008-04-24 Includes\DialerC.sbi (*)
2008-04-24 Includes\HeavyDuty.sbi (*)
2008-03-19 Includes\Hijackers.sbi (*)
2008-04-24 Includes\HijackersC.sbi (*)
2008-02-27 Includes\Keyloggers.sbi (*)
2008-04-24 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-04-22 Includes\Malware.sbi (*)
2008-04-24 Includes\MalwareC.sbi (*)
2008-03-26 Includes\PUPS.sbi (*)
2008-04-24 Includes\PUPSC.sbi (*)
2008-04-24 Includes\Revision.sbi (*)
2008-01-09 Includes\Security.sbi (*)
2008-04-24 Includes\SecurityC.sbi (*)
2008-04-16 Includes\Spybots.sbi (*)
2008-04-24 Includes\SpybotsC.sbi (*)
2008-04-16 Includes\Spyware.sbi (*)
2008-04-24 Includes\SpywareC.sbi (*)
2007-11-06 Includes\Tracks.uti
2008-04-24 Includes\Trojans.sbi (*)
2008-04-24 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Hi,
also ich bin der Meinung, dass eScan sich irrt. Andere Programme finden in den Dateien keine Anzeichen für Malware und auch auf deinem System keine Anzeichen für Malware.

Ich finde allerdings keine weiteren informationen zu dieser "combo spyware", scheint ein eScan eigener Name zu sein.

Die Einträge von Spybot sind nicht bedrohlich:
Der ActivDesktop-Eintrag ist ein normaler Registryschlüssel, den du oder ein legitimes Programm eingestellt haben könntest und der sich auch leicht zurücksetzen lässt.
Wenn du ihn löschst, wird er von Windows neuerstellt.

Der Rest sind Logdateien von Windows, ebenfalls an sich unbedenklich.

Wie heißt denn dein eScan richtig? Ist das die F-Secure Internet Security 2008?

lg myrtille

Der Virenscanner heißt:

Escan Pro 8.0.671.1

Ist nicht mehr ganz aktuell benutze ich schon länger.

Normalerweise hatte Spybot nur Cookies gefunden.

Escan fand meistens auch nicht ernstes.

Also mein System also das Windows ist schon Jahre alt, und funktioniert auch immer noch so wie vorher.

Das einzige was wirklich nervt ist beim Windows-Start:

Ich drücke auf Login, und es tut sich nichts, da erst der Virenscanner scannt.

Er findet die 2 Einträge aber beim näcchsten Start ist es genau das gleiche...

mfg
Kai

Mit MWAV Version 9.8.1 bekomm ich nun:

29 Apr 2008 20:51:24 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
29 Apr 2008 20:51:25 - Loading Spyware Signatures from new External Database [Name: C:\PROGRA~1\eScan\spydb.avs, Size: 814586].
29 Apr 2008 20:51:33 - Indexed Spyware Databases Successfully Created...

29 Apr 2008 20:52:56 - Offending Registry Entry found: hkcu\software\vb and vba program settings
29 Apr 2008 20:52:56 - System found infected with spyware.osmonitor Spyware/Adware (hkcu\software\vb and vba program settings)! Action taken: Keine Maßnahme ergriffen.

29 Apr 2008 20:52:56 - Offending Registry Entry found: hklm\software\licenses
29 Apr 2008 20:52:56 - System found infected with combo Spyware/Adware (hklm\software\licenses)! Action taken: Keine Maßnahme ergriffen.

29 Apr 2008 20:52:56 - Offending Registry Entry found: hkcu\software\microsoft\internet explorer\desktop\safemode\components
29 Apr 2008 20:52:56 - System found infected with combo Spyware/Adware (hkcu\software\microsoft\internet explorer\desktop\safemode\components)! Action taken: Keine Maßnahme ergriffen.

29 Apr 2008 20:52:56 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\run/alcmtr
29 Apr 2008 20:52:56 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.

Ok, dann versuch mal mit blacklight nach rootkits zu scannen, und poste das Ergebnis hier.

Wenn Blacklight auch nichts findet, kann ich dich nur noch an eScan verweisen. Vielleicht beheben die das Problem.
Dann dürfte das Problem tatsächlich bei eScan liegen und nicht bei deinem System.

Ansonsten würd ich eventuell über einen Wechsel zu einem anderen Programm nachdenken.

lg myrtille

Ne auch Blackight findet nichts.

Gibts es noch andere Scanner die einfach ohne Installation benutzt werden können, sowie MWAV aber von einer anderen Firma.

Übrigens: Vielen Dank für deine Hilfe!

mfg
Kai

Zitat:

Zitat von Demolition-Man

Gibts es noch andere Scanner die einfach ohne Installation benutzt werden können, sowie MWAV aber von einer anderen Firma.

Wie?

Du hast MWAV doch installiert:

Zitat:

C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe

O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE

Oder hast du mit dem OnlineScanner nach der Anleitung im Forum gescannt? (Das sollte aber mindestens 9.5 sein...)

lg myrtille

Hi nochmal,
ich kümmer mich morgen um einen neuen Virenscanner.

Teatimer habe ich nicht:

Da steht Bei der Aktivierung ist ein Fehler aufgetreten, bitte nochmals nach Neustart versuchen... so in etwa.

Aber egal wie oft ich starte bringt nichts.

Ich kuck mir das morgen nochmal an.

mfg
Kai

Hi,
wenn der Teatimer nicht läuft ist das vollkommen ok. Ich dachte dieser würde eventuell die Registryeinträge rückgängig machen wollen.
Ich bin heute wahrscheinlich nur sporadisch online, deswegen können die Antworten länger dauern.

Beantworte bitte noch folgendes:

Zitat:

Inwiefern kannst du die Einstellungen der Systemwiederherstellung nicht ändern? Ist das jetzt grauunterlegt? Oder werden Änderungen nicht übernommen?

Ruf mal mit Start->Ausführen-> services.msc eintippen die Dienste auf und schau ob der Dienst "Systemwiederherstellung" gestartet ist und welchen Starttyp er hat (also automatisch, manuell oder deaktiviert)
Vielleicht liegts ja einfach daran.

lg myrtille

Sorry mein I-net war mal wieder down,

Aber hier sind Sachen passiert:

Die neuere On-Access-Version MWAV 9.8.1 von Escan ist nicht Stand-Alone geblieben, sondern hat sich in meinen Virenscanner integriert.

Der installierte Scanne rist jetzt ebenfalls Version 9.8.1

Naja Ok der hat 4 Fehler (alles Spyware) gefunden.

Aber die Löschung war erfolgreich!

Escan und Spybot finden nichts mehr, auch nach einem Neustart!

Gut, aber Systemwiederherstellung lässt sich nicht mehr aktivieren unter
services.msc steht: Systemwiederherstellung Automatisch

Was noch schlimmer ist:
Der "neue" Virenscanner findet einen Fehler, ok habe nicht dabei gedacht.
Aber dieser Fehler, war mal mein virtuelles Laufwerk!

Das wurde gelöscht, lässt sich aber von der Software her, nicht mehr komplett deinstallieren!

Das ist natürlich schlecht.......

Sowas das wars an News!

mfg
Kai

Zitat:

services.msc steht: Systemwiederherstellung Automatisch

Ok Gut. Steht da auch "gestartet" irgendwo?
Ich schau mich mal um, woran das noch liegen könnte.

Das mit dem Laufwerk versteh ich nicht so ganz, welche Software nutzt du? Was willst du deinstallieren? Das Programm?
Was hat eScan gemacht? (Das solltest du im Log nachsehen können.)

lg myrtille