Der Pandascan fand eine Datei, die er aber nicht löschen kann - hier die Ergebnisse

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.26 -
Authentium 5.1.0.4 2008.09.27 -
Avast 4.8.1195.0 2008.09.26 -
AVG 8.0.0.161 2008.09.26 -
BitDefender 7.2 2008.09.27 -
CAT-QuickHeal 9.50 2008.09.27 -
ClamAV 0.93.1 2008.09.27 -
DrWeb 4.44.0.09170 2008.09.27 -
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.27 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.27 -
Fortinet 3.113.0.0 2008.09.27 -
GData 19 2008.09.27 -
Ikarus T3.1.1.34.0 2008.09.27 -
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.27 -
McAfee 5393 2008.09.27 -
Microsoft 1.3903 2008.09.27 -
NOD32 3476 2008.09.27 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.27 -
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.27 -
Rising 20.63.52.00 2008.09.27 -
SecureWeb-Gateway 6.7.6 2008.09.26 -
Sophos 4.34.0 2008.09.27 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.09.27 -
TheHacker 6.3.0.9.094 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 -
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.26 -
weitere Informationen
File size: 134656 bytes
MD5...: 0b5ab942bc83a11259b548fb93110049
SHA1..: 4b1555d24dea4123a966df9f165c93e418e46a4c
SHA256: 22a63e9685e2875852f8caf887a5dcddda797556efa94a9e7cf99ffa605b7617
SHA512: ab573a1a36af2012e2c055cb1cb46022a22c433ecc00995585743234717b8434
ae4b0c97ccb7219d8cf394b34783efc05135206006f3d0f50a48fcee1a47ca9d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x601d8160
timedatestamp.....: 0x48d086b6 (Wed Sep 17 04:25:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17841 0x17a00 6.40 59d0d552d20fe3a9884cdf00a0efbbd2
.rdata 0x19000 0x4f2b 0x5000 5.72 b956ffbc5b64071e631b4cee1d40f4f4
.data 0x1e000 0x1180 0xc00 4.33 ff43f96d2c4bea5daf72b3a7e889ee6d
.rsrc 0x20000 0x390 0x400 2.97 8731a9ce95e58c342f36ea070d9a6df9
.reloc 0x21000 0x199a 0x1a00 6.23 bfce677179f5bfa5850f76b77f932b2c

( 10 imports )
> xpcom.dll: NS_GetServiceManager, NS_GetComponentManager, NS_CStringGetMutableData, NS_StringGetMutableData, NS_Alloc, NS_NewNativeLocalFile, NS_Realloc, NS_StringCopy, NS_CStringCopy, NS_Free, NS_StringSetData, NS_CStringCloneData, NS_StringGetData, NS_StringSetDataRange, NS_StringCloneData, NS_UTF16ToCString, NS_CStringSetData, NS_NewLocalFile, NS_StringContainerInit2, NS_CStringGetData, NS_CStringToUTF16, NS_CStringSetDataRange, NS_StringContainerFinish, NS_StringContainerInit, NS_CStringContainerInit2, NS_CStringContainerInit, NS_CStringContainerFinish
> nspr4.dll: PR_Free, PR_ImplodeTime, PR_Close, PR_Read, PR_Malloc, PR_sscanf, PR_Now, PR_snprintf, PR_NewLock, PR_DestroyLock, PR_GetError, PR_Unlock, PR_Lock, PR_SetError, PR_Calloc, PR_AtomicDecrement, PR_AtomicIncrement
> plc4.dll: PL_strcasecmp, PL_strcpy, PL_strcmp, PL_strlen, PL_Base64Encode, PL_strncpy, PL_strdup
> KERNEL32.dll: UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, InterlockedCompareExchange, SetUnhandledExceptionFilter, InterlockedExchange, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, Sleep, IsDebuggerPresent, GetWindowsDirectoryA, CloseHandle, GetModuleFileNameW, GetShortPathNameW, CreateProcessW, InterlockedDecrement, GetProcAddress, ExpandEnvironmentStringsW, FileTimeToSystemTime, GetEnvironmentVariableW, LoadLibraryA, GetSystemTimeAsFileTime, DisableThreadLibraryCalls
> USER32.dll: GetDC, SystemParametersInfoW, GetSysColor, SetSysColors, ReleaseDC
> GDI32.dll: EnumFontFamiliesExW
> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegQueryValueExW
> ole32.dll: CoInitialize, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -
> MOZCRT19.dll: _wfopen, memmove, realloc, _snprintf, memcmp, strcpy, fflush, fseek, ftell, fwrite, fread, fopen, _errno, memcpy, _stat64i32, memset, strlen, _encode_pointer, _malloc_crt, _encoded_null, _decode_pointer, _initterm, _initterm_e, _amsg_exit, _adjust_fdiv, __CppXcptFilter, _unlock, __dllonexit, strcmp, malloc, printf, free, swscanf, sprintf, _lock, _onexit, _crt_debugger_hook, __clean_type_info_names_internal, _except_handler4_common, fclose, ___V@YAXPAX@Z, wcscat, sscanf, wcsncpy, wcslen, wcstol, _mktime64, __2@YAPAXI@Z, __3@YAXPAX@Z

( 1 exports )
NSGetModule

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\Registry Easy" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Och nee, ich kotze gleich: Jetzt macht Kaspersky permanent Krach - Nachstehendes wird gemeldet:nicht gefunden: schädliches Programm Hoax.Win32.Agent.fu Datei: C:\WINDOWS\system32\drivers\xtaft.sys
Ist das eventuell ein Dinge vom Pandascanner?

Mache bitte einen Screenshot von der entsprechenden Meldung und poste das Bild hier.
Wie geht's dem Rechner sonst so?

Hm, wie mache ich den einen screenshot. Und meinst du jetzt von der KaZaa- und Bifrostmeldung (wenn ja, dann vom Verzeichnis/ Ordner, oder der Yahoomeldung?) , oder von der Kasperskymeldung. Will mich ja nicht blöde anstellen, aber bisher bestand dazu keine Notwendigkeit - ergo: Brauchte ich nie machen. Ganz klar: Er läuft wieder viel, viel besser, aber irgendwie noch nicht ganz rund. Wie gesagt, Panda fand auch etwas, aber konnte ich nicht löschen. Bisher - also vor dem ganzen Theater - ist es immer so gewesen, dass ich eine CPU-Auslastung von 0% hatte, wenn ich nicht gerade am Rechner arbeitete, also eine Eingabe tätigte, oder mich im Netz bewegte. Jetzt ist es aber so, dass trotz der ganzen Maßnahme die CPU ab und an plötzlich auf 7% und höher springt, dort kurz bleibt und wieder abfällt. Auch mein Bildschirm flimmert hin und wieder so seltsam und wird etwas unscharf - ist zwar nur ganz schwach, aber irgendwie komisch. Weil ich ja völlig Paranoid bin , nachdem ich auch in der Vergangenheit ständig angegriffen und Befallen wurde, bin ich mir 100%ig sicher, dass diese Sachen früher nicht so gewesen sind. Mein Gott, woher kommt denn der ganze Scheiß, ich lade mir nicht mal ein Abziehbild, oder mal ein Tittenfoto herunter: Bin der totale Internetheilige!

Was hat Panda denn gefunden? Wir brauchen die logs, sonst können wir nichts machen..

Poste bitte einen Screenshot von der aktuellen Kaspersky Meldung.

Mehr hat mir der Pandascan nicht ausgespuckt. Wenn das nicht reicht, dann mache ich den Scan nochmals. Sorry, von Kaspersky kann ich nichts mehr senden: Mein Schlüssel ist heute abgelaufen. Vor dem Fünfzehnten des nächsten Monats besteht für mich keine Möglichkeit, den Schlüssel zu erneuern. Habe jetzt Antivir installiert - und schränke meinen Netzverkehr rapide ein. Antivir hat auch direkt etwas gefunden: Die Datei 'C:\QooBox\Quarantine\C\WINDOWS\system32\netwoman.dll.vir'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.10752.28' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4954e555.qua' verschoben!


Da ist sie wieder: netwoman.

Hier die Pandaergebnisse:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2008-09-28 18:44:21
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 7.0 7.0.0.119 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
03738686 Generic Malware Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe[32788R22FWJFW\catchme.cfexe]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location Q
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description Q
;===================================================================================================================================================== ==============================
;===================================================================================================================================================================================

Zitat:

Da ist sie wieder: netwoman.

Die liegt in der Avneger Quarantäne. Das ist kein Problem.

Poste bitte noch ein frisches HJT log.

Oh, na gut... dann bin ich ja beruhigt :-) Und was sagst du zu dem Antivirfund und zu der Bifrost- und KaZaa-Meldung?

Hier Log von Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:14, on 29.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FE3E1C-A6CD-44AB-94D0-43696B8262DE}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5656 bytes

Zitat:

Und was sagst du zu dem Antivirfund und zu der Bifrost- und KaZaa-Meldung?

Wo ist das log dazu? Ohne können wir nicht arbeiten.

Meldet dir dein AntiVir immernoch eine Infizierung oder wie? Wie gesagt: bitte das log posten.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hi, danke für die ganze Hilfe, aber sie hat sich jetzt wohl erledigt...Nachdem mein Kaspersky mich eine Ewigkeit genervt hat, dass es bald abläuft, wollte ich es nun von der Festplatte schmeißen. Gedacht getan... Rechner platt. Nachdem ich es forschriftsmäßig rausgeworfen habe, vollzog der Rechner einen Neustart, nachdem nichts mehr ging: Fast kein Programm ließ sich öffnen und das Design sah plötzlich wie auf einem Atari aus. Jetzt habe ich Vista drauf und bin total unglücklich: Was ist das denn? Tausend Dinge, die wirklich völlig behämmert sind (siehe zum Beispiel sidebar). Ergebnis: ALLES ist langsamer. Dir aber trotzdem aller, aller besten Dank. Werde mich jetz mal an die Arbeit machen und herausbekommen, was und wie ich alles Überflüssige runterschmeißen kann.