Hallo

erstelle mit dem RunScanner doch mal ein Log, eventuell lässt sich da was machen.
(Die Anleitung ist nicht mehr aktuell, die Bedienung müsste aber etwa gleich geblieben sein)

MFG

hoffentlich

Runscanner logfile

* = signed file
- = file not found

General info
------------
Computer name : **
Creation time : 22.03.2009 10:59:07
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.6001.18000
OS : Windows Vista (TM) Home Basic
OS Build : 6001
OS SP : Service Pack 1
RunScanner Version : 1.8.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\Windows

Running processes
-----------------
C:\Windows\system32\AEADISRV.EXE (Andrea Electronics Corporation)
* C:\Windows\system32\services.exe (Microsoft Corporation)
* C:\Windows\system32\Ati2evxx.exe (ATI Technologies Inc.)
* C:\Windows\system32\Ati2evxx.exe (ATI Technologies Inc.)
* C:\Windows\system32\taskeng.exe (Microsoft Corporation)
* C:\Windows\system32\taskeng.exe (Microsoft Corporation)
* C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe (Symantec Corporation)
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (Advanced Micro Devices Inc.)
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ATI Technologies Inc.)
* C:\Windows\system32\csrss.exe (Microsoft Corporation)
* C:\Windows\system32\csrss.exe (Microsoft Corporation)
* C:\Windows\system32\Dwm.exe (Microsoft Corporation)
* C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Program Files\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)
* C:\Program Files\Common Files\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
* C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
* C:\Windows\system32\lsass.exe (Microsoft Corporation)
* C:\Windows\system32\lsm.exe (Microsoft Corporation)
* C:\Windows\system32\SearchIndexer.exe (Microsoft Corporation)
* C:\Windows\system32\SLsvc.exe (Microsoft Corporation)
* C:\Windows\system32\PnkBstrA.exe
* C:\Windows\system32\PnkBstrB.exe
C:\Programme\Razer\Salmosa\razerofa.exe (Razer Inc.)
C:\Programme\Razer\Salmosa\razerhid.exe
C:\Programme\Razer\Salmosa\razertra.exe
* C:\runscanner\RunScanner.exe (Runscanner.net)
* C:\Program Files\Search Settings\SearchSettings.exe (Vendio Services, Inc.)
C:\Program Files\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe (Sonic Focus, Inc.)
* C:\Windows\System32\spoolsv.exe (Microsoft Corporation)
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
* C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Symantec Corporation)
* C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Symantec Corporation)
* C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
* C:\Windows\system32\AUDIODG.EXE (Microsoft Corporation)
* C:\Program Files\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
* C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
* C:\Windows\system32\winlogon.exe (Microsoft Corporation)
* C:\Windows\Explorer.EXE (Microsoft Corporation)
* C:\Program Files\Windows Sidebar\sidebar.exe (Microsoft Corporation)
* C:\Program Files\Windows Sidebar\sidebar.exe (Microsoft Corporation)
* C:\Windows\system32\wininit.exe (Microsoft Corporation)

Unrated items
-------------
002 C:\Programme\Razer\Salmosa\razerhid.exe
002 * C:\Program Files\Search Settings\SearchSettings.exe (Vendio Services, Inc.)
002 C:\Program Files\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
002 C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe (Sonic Focus, Inc.)
002 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
003 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
010 C:\Windows\system32\AEADISRV.EXE (Andrea ADI Filters Service)
010 C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe (InstallDriver Table Manager)
010 * C:\Windows\system32\PnkBstrA.exe (PnkBstrA)
010 * C:\Windows\system32\PnkBstrB.exe (PnkBstrB)
010 * C:\Program Files\Common Files\Steam\SteamService.exe (Steam Client Service)
011 C:\Windows\system32\drivers\ADIHdAud.sys (ADI UAA Function Driver for High Definition Audio Service)
011 * C:\Windows\system32\DRIVERS\blueletaudio.sys (Bluetooth Audio Service)
011 * C:\Windows\System32\Drivers\vbtenum.sys (Bluetooth HID Enumerator)
011 * C:\Windows\System32\Drivers\BTHidMgr.sys (Bluetooth HID Manager Service)
011 * C:\Windows\system32\DRIVERS\btnetdrv.sys (Bluetooth PAN Network Adapter)
011 * C:\Windows\system32\DRIVERS\BlueletSCOAudio.sys (Bluetooth SCO Audio Service)
011 * C:\Windows\System32\Drivers\btcusb.sys (Bluetooth USB For Bluetooth Service)
011 * C:\Windows\System32\Drivers\VcommMgr.sys (Bluetooth VComm Manager Service)
011 * C:\Windows\system32\drivers\PnkBstrK.sys (PnkBstrK)
011 C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS (SASDIFSV)
011 C:\Program Files\SUPERAntiSpyware\SASENUM.SYS (SASENUM)
011 C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL)
011 * C:\Windows\system32\DRIVERS\VComm.sys (Virtual Serial port driver)
031 C:\Program Files\Common Files\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
031 C:\Program Files\Common Files\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}
050 C:\Program Files\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}
061 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll (Advanced Micro Devices, Inc.) {5E2121EE-0300-11D4-8D3B-444553540000}
061 C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}
061 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
067 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
170 {0a2e6290-6234-11dd-830e-806e6f6e6963} : E:\AutoRun.exe
170 {0a2e6291-6234-11dd-830e-806e6f6e6963} : F:\FalloutLauncher.exe
173 C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
173 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
221 C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
221 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
227 C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
227 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
229 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll (Advanced Micro Devices, Inc.) {5E2121EE-0300-11D4-8D3B-444553540000}
251 GUID / CLSID not found {d03d3e69-0c44-3d45-b15f-bcfd8a8b4c7e}
251 D:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
254 D:\Programme\FileZilla FTP Client\fzshellext.dll {DB70412E-EEC9-479C-BBA9-BE36BFDDA41B}

Missing files
-------------
011 c:\windows\system32\drivers\blbdrive.sys
011 c:\windows\system32\DRIVERS\ipinip.sys
011 c:\windows\system32\DRIVERS\nwlnkflt.sys
011 c:\windows\system32\DRIVERS\nwlnkfwd.sys
032 rdpclip

Hallo

Hast du eigentlich versucht SearchSettings zu deinstallieren?

Starte RunScanner und markiere folgende Einträge per doppelklick

Zitat:

002 * C:\Program Files\Search Settings\SearchSettings.exe (Vendio Services, Inc.)
251 GUID / CLSID not found {d03d3e69-0c44-3d45-b15f-bcfd8a8b4c7e}
011 c:\windows\system32\drivers\blbdrive.sys
011 c:\windows\system32\DRIVERS\ipinip.sys
011 c:\windows\system32\DRIVERS\nwlnkflt.sys
011 c:\windows\system32\DRIVERS\nwlnkfwd.sys
032 rdpclip

dann wechsel zu - Item fixer - und klicke auf - Fix selected Items - -> OK - beende das Programm und starte den Rechner neu.
Erstelle ein frisches HijackThis Log.

MFG

Zitat:

Zitat von nochdigger

Hallo

Hast du eigentlich versucht SearchSettings zu deinstallieren?

Das war eigentlich das was ich umgehen wollte, da ich mir unsicher war was dann passieren würde. Ob der "Virus" den SUPERAntiSpyware erkannt hat dann automatisch weg ist??

Auf jeden fall hab ich es jetzt deinstalliert und scheinbar klappt das, aber ich warte erstmal den experten ab

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:42, on 22.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Programme\Razer\Salmosa\razerhid.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\Razer\Salmosa\razertra.exe
C:\Programme\Razer\Salmosa\razerofa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Salmosa] C:\Programme\Razer\Salmosa\razerhid.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6503 bytes

Zitat:

Starte RunScanner und markiere folgende Einträge per doppelklick

dann wechsel zu - Item fixer - und klicke auf - Fix selected Items - -> OK - beende das Programm und starte den Rechner neu.
Erstelle ein frisches HijackThis Log.

MFG

Einträge hab ich jetzt nicht gefixed, die letzten 6 haben auch nicht direkt etwas mit dem Virus zu tun oder? Soll ich diese fixen?

Danke

Hallo

Zitat:

Auf jeden fall hab ich es jetzt deinstalliert und scheinbar klappt das

Jetzt scheint der R3 - URLSearchHook gelöscht zu sein
Log sieht gut aus, es gibt eigentlich nix zu beanstanden.

Zitat:

Einträge hab ich jetzt nicht gefixed, die letzten 6 haben auch nicht direkt etwas mit dem Virus zu tun oder? Soll ich diese fixen?

Diese Einträge (vermutlich nur noch 5) kannst du löschen, es sind Verweise auf fehlende Dateien und Registryeinträge sie haben keine Bedeutung mehr.

MFG

Super danke, jetzt haut alles wieder hin!

Eine Sache hab ich jetzt noch. SASW hat ja SearchSettings in die Quarantäne aufgenommen und dummerweise ist SUPERAntiSpyware jetzt zeitlich als Testversion abgelaufen. Kann ich jetzt einfach das Programm deinstallieren ohne dass die Dateien noch irgendwo in einem "Quarantäne Ordner" festhängen?

Hallo

Zitat:

Super danke, jetzt haut alles wieder hin!

Fein

Zitat:

Kann ich jetzt einfach das Programm deinstallieren ohne dass die Dateien noch irgendwo in einem "Quarantäne Ordner" festhängen?

Weiß ich leider nicht, du kannst aber versuchen den Inhalt der Quarantäne händisch zu löschen, wenn der Ordner nicht sogar bei der Deinstallation mitgelöscht wird.

MFG

SASW hat mich beim Deinstallieren gefragt, ob ich die Quarantäne löschen will

So endlich fertig.

Danke nochma

Hallo

Zitat:

SASW hat mich beim Deinstallieren gefragt, ob ich die Quarantäne löschen will

siehste

Zitat:

So endlich fertig.

Ok dann lass ich hier schließen

Zitat:

Danke nochma

büddeschön

MFG