wie kriege ich diesen bösen bösen spion weg (in system32). complett scan mit eScan im 'gesichterten modus' hat nicht geholfen; nach neustart is er wieder da... ;-(

Hallo.

erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Logfile of HijackThis v1.98.2
Scan saved at 13:51:26, on 27.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Sony\10Key Utility\va10key.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\iFinger\iFinger.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\Programme\iFinger\iFingerBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com

Das Log-File ist offentsichtlich sauber.

Führe dies noch aus:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information.

Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

Allerdings solltest du dein System patchen:
http://v5.windowsupdate.microsoft.co...r/default.aspx

Hi Leutz!!

Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp

da wuerde ich gern mal wissen ob man diesen Ordner komplett leeren kann da es dort ja noch ne menge Unterordner gibt !! nicht dass ich am ende was wichtiges loesche !!

@ Haze

Auch die Unterordner kannst du getrost löschen.
Diese temporären Dateien dienen lediglich zum Zwischenspeichern um den Arbeitsspeicher zu entlasten.

hallo cidre,
hab deine ratschlaege befolgt, also nochmaliger eScan im abgesichterten modus, jedoch - leider - nach neustart ist dieses verdammte mistding wieder im system32 und er ganz shit miloggen von tastaureingabe geht von vorn los... was nun??? weiss noch jemand rat???
hier der virus log:

File C:\WINDOWS\System32\mazzerTn.dll infected by "TrojanSpy.Win32.Agent.w" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\mazzerTv.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014042.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014043.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014079.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014105.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014130.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014157.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014180.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014192.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014224.dll infected by "TrojanSpy.Win32.Agent.w" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014225.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014244.dll infected by "TrojanSpy.Win32.Agent.w" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DC9C2DD0-9B5B-48E7-B40C-95959E251A66}\RP97\A0014245.dll infected by "TrojanSpy.Win32.Small.bf" Virus. Action Taken: File Deleted.

vielen dank fuer weitere help!

Poste nochmal ein aktuelles Log-File.

hallo cidre: noch mal im gesichterten modus mit HijackThis geprüft, dabei im "system32" eine unterdatei "mazzerT", darin eine syscheck-datei gefunden, diese gefixed. seitdem taucht der mich plagende "mazzerTn.dll" nicht mehr auf; hoffe nun, das damit das problem behoben!?
anbei noch der logfile vom danach folgenden check. wobei ich nicht weiss, was ich anfangen soll??? mit:

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

ansonsten: herzlich dank für deine mühe & hilfe!

Logfile of HijackThis v1.98.2
Scan saved at 11:37:51, on 28.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com

Dein Log-File ist sauber.

Zitat:

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

http://www.neuber.com/taskmanager/de...SP_Px.exe.html

Es wäre jetzt angebracht, wenn du dein System patchen würdest.
http://v5.windowsupdate.microsoft.co...r/default.aspx