ZWAX -- Spybot Abbruch -- Bitte um Hilfe
 

Hallo,
bei meiner heutigen Spybot Überprüfung bekomme ich den folgenden Fehler, HijackThis Listing ist abgehängt.

Bitte um Hinweis was zu tun ist.

Danke
Neadr

[FONT=Courier New]
Fehler während der Überprüfung!: Zwax (Ungültiger Datentyp für '') ()


Gratulation!: Es wurden keine Spione gefunden. ()



--- Spybot - Search && Destroy version: 1.3 ---
2003-03-16 Includes\Temporary.sbi
2005-03-03 Includes\Cookies.sbi
2005-04-07 Includes\Dialer.sbi
2005-04-07 Includes\Hijackers.sbi
2005-03-22 Includes\Keyloggers.sbi
2005-04-07 Includes\Malware.sbi
2005-03-17 Includes\Revision.sbi
2005-02-09 Includes\Security.sbi
2005-04-07 Includes\Spybots.sbi
2005-04-07 Includes\Trojans.sbi
2003-03-16 Includes\plugin-ignore.ini
2004-11-29 Includes\LSP.sbi
2005-02-17 Includes\Tracks.uti
2005-03-17 Includes\PUPS.sbi

Logfile of HijackThis v1.99.1
Scan saved at 11:41:19, on 26.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\drivers\IMountSRV.exe
C:\WINDOWS\System32\svchost.exe
C:\prog_OTHER\WINZIP81\WZQKPICK.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\prog_Sys+Secure\RegSeeker\RegSeeker.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\MZfx103\firefox.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F3 - REG:win.ini: load=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {11B2C0D3-DFFB-11D3-9253-00500498D7E5} (ShowSetupObj5 Class) - http://invite.mshow.com/(0yp4v5350hu1kkrsydtioh45)/ShowSetup5.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/272dd2be...dxIE601_de.cab
O16 - DPF: {A8E03910-9529-497D-A889-22D96BE90C69} (APCToolbar Class) - https://ssl.marketpilot.is-teledata....t_2_6_0_4c.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\System32\drivers\IMountSRV.exe

@neandr
Hast du eine Erklärung, warum dein System nicht uptodate ist? ;).
Diese Einträge fixen.
Danach:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. von Spybot Search & Destroy, Ad-Aware usw. leeren.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

mea culpa ... SP2 sind höllenviele MB ... und bringt's was ??

Werden andere Inputs gleichmal in Angriff nehmen. :daumenhoc

So nun habe ich (fast) alles gemacht wie vorgeschlagen;

Nur die folgenden Punkte aus HjT weis ich nicht zu bearbeiten:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=

Die Punkte danach habe ich alle ausgeführt. eScan erzeugt dann dieses (mwXface.log):


[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:36:679 :ModuleName = C:\bases_x\mwavscan.com
[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:36:679 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:39:503 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:39:503 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:39:503 :TimeOut : ffffffff
[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:39:503 :Priority : NORMAL
[msvLclnt.dll] [0x000007ac] 26/04/2005 17:24:46:102 :VirusCount = 127328 Latest Date = 2005/04/25
[msvLclnt.dll] [0x000000a0] 26/04/2005 18:10:01:527 :[00000001] File D:\_Mozilla\gWahl\org 25.11 v2k7n5zb.slt\Mail\pop.btx.dtag.de\Inbox infected by Trojan-Spy.HTML.Citifraud.ae
[msvLclnt.dll] [0x000000a0] 26/04/2005 18:49:16:193 :VirusCount = 127328 Latest Date = 2005/04/25
[msvLclnt.dll] [0x000007ac] 26/04/2005 18:55:08:560 :VirusCount = 127328 Latest Date = 2005/04/25


Das ganze Verzeichnis
File D:\_Mozilla\gWahl\org 25.11 v2k7n5zb.slt\
habe ich ersatzlos gelöscht (war alte & überflüssig).

Danach ergibt SYBOT aber wieder die gleiche Meldung wie am Anfang beschrieben !!

Watt nun?

@neandr
Nicht viel. Aber ohne SP2 bist du für wöchentliche Neuafsetzen des Rechners wegen Würmerbefalls verdammt.
Hier kannst du CD-ROM mit SP2 kostenlos Bestellen
Lese mal die Anleitung zu HJT.
Was erzreugt eScan noch dazu ;) ? Bitte Anleitung von Haui45 durcharbeiten:

@Rene-gad
Der obere Teil ist von Gigamail ;)

Außerdem fehlt wohl irgendwie der Link :dummguck:
-> Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei c:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

Hallo Haui45, hallo Rene-gad,

danke für eure prompte Hilfe.

Habe das find.bat mal kurz durchgespielt (Ohne neues eScan), und erhalte:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 26 17:59:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Apr 26 18:10:13 2005 => File D:\_Mozilla\gWahl\org 25.11 v2k7n5zb.slt\Mail\pop.btx.dtag.de\Inbox infected by "Trojan-Spy.HTML.Citifraud.ae" Virus. Action Taken: No Action Taken.
Tue Apr 26 18:49:16 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 26 18:49:16 2005 => Total Virus(es) Found: 1
Tue Apr 26 18:49:16 2005 => Total Errors: 17
Tue Apr 26 18:49:16 2005 => Time Elapsed: 01:22:43
Tue Apr 26 18:49:16 2005 => Total Objects Scanned: 52970
Tue Apr 26 17:24:46 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 18:49:16 2005 => Virus Database Date: 2005/04/25
Tue Apr 26 18:55:08 2005 => Virus Database Date: 2005/04/25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Dürfte wohl nicht mehr hergeben als mein vorheriges Posting.
Sorry hab (wie ich meine) alles nach Anleitung durchgeführt (nach intensivem Drucken&Lesen).

Bzgl. R0 / F3 dreh ich nochmal 'n Runde

Hallo,

also bei den 3 HjT Punkten kann ich leider nichts "fixen":

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=

zu R0: bezieht sich auf IE -- den ich nicht benutze (weil MZ/FF) -- und wenn lt. Help: restore to preset URL
... wie ist / wäre das preset?

zu F3: da bekomme ich gar keine nähere Erläuterung.

NB: was bedeuten: HKCU\ bzw. HKLM\ ??


Und gibt das wirklich 'n Lösung des ZWAX Problems wie mit SPYBOT aufgezeigt??

Hab Probleme mit Zwax, Winpup32, und meines Erachtens noch ein paar versteckte. Hiers erstma meine Hijack-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 22:47:17, on 26.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\avmclient\AvmObex.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Steganos Internet Anonym Pro 7\SIAPRO7.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\regedit.exe
C:\Programm\Spybot - Search & Destroy\Updates\immufix.exe
C:\Dokumente und Einstellungen\Administration\Desktop\Tools\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administration\Desktop\Tools\HijackThis.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [SIAPRO7] "C:\Programme\Steganos Internet Anonym Pro 7\SIAPRO7.exe" -boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10908.dll' missing
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz (Was zur Hölle is das) :koch:
O15 - Trusted Zone: *.frame.crazywinnings.com (Dito)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (offiziel von ATI???)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Programme\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe (file missing)
O23 - Service: Network Security Service (�%AF夶À¨) - Unknown owner - C:\WINDOWS\ieqs.exe (file missing) :kloppen:

Die markierten Files lassen sich nicht fixen... :heulen:
Wenn ihr mir helfen könntet wäre ich euch ewig Dankbar. :daumenho

Kann mir niemand helfen?? :confused: :confused: :confused:

@AoH|Tharall
Bei der Registrierung hast du den Nutzungshinweisen zugestimmt!
-> Wie poste ich falsch


@neandr
Die Einträge sind eigentlich nicht gefährlich.
Was die Einträge bedeuten -> http://www.trojaner-board.de/51130-a...ijackthis.html

"Google" mal nach "Registry"

Sorry war nich absicht ehrlich...

@Haui45

Danke ... aber ... wie bereits gefragt:

Und gibt das wirklich 'n Lösung des ZWAX Problems wie mit SPYBOT aufgezeigt??


Unterm Strich habe ich heute viel auf meinem PC bewegt, aber leider nicht den ZWAX ... doch das war eigentlich die Absicht !?

Schon mal in meine Signatur geschaut? ;)
http://forums.net-integration.net/in...howtopic=29645

Gute Nacht Freunde!

@Hauni45
& Danke. Habe Spybot 1.4Rc runtergeladen. Morgen ist auch noch ein Tag!