Trojaner-Board - Problem mit dem aufrufen von Sites

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem mit dem aufrufen von Sites (https://www.trojaner-board.de/36095-problem-aufrufen-sites.html)

Problem mit dem aufrufen von Sites

Hallo

Seit einigen Tagen ist mir aufgefallen, dass ich sowohl mit firefox und IE Schwierigkeiten beim Öffnen von verschiedenen Seiten habe. Klicke ich mal auf einen Link kann es sein, dass die Seite beim allerersten Klick aufgeht, wenn nicht, muss ich 2, 3, 4mal draufklicken, erst dann geht sie auf. Beispiele für solche Seiten: mein blog auf blogspot oder die Seite zum aufrufen des Activescan von Panda.

Ich weiss nicht ob ich mir was eingefangen habe. Poste darum gleich das Ergebnis vom Activescan und vom hijack.

Panda Ergebnis:

Ereignis Zustand Standort

Spyware:Cookie/Doubleclick Nicht desinfiziert
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Falkag Nicht desinfiziert
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Atlas DMT Nicht desinfiziert
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Bfast Nicht desinfiziert
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt[.bfast.com/]

Spyware:Cookie/2o7 Nicht desinfiziert
C:\Dokumente und Einstellungen\***\Cookies\***_***@2o7[1].txt

hijack - Log:

Logfile of HijackThis v1.99.1
Scan saved at 04:27:03, on 07.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167841263714
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD810B2-0056-43A1-8789-C5D24F05FBFE}: NameServer = 62.2.24.162,62.2.17.61
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Danke schon im Voraus für die Tipps.

Bis Bald

Hallo. :)

Lade dir ewido - anti-spyware and anti-malware solutions, poste im Anschluss das Ergebnis des Scans.

Zusätzlich kannst du auch damit dein System prüfen:

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Sunny

Hallo Sunny

Hier hast du mal den ersten Scan. mwav lasse ich dann mal durch.

Pedro

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:13:00 07.02.2007

+ Scan-Ergebnis:

C:\Dokumente und Einstellungen\Pedro Codes\Cookies\pedro_codes@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Pedro Codes\Cookies\pedro_codes@adbrite[2].txt -> TrackingCookie.Adbrite : Keine Aktion durchgeführt.
:mozilla.51:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
:mozilla.67:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Bfast : Keine Aktion durchgeführt.
:mozilla.22:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.25:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.26:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.27:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.28:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.29:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Googleadservices : Keine Aktion durchgeführt.
:mozilla.50:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.I12 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Pedro Codes\Cookies\pedro codes@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Pedro Codes\Cookies\pedro codes@komtrack[1].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Pedro Codes\Cookies\pedro_codes@sales.liveperson[3].txt -> TrackingCookie.Liveperson : Keine Aktion durchgeführt.
:mozilla.36:C:\Dokumente und Einstellungen\Pedro Codes\Anwendungsdaten\Mozilla\Firefox\Profiles\ynfifw7w.default\cookies.txt -> TrackingCookie.Quarterserver : Keine Aktion durchgeführt.

::Berichtende

So und hier noch das Ergebnis von mwav. Endlich.

Gruss
Pedro

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Feb 07 15:35:55 2007 => Version 9.1.1 (C:\DOKUME~1\PEDROC~1\LOKALE~1\Temp\mexe.com)
Wed Feb 07 15:04:32 2007 => Virus Database Date: 2/3/2007
Wed Feb 07 15:05:58 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 15:35:14 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 17:04:58 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 17:13:59 2007 => Virus Database Date: 2/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 07 15:36:42 2007 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:43 2007 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:43 2007 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:45 2007 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:45 2007 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:45 2007 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Feb 07 15:36:42 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Wed Feb 07 15:36:43 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Wed Feb 07 15:36:43 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Wed Feb 07 15:36:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Wed Feb 07 15:36:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Wed Feb 07 15:36:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Wed Feb 07 15:36:34 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Hallo,
lies bitte dies mal :http://forum.hijackthis.de/printthread.php?t=7291
zu diesem hier :

Zitat:

infected with wareout Adware

Ich war zwar schon lange nicht mehr hier,aber so kenne ich den Prozess nicht....

Zitat:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect

Du hast es mit Aktien ?:)

Zitat:

C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe

Irrlicht

Zitat:

Zitat von irrlicht (Beitrag 252739)

Ich war zwar schon lange nicht mehr hier,aber so kenne ich den Prozess nicht...

Aus der Hüfte geschossen würde ich auf nvidia-Wizzard tippen.

Hallo Irrlicht

Zitat:

lies bitte dies mal :http://forum.hijackthis.de/printthread.php?t=7291
zu diesem hier :
Zitat:
infected with wareout Adware

Ich habs gelesen und dann im abgesicherten Modus, mit abgestelltem Sistemwiederherstellungspunkt Fixwareout.exe laufen lassen.

Unten habe ich den Report gepastet. Siehst du was, das nicht in Ordnung ist?

Fixwareout
Last edited 1/30/2007
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values

»»»»» System restarted
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

»»»»» Misc files.

»»»»» Checking for older varients.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"System"=""
»»»»»

PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION.

This WILL/CAN also list Legit Files, Submit them at Virustotal
Search five digit cs, dm kd and jb files.
»»»»»
»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"nwiz"="nwiz.exe /installquiet /nodetect"
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"hpWirelessAssistant"="C:\\Programme\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe"
"eabconfg.cpl"="C:\\Programme\\HPQ\\Quick Launch Buttons\\EabServr.exe /Start"
"Cpqset"="C:\\Programme\\HPQ\\Default Settings\\cpqset.exe"
"RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe"
"Trojancheck 6 Guard"="C:\\Programme\\Trojancheck 6\\tcguard.exe"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""
"MailScan Dispatcher"="\"C:\\Programme\\eScan\\LAUNCH.EXE\""
"ESCANIPC"="C:\\PROGRA~1\\eScan\\ESCANIPC.EXE"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

Hosts file was reset, If you use a custom hosts file please replace it

Ach ja. Mit Aktien habe ich wenig zu tun. Schön wärs :)
Die Quicklaunchbuttons sind die Buttons mit denen ich den QuickPlayer von HP bediene.

Was ist denn mit

Zitat:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect

nicht Ordnung? Mighty Marc hat recht. Bei mir ist nvidia installiert.

Pedro

Hallo,
kommt noch was ?:)
Vielleicht die Log`s von "Rootkitrevaeler" und "F-Secure Blacklight" ?
Entweder auf der von mir angegebenen Seite direkt downloaden oder über Google suchen.
Soweit mal so gut.....
Irrlicht

Gut mache ich. Das Logfile von hijackthis (erstes Post) ist i.O.?

Pedro

Hallo,
MM hatte recht....nwiz ist ok.

Zitat:

Das Logfile von hijackthis (erstes Post) ist i.O.?

Im ersten war noch das "fixwareout" Zeug.Ob es jetzt in Ordnung ist werden die beiden Log`s zeigen....:)
Irrlicht

Edit.
was mir gerade aufgefallen ist....
Dein AVG solltest du mal so einstellen ,das er die Funde löscht oder in Qurantäne nimmt.
Die Cockie-Funde sind eigentlich harmlos.Können weg.

Hi

Hier das Log des RootkisRevealer:

HKLM\SECURITY\Policy\Secrets\SAC* 07.08.2004 11:29 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 07.08.2004 11:29 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\168.B301AB9401C74B1A.history\00000000.bak 08.02.2007 01:49 3.68 MB Hidden from Windows API.
D: 01.01.1601 01:00 0 bytes Error mounting volume

und hier das von f-secure blacklight:

02/08/07 01:58:39 [Info]: BlackLight Engine 1.0.55 initialized
02/08/07 01:58:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/08/07 01:58:39 [Note]: 7019 4
02/08/07 01:58:39 [Note]: 7005 0
02/08/07 01:58:49 [Note]: 7006 0
02/08/07 01:58:49 [Note]: 7011 1476
02/08/07 01:59:12 [Note]: 7026 0
02/08/07 01:59:13 [Note]: 7026 0
02/08/07 01:59:18 [Note]: FSRAW library version 1.7.1021
02/08/07 02:03:46 [Note]: 7006 0
02/08/07 02:03:46 [Note]: 7011 1476
02/08/07 02:03:50 [Note]: 7026 0
02/08/07 02:03:51 [Note]: 7026 0
02/08/07 02:03:56 [Note]: FSRAW library version 1.7.1021
02/08/07 02:07:51 [Note]: 7006 0
02/08/07 02:07:51 [Note]: 7011 1476
02/08/07 02:07:51 [Note]: 7026 0
02/08/07 02:07:51 [Note]: 7026 0
02/08/07 02:07:55 [Note]: FSRAW library version 1.7.1021
02/08/07 02:13:05 [Note]: 7007 0

Die Logs sehen bekömmlich aus.
Wegen dem Wareout-Zeugs musst Du Dich an jemand anderen halten.

Hallo,
das dürfte es für dich gewesen sein...
Sind noch irgend welche Probleme vorhanden ?
Von meiner Seite steht deinem Spaß im Netz nichts im Wege...höchstens du selber wieder...;)
Wenn du dich nicht von Kastrationsängsten plagen läßt,würde ich mal über ein "eingeschränktes Benutzerkonto" nachdenken,wenn ich du wäre.......
Mit einem "eingeschränkten Benutzer" hättest du die Probleme gar nicht erst gehabt.....
Irrlicht

Zitat:

Zitat von irrlicht (Beitrag 252899)

Mit einem "eingeschränkten Benutzer" hättest du die Probleme gar nicht erst gehabt.....

Was man von einem beschränkten Benutzer nicht gerade behaupten kann.

Hi

Yeah! Adware, Spybot und AVG finden nix mehr. Danke, danke, danke.

Ich habe auch mwav auf meinem Laptop laufen lassen. Er hat immer noch Wareout gefunden.

Fragen:

Muss ich jetzt mit Wareout leben, wenn ich mein System nicht neu aufsetzen will?
Was ist mit den "Offending files"?
Was bedeutet der Eintrag unter "Registry"?
Zusatzfrage - Offtopic: Ich habe mir vor kurzem die Testversion von Kaspersky geladen. Sie meckert mir aber zu stark rum. Mit Antivir, das mich früher beschützte, fühlte ich mich ziemlich wohl, wollte aber mal ein Kaufprodukt testen. Gibt es irgendwelche Gründe, die gegen Antivir sprechen? Ausser das Antivir weniger aggressiv ist.

Gruss
Pedro

mwav-Logfile

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Feb 07 15:35:55 2007 => Version 9.1.1 (C:\DOKUME~1\PEDROC~1\LOKALE~1\Temp\mexe.com)
Wed Feb 07 15:04:32 2007 => Virus Database Date: 2/3/2007
Wed Feb 07 15:05:58 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 15:35:14 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 17:04:58 2007 => Virus Database Date: 2/7/2007
Wed Feb 07 17:13:59 2007 => Virus Database Date: 2/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 07 15:36:42 2007 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:43 2007 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:43 2007 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:45 2007 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:45 2007 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Wed Feb 07 15:36:45 2007 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Feb 07 15:36:42 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Wed Feb 07 15:36:43 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Wed Feb 07 15:36:43 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Wed Feb 07 15:36:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Wed Feb 07 15:36:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Wed Feb 07 15:36:45 2007 => Offending file found: C:\Dokumente und Einstellungen\Pedro Codes\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Wed Feb 07 15:36:34 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~