Trojaner-Board - Entweder hat eScan ein Problem oder ich....

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Entweder hat eScan ein Problem oder ich.... (https://www.trojaner-board.de/40155-entweder-hat-escan-problem.html)

Entweder hat eScan ein Problem oder ich....

Hallo,

ich habe zwei Computer und auf beiden wurden von eScan Schädlinge gefunden. Allerdings bin ich mir über die Gefahr nicht wirklich klar, ich vermute aber, dass vielleicht nur eScan zu "aggressiv" scannt.

Ich fange mal mit dem gänzlich unwahrscheinlichen Befall an (da das System gerade wg. Festplattenwechsel neu aufgesetzt wurde - natürlich nach der Anleitung im Forum :aplaus: - und nur original Software eingespielt wurde, Download nur Adobe Reader und ein Zipprogramm bei Chip). Hier das eScan-logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005113.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005116.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005123.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005128.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005129.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005133.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005143.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005285.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005330.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005331.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005337.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005339.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005341.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005344.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005346.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005357.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005368.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005369.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005377.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005498.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005499.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005500.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005518.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005526.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{466223D6-C151-4E41-ACE0-F6A2E7796FF6}\RP22\A0005528.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 52771
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 19
Dauer des Scans bisher: 01:16:58
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:47:08,41
Batchende: 14:47:23,83

Hier das HiJackThis-File (automatische Auswertung war o.k.)

Logfile of HijackThis v1.99.1
Scan saved at 14:54:46, on 20.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AS00_WPN511] C:\Programme\NETGEAR\WPN511\Utility\WPN511.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe

Kann mir jemand sagen, ob ich jetzt nach 2 Tagen neu aufsetzen darf oder nicht?

Hi,
einmal die Systemwiederherstellung deaktivieren, dann findet auch eScan nichts mehr bei dir. :party:

Erstelle aber bitte dennoch noch ein HJT-Log im normalen Windows modus. Im abgesicherten Modus lässt sich mit HJT nichts erkennen.

lg myrtille

EDIT: Sers Rene-Gad. :) Ich bin dann auch weg auf der Suche nach nem Eiskaffee. :aplaus: Falls ich was finde, bring ich welche mit. :)

@Mediävist
ich denke mal, du wurdest schon ein paarmal auf Folgendes hingewiesen:
1. Vor dem Einsatz von eScan soll die Systemwiederherstellung abgeschaltet werden.
2. HJT-Log soll im Normalmodus erstellt werden.
Bitte wiederhole alles mit der Berücksichtigung dieser 2 Punkte.

Zitat:

Kann mir jemand sagen, ob ich jetzt nach 2 Tagen neu aufsetzen darf oder nicht?

Man darf das auch jede 3 Stunden wiederholen (wenn's Spaß macht) :blabla:
SCNR.
EDIT: Diesmal war myrtille schneller :party: (Cooles Bierchen bei dem Wetter tut Juuuut :D)

O Mann, das hätte ich wirklich wissen sollen. Allerdings bleibt noch ein Problem:

eScan sagt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 52129
Gefundene Viren: 1
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 18
Dauer des Scans bisher: 00:34:53
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:00:24,80
Batchende: 18:00:35,48

und HiJackThis spricht:

Logfile of HijackThis v1.99.1
Scan saved at 18:02:57, on 20.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\NETGEAR\WPN511\Utility\WPN511.exe
C:\WINDOWS\system32\ctfmon.exe
C:\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AS00_WPN511] C:\Programme\NETGEAR\WPN511\Utility\WPN511.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe

Wie seht ihr das???? (Power DVD ist ein Programm, dass bei der Application-CD dabei war, zum DVD kucken)

eScan neigt gelegentlich zu Fehlalarmen.

Der Grund für deine "Wareout-Infektion" ist dieser Ordner:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\im ages\hd

Benennst du ihn um, bist du auf einmal virenfrei. Was jetzt natürlich nicht heißt, dass der Ordner ein böser Ordner ist (gehört doch tatsächlich zu powerdvd), sondern das eScan sich hier irrt.

Auch dein HJT-Log sieht sauber aus.

lg myritlle

Es hätte mich auch gewundert, wenn etwas wäre, da mich dieses Forum wirklich "sensibiliert" hat, was Sicherheit im Internet angeht :aplaus:

Jetzt zu meinem zweiten PC, der schon etwas länger im Netz läuft, aber eigentlich sicher konfiguriert sein müsste (und ich klicke sowieso nur noch auf Sachen, bei denen ich mich eindeutig "wohlfühle":heilig: ).

eScan spuckt folgendes aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Jun 20 15:44:07 2007 => Version 9.2.7
Wed Jun 20 15:11:02 2007 => Virus-Datenbank Datum: 6/20/2007
Wed Jun 20 15:43:56 2007 => Virus-Datenbank Datum: 6/20/2007
Wed Jun 20 16:45:31 2007 => Virus-Datenbank Datum: 6/20/2007
Wed Jun 20 16:52:15 2007 => Virus-Datenbank Datum: 6/20/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Wed Jun 20 15:44:42 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Wed Jun 20 15:44:47 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Wed Jun 20 15:44:47 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Jun 20 16:45:30 2007 => Gefundene Viren: 3
Wed Jun 20 16:45:30 2007 => Anzahl Fehler: 33
Wed Jun 20 16:45:31 2007 => Dauer des Scans bisher: 01:01:16
Wed Jun 20 16:45:30 2007 => Gescannte Dateien: 85690
Wed Jun 20 15:44:07 2007 => Specherüberprüfung: Aktiviert
Wed Jun 20 15:44:07 2007 => Registry Überprüfung: Aktiviert
Wed Jun 20 15:44:07 2007 => System-Ordner Überprüfung: Aktiviert
Wed Jun 20 15:44:07 2007 => Überprüfung der Systembereiche: Deaktiviert
Wed Jun 20 15:44:07 2007 => Überprüfung der Dienste: Aktiviert
Wed Jun 20 15:44:07 2007 => Überprüfung der Festplatten: Deaktiviert
Wed Jun 20 15:44:07 2007 => Überprüfung aller Festplatten :Aktiviert

HJT sieht die Sache so: (automatische Auswertung sagt: alles o.k.)

Logfile of HijackThis v1.99.1
Scan saved at 18:29:32, on 20.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Logitech\Video\AlbumDB2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136652319828
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Könnt ihr den zweiten PC auch "absegnen"? Ich habe an anderer Stelle im Internet und auch im Forum gelesen, dass "nwsapagent" mgl.weise zu Windows/SAP gehört? Vielleicht übertreibt eScan auch hier?

vgl. NwSapAgent (Windows NT SAP-Agent) wird nicht korrekt installiert

oder http://www.trojaner-board.de/39875-a...-loeschen.html

Ohne den Eindruck erwecken zu wollen, hier 'rumzuschleimen, möchte ich anmerken, dass ich es außerordentlich finde, dass es Leute wie euch (die Helden des Forums) gibt, die sich die Mühe (auch an heißen Tagen) geben, Leuten wie mir, die technologisch im Hintertreffen sind, so zu unterstützen. Ein herzliches Danke!:daumenhoc

Der Mediävist

Nachtrag: im MWAV.log sieht die Sache so aus (da steht eben noch was von "linkmedia trojan" - steht in find.bat nicht...)

Wed Jun 20 15:44:37 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Wed Jun 20 15:44:37 2007 => Loading Spyware Signatures from new External Database [Name: C:\Bases_X\spydb.avs, Size: 231535].
Wed Jun 20 15:44:37 2007 => Indexed Spyware Databases Successfully Created...

Wed Jun 20 15:44:42 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Wed Jun 20 15:44:47 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Wed Jun 20 15:44:47 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Wed Jun 20 15:44:47 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Wed Jun 20 15:44:47 2007 => Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Wed Jun 20 15:44:47 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Hi, ja die Einträge sind mE auch gutartig. Habe dazu letztens erst was verlinkt, finde es jetzt natürlich nicht wieder. :balla:
EDIT: Deine Links kommen mir verdächtig bekannt vor. :kloppen: :D

Es gibt nen Trojaner der sich nwsapagent nennt, allerdings eben auch Windowselemente.
Die Registryeinträge dürften allerdings gutartig sein.

Das HJT-Log sieht sauber aus.

lg myrtille

EDIT:
Falls du es genau wissen willst:
Linkmedia hat folgende Charkteristiken:
quelle

Zitat:

# Creates the following files:

* %ProgramFiles%\LinkMedia\ACSs.dll
* %ProgramFiles%\LinkMedia\license.rtf
* %ProgramFiles%\LinkMedia\Nwsapagent.dll
* %ProgramFiles%\LinkMedia\sdmAgent20.dll
* %ProgramFiles%\LinkMedia\uninst.exe
* %System%\ACSs.dll
* %System%\Nwsapagent.dll
* %System%\sdmAgent20.dll
* %Temp%\agentretu.ini
* %Temp%\paramslocal.ini

# Creates the following registry subkeys:

HKEY_LOCAL_MACHINE\SOFTWARE\LinkMedia
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\[CHINESE CHARACTERS]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NWSAPAGENT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nwsapagent
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NWSAPAGENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent

Windows erstellt folgende Einträge:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NwSapAgent
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NwSapAgent

Die allerdings später gespiegelt werden, um wiederhergestellt werden zu können:
quelle

Zitat:

Zum Beispiel der Unterschlüssel "ControlSet001" ist als "CurrentControlSet" gespiegelt worden. Beim Herunterfahren wird er dann in "ControlSet002" gespiegelt und als "LastKnownGood" eingetragen - dieser wird dann genutzt, wenn man wie oben beschrieben "Letzte als funktionierend bekannte Konfiguration laden"
startet. "ControlSet001" wird dann nicht gelöscht, sondern fortan "ControlSet003" als Sicherung verwendet, der zuvor "ControlSet002" war.

Also alles im grünen Bereich bei dir. Es werden die beiden Schlüssel gefunden, die gleich heißen in ihrer Originalstelle und in ner Sicherung.

Danke für die prompte Antwort myrtille!

Du würdest also an meiner Stelle nichts weiter unternehmen?

Naja, zweifeln kann man immer. ;) Und Vorsicht ist die Mutter der Porzellankiste. ;)

Ich hab dir ins letzte Post noch reineditiert, warum ich denke, dass du sauber bist. ;)

lg myrtille

Geil. Jetzt bin ich nicht nur ein wenig ruhiger :kloppen: , jetzt habe ich auch noch was gelernt!:aplaus:

Ich habe spaßeshalber nach einigen bösen "registry subkeys" die du angegeben hast gesucht und keine gefunden. So muss es wohl sein!

Besten Dank nochmal!

Der Mediävist