Blauer Hintergrund und Meldung "Warning! Spyware detected on your computer!"
 

Hallo,
ich kann zwar ein anderes Hintergrundbild einstellen, aber wenn ich den PC neu starte, koomt der blaue Hintergrund mit der Meldung wieder.
Ich habe mwav.exe im abgesicherten Modus ausgeführt und mwav.bat gestartet, aber leider wird nur folgendes angezeigt:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.7.6
Sprache: German
C:\DOKUME~1\xxxx\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 19:36:18,20
Batchende: 19:42:12,65


Was muss ich anders machen? Bitte dringend um Hilfe.

Gruß George

Hi,

die derzeitige find.bat funktioniert leider nicht mit der neuen eScanversion. Benutze daher bitte folgende: klick

Erstelle außerdem noch ein Hijackthislog, dafür gibts auch ne Anleitung in der FAQ-Abteilung. ;)

lg myrtille

Danke mytille,

hier das Log:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.29.02

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.7.6
Sprache: German
C:\DOKUME~1\xxxI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (internet.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_users\.default\software\microsoft\windows\currentversion\explorer/{02ffac45-0b10-5633-4296-1801f1a36678})! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_users\.default\software\microsoft\windows\currentversion\explorer/{f710fa10-2031-3106-8872-93a2b5c5c620})! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run//msconfig)! Action taken: Keine Maßnahme ergriffen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\xxx\winhxwo.exe infiziert durch den Virus "Trojan-Spy.Win32.Zbot.aez"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\Norton AntiVirus\Quarantine\06CC53C8.htm//CryptFF infiziert durch den Virus "Trojan-Downloader.JS.Agent.beb"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\SwSetup\InetSec06\GR\NAV\External\NORTON\NAVAPW32.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\SwSetup\InetSec06\NAV\External\NORTON\NAVAPW32.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP229\A0042175.exe infiziert durch den Virus "Trojan-Spy.Win32.Zbot.aez"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei G:\AUTORUN.INF infiziert durch den Virus "Fujack"! Maßnahme ergriffen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\xxx\Favoriten\aktuelles\internet.url
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48398124-af37-11dc-97f5-0017a4d50130} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\xxxx~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xxxx~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\xxxx~1\NTUSER~1.LOG
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\I386\DRIVER.CAB
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.5.0_06\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\Office\1031\ACMAIN9.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\Common\IDE\IDE98\MSE\1031\HTMLREF.CHM
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\RECYCLER\S-1-5-21-2919720514-3255357281-3764911998-500\Dc12.tmp//stream//data0010: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\RECYCLER\S-1-5-21-2919720514-3255357281-3764911998-500\Dc12.tmp
ERROR!!! ScanFile fails for C:\SwSetup\Btooth\Data1.cab
ERROR!!! ScanFile fails for C:\SwSetup\Btooth\TZ\Data1.cab
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\MYDVD_62\MyDVD.MSI
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\SC_AUDIO_204\AUDIO.msi
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\SC_DATA_204\BMPLE.msi
ERROR!!! ScanFile fails for C:\SYSTEM~1\tracking.log
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
Result: ERROR!!! File C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\OXUDO38L\3e851e89-f2d4-42a2-82d8-5a09e726386d[1].exe//stream//data0010: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\WINDOWS\Temp\TEMPOR~1\Content.IE5\OXUDO38L\3E851E~1.EXE
ERROR!!! ScanFile fails for E:\Backups\Pgm-Ordner_20080316_aus_C_TM291_WISO_2008.zip
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\ext1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\recover\recover.vvv: Scanning Failure!!!
ERROR!!! ScanFile fails for F:\EIGENE~4\Download\VR-Net\VR-NET~1\recover\data\200612~1\recover\recover.vvv
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\GESEND~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\Sent
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\UNSENT~1
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\DRUCKF~1
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\EINGAN~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\Inbox
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\EINGAN~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\Inbox
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\Sent
Result: ERROR!!! File G:\PRELOAD\BASE_05.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_30.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_31.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_40.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_44.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_45.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_51.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_52.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_57.inp is Not Scanned
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem XP-Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 128325
Zahl der kritischen Objekte: 14
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 91
Zeit verstrichen: 00:57:18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 20:44:42,87
Batchende: 20:44:48,95

Und hier noch das Log von Hijack:


Logfile of HijackThis v1.99.1
Scan saved at 20:58:19, on 15.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DllHost.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
F:\Eigene Dateien\Download\HiJack_unzip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.goole.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [BluetoothAuthorizationAgent] C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205589379843
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C30C1E2F-AB48-41F1-BCEA-9A3969DD978F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hi,
die sicherste Variante ist natürlich das Neuaufsetzen, den Freund den dir eingefangen hast, ist nicht grade das Harmloseste.
Wenn du das nicht tun willst, arbeite das Folgende bitte ab:

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

• Bitte starte Deinen Pc im abgesicherten Modus neu

• Starte den PC neu

• Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

• Anstatt Windows normal zu starten wird ein Menü erscheinen

• Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

• Wähle Deinen Anmeldenamen

• Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

• Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

• Drücke "Y" um das Script zu starten.

• Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

• Drücke eine Taste um zu reboooten.

• Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

• Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

• Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

lg myrtille

Hallo myrtille,

ich habe SDFIX laufen lassen und der PC hat neu gebootet. Anschließend habe ich ein anderes Hintergrundbild eingestellt und den PC beendet und wieder gestartet. Leider hat sich dann der Hintergrund wieder verändert.

Hier die Report.txt:

SDFix: Version 1.157

Run by Administrator on 15.03.2008 at 22:00

Microsoft Windows XP [Version 5.1.2600]
Running From: F:\EIGENE~4\Download\SDFIX_~1\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default Desktop Wallpaper

Hi,
das log sieht nicht gut aus. Hast du den Rechner im abgesicherten Modus gestartet gehabt?

Könnte es sein, dass da außerdem noch nen Teil des Logs fehlt?

lg myrtille

Hallo,

PC war im abgesicherten Modus.
Das Log ist Komplett.

Gruß George

Zusatzinfo:

Dein vorletzter Punkt zu SDFIX "Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden. " war nicht so.

Der PC ist nicht stehengeblieben. Ich habe nur kurz ein DOS-Fenster gesehen, das sofort geschlossen wurde, konnte es aber nicht lesen.

Ok, hast du auch beim Neustart abgewartet bis das Tool fertig gelaufen war? :confused:
EDIT: Ok, kannst du es nochmal versuchen? Ich versuche rauszufinden was da schief gelaufen ist.

EDIT: Im abgesciherten Modus bitte denselben account nutzen, den du auch nach dem Neustart nutzt.

Wenn du abgewartet hattest, versuche es bitte mal mit folgendem Tool:


- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.


Sollte sich das damit auch nicht beheben lassen, würde ich auf jedenfall ein Neuaufsetzen empfehlen! Dann hast du deutlich mehr als "nur" den Bancos aufm Rechner.
Du solltest auf jedenfall von einem anderen (sauberen) Rechner schonmal deine Passwörter ändern!

lg myrtille

Hi,
das Tool hat zum Neustart aufgefordert und ich hab mit einer Taste bestätigt. Anschließend ist mein Rechner normal hochgefahren und ich hatte das Desktop da, sonst lief nichts mehr.

Fragen:
Muss Combofix auch im abgesicherten Modus gestartet werden?

Was meinst du mit >>Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)<<
Was ist ein Guard? Mir sind keine Ad- oder Spareware bekannt.

Hilft evtl. das Zurücksetzen auf einen Systemwiederherstellungspunkt?

Ja hab nochmal editiert. ;)
Wähle im abgesicherten Modus bitte deinen eigenen Account und nicht den Admin-account. Sonst funktioniert das Tool nicht. ;)

Nein

Es geht um deine Sicherheitsprogramme, die Teile von Combofix sperren können. Es handelt sich dabei soweit ich weiß hauptsächlich um Antivir.
Norton sollte kein Problem sein.
Antiad- und Antispywaretools shceinst du keine zu haben. Da brauchst du auch keine Vorsicht walten zu lassen.

Versuch aber bitte erst noch einmal SDFix.

Nein, sicherlich nicht. ;)

lg myrtille

Hallo myrtille,

da ich den PC alleine benutze, gibt es nicht mehr Benutzer.
Ich habe jetzt Combofix probiert, aber NAV hat das Script nicht zu Ende laufen lassen, sondern gestoppt.
Wenn ich eine Systemsicherung zurückspiele, woher weiß ich dann, dass mein Rechner sauber ist? Wieder ein Logfile von Hijack eistellen?

LG

Nein, die Systemwiederherstellung dürfte a)verseucht sein und b) den Virus nicht aushebeln. Sie ist definitiv nie in der Lage Viren zu entfernen und auch gar nicht dafür gedacht. Sie behebt nur Einstellungen die du in letzter Zeit am System vorgenommen hast, sie löscht den Virus aber nicht.

Du warst im abgesicherten Modus als Administrator eingelogt: Das ist ein Konto, das standardmäßig beim normalen Hochfahren gar nicht angezeigt wird. Daher habe ich vermutet, dass SDFix nicht richtig durchlief, weil unterschiedliche Benutzerkonton aufgerufen worden sind. (Einmal das Administratorkonto, einmal dein Benutzerkonto)

Was sicher hilft ist Neuaufsetzen: Also deine nichtausfürhbaren Dateien sichern, dann die Platte formatieren und danach Windows neuinstallieren.

lg myrtille

Hallo,

ich habe eine Systemsicherung mit Norton Ghost, Stand Dez. Wird mir wohl nichts anderes übrigbleiben, als diese Sich. zurückzuspielen.
Danach wäre es vermutlich sinnvoll, ein Log mit Hijack zu erstellen und zu posten.

Werde ich wohl morgen machen.

Gruß und danke
George

Ja, sag doch das du nen Image hast. :D Das geht natürlich am schnellsten. :P

Die Sache steht und fällt mit folgender Zeile im HJT:
Außerdem gibts unabhängig davon noch den Eintrag bei eScan, der kein Fehlalarm ist:
Daher wiederholst du am besten auch den eScan, wenn du überprüfst.


Wenn du ganz sicher gehen willst, kannst du dann auch noch Blacklight drüberlaufen lassne.

Wenn keiner was findest bist du mit großer Wahrscheinlichkeit sauber. :)

lg myrtille

Hallo :)

vielleicht noch ein Tipp(chen)

sdfix (im abgesicherten modus angewendet) reinigt das System relativ sicher vom ntos.exe
SDFix
ntos - audio.dll - video.dll - wsnpoem

Hallo an alle,

ich habe eben Spybot 1.5.2 laufen lassen. Das Pgm hat zwei Problemeinträge gefunden:
1. Virtumonde und
2. Win32.Agent.pz
Die beiden hab ich entfernen lassen, ein neues Hintergrundbild eingestellt, Pc neu gestartet und mein eingestelltes Hintergrundbild bleibt. Evtl ist das Problem behoben!?

Hier mal Das Hijack-Log nach dem Spybot-Lauf:

Logfile of HijackThis v1.99.1
Scan saved at 12:04, on 2008-03-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
F:\Eigene Dateien\Download\HiJack_unzip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.goole.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [SDFix] F:\EIGENE~4\Download\SDFIX_~1\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205589379843
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C30C1E2F-AB48-41F1-BCEA-9A3969DD978F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

eScan-Protokoll kommt noch.

Gruß George

Hier das eScan-Log: MUsste ich im unteren Bereich kürzen, weil es sonst zu viele Zeichen gewesen wären.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.29.02

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.7.6
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (internet.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with xtractor plus Spyware/Adware (xp.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen.
System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\xxx\winhxwo.exe infiziert durch den Virus "Trojan-Spy.Win32.Zbot.aez"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\Norton AntiVirus\Quarantine\06CC53C8.htm//CryptFF infiziert durch den Virus "Trojan-Downloader.JS.Agent.beb"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\QooBox\Quarantine\catchme2008-03-15_235514.07.zip/ntos.exe infiziert durch den Virus "Trojan-Spy.Win32.Zbot.aiy"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\SwSetup\InetSec06\GR\NAV\External\NORTON\NAVAPW32.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\SwSetup\InetSec06\NAV\External\NORTON\NAVAPW32.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP229\A0042175.exe infiziert durch den Virus "Trojan-Spy.Win32.Zbot.aez"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\xxx\Favoriten\aktuelles\internet.url
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\process.exe
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\replace\xp.exe
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\swreg.exe
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48398124-af37-11dc-97f5-0017a4d50130} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\DOKUME~1\xxx~1\LOKALE~1\Temp\catchme.sys in SYSTEM\CurrentControlSet\Services\catchme...
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx~1\NTUSER~1.LOG
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\VIRTUM~1.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde1.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\VIRTUM~2.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde2.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\VIRTUM~3.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~1.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz1.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~2.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz2.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYBOT~1\Recovery\WINAGE~3.ZIP
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\I386\DRIVER.CAB
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.5.0_06\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\Office\1031\ACMAIN9.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\Common\IDE\IDE98\MSE\1031\HTMLREF.CHM
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld vor löschen\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\RECYCLER\S-1-5-21-2919720514-3255357281-3764911998-500\Dc12.tmp//stream//data0010: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\RECYCLER\S-1-5-21-2919720514-3255357281-3764911998-500\Dc12.tmp
ERROR!!! ScanFile fails for C:\SwSetup\Btooth\Data1.cab
ERROR!!! ScanFile fails for C:\SwSetup\Btooth\TZ\Data1.cab
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\MYDVD_62\MyDVD.MSI
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\SC_AUDIO_204\AUDIO.msi
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\SC_DATA_204\BMPLE.msi
ERROR!!! ScanFile fails for C:\SYSTEM~1\tracking.log
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for E:\Backups\Pgm-Ordner_20080316_aus_C_TM291_WISO_2008.zip
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\ext1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\recover\recover.vvv: Scanning Failure!!!
ERROR!!! ScanFile fails for F:\EIGENE~4\Download\VR-Net\VR-NET~1\recover\data\200612~1\recover\recover.vvv
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\GESEND~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\Sent
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\UNSENT~1
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\DRUCKF~1
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\EINGAN~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\Inbox
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\EINGAN~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\Inbox
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\Sent
Result: ERROR!!! File G:\PRELOAD\BASE_05.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_30.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_31.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_40.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_44.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_45.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_51.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_52.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_57.inp is Not Scanned
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem XP-Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.007guard.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 007guard.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 008i.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.008k.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 008k.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.00hq.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 00hq.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 010402.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.032439.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 032439.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.1001-search.info
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 1001-search.info
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.100888290cs.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 100888290cs.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.100sexlinks.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 100sexlinks.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.10sek.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 10sek.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.123topsearch.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 123topsearch.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.132.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 132.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.136136.net
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 136136.net
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.139mm.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 139mm.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.163ns.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 163ns.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 171203.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 17-plus.com

... Wo komme diese ganzen Einträge her? Solche Einträge kommen noch extrem viele.
Hier der Rest des Logs:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 131785
Zahl der kritischen Objekte: 20
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 96
Zeit verstrichen: 00:58:37
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 13:34:07.39
Batchende: 13:34:18.85


Sollte ich die "Infected files" löschen?
Der Eintrag >>C:\Dokumente und Einstellungen\xxx\winhxwo.exe<< ist noch da.
Was muss man von den Infektionsmeldungen zB."Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. " halten?
Welche Aktionen empfehlt ihr noch?

Gruß George

Hi,

könnte sich bitte jemand die beiden Logfiles (Hijack und eScan) ansehen, die ich nach dem Spybot-Lauf gemacht habe, und evtl. auch meine Fragen beantworten.
Ich hoffe, mein PC ist wieder sauber.

Gruß und danke
George

Hallo :) myrtille wird den Thread weiterführen, heute ist Sontag, eventuell ist sie nicht im Forum aktiv heute.

Hi,

ehrlich gesagt vrestehe ich nicht ganz was hier läuft.

Du hast offensichtlich Combofix bereits benutzt:
Du hast außerdem immernoch dieselbe Infektion wie vorher auf dem Rechner:
Hinzukommt auf einmal auch Vundo, wo genau hat Spybot den denn gefunden?

Deine Hosts-Datei ist kompromittiert, evtl war das Vundo, vielleicht aber auch ein weiterer Befall.


Ist das jetzt schon das eingespielte Image? :o Das ist auf jedenfall nicht sauber. :p

lg myrtille

Sauber ist anders... aber jedernach seinem Gusto. :)

Wichtig ist hier noch:
- ändere alle Zugangsdaten
- Prüfe Deine Bankkonten

Dieser Befall stiehlt alles, was er an Passwörrter, Zugangsdaten in die Finger bekommt, auch will er an Dein Geld.

Hier mal ein Bericht eines ZBots.

Hallo,

melde mich erst jetzt, weil ich in einer Nachtschicht meinen Rechner mit besagten Image versorgt habe. War gar nicht so einfach, den auch die Wiederherstellungskonsole ging nicht mehr.

Habe eben ein Hijack-Log erstellt. Würdet ihr das mal prüfen, ob mein zurückgespieltes Image sauber war.

Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:26:39, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Eigene Dateien\Download\HiJack_unzip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.goole.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205705168015
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C30C1E2F-AB48-41F1-BCEA-9A3969DD978F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B2675A8-99AF-46FC-B968-E841DEF7B53B}: NameServer = 192.168.2.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Gruß George

Hi,

das Log ist sauber. :)
Sicherheitshalber bitte auch noch die beiden unten verlinkten Programme Blacklight (geht schnell) und bei Gelegenheit auch eScan durchlaufen lassen.
(eScan erzeugt recht viele Fehlalarme... in deinem Fall solltest du besonders auf den Zbot achten. Wenn der nicht da ist, sind der Rest wahrscheinlich Fehlalarme)

lg myrtille

Hallo myrtylle,

hier mein eScan-Log ("Aktualisieren" vor dem Start ging leider nicht?!?):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.29.02

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.7.6
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (internet.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with xtractor plus Spyware/Adware (xp.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\SwSetup\InetSec06\GR\NAV\External\NORTON\NAVAPW32.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\SwSetup\InetSec06\NAV\External\NORTON\NAVAPW32.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\aktuelles\internet.url
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\process.exe
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\replace\xp.exe
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\swreg.exe
Offending file found: F:\Eigene Dateien\download\sdfix_unzip\sdfix\apps\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{57f11882-f4d2-11dc-97dc-0017a4d50130} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\I386\DRIVER.CAB
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.5.0_06\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\Office\1031\ACMAIN9.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\Common\IDE\IDE98\MSE\1031\HTMLREF.CHM
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld\recover\data\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File C:\Programme\VR-NetWorld_vor Altdorf\recover\data\OnlLoad\hlp.upz is Not Scanned
ERROR!!! ScanFile fails for C:\SwSetup\Btooth\Data1.cab
ERROR!!! ScanFile fails for C:\SwSetup\Btooth\TZ\Data1.cab
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\MYDVD_62\MyDVD.MSI
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\SC_AUDIO_204\AUDIO.msi
ERROR!!! ScanFile fails for C:\SwSetup\SDMPL\SC_DATA_204\BMPLE.msi
ERROR!!! ScanFile fails for C:\SYSTEM~1\tracking.log
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for E:\Backups\Pgm-Ordner_20080316_aus_C_TM291_WISO_2008.zip
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\app2.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\hbkrnl.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\app4.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\db1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\ext1.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\OnlLoad\hlp.upz is Not Scanned
Result: ERROR!!! File F:\Eigene Dateien\Download\VR-Net\VR-NetWorld\recover\data\20061212_110228\recover\recover.vvv: Scanning Failure!!!
ERROR!!! ScanFile fails for F:\EIGENE~4\Download\VR-Net\VR-NET~1\recover\data\200612~1\recover\recover.vvv
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\GESEND~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\Sent
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\LOCALF~2\UNSENT~1
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\DRUCKF~1
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\EINGAN~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\MAILVR~1.DE\Inbox
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\EINGAN~1.200
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\Inbox
ERROR!!! ScanFile fails for F:\EIGENE~4\THUNDE~1\Profiles\CCRN9E~1.DEF\Mail\POP1UN~3.COM\Sent
ERROR!!! ScanFile fails for F:\WINDOWS\DRIVER~1\i386\driver.cab
Result: ERROR!!! File G:\PRELOAD\BASE_05.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_30.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_31.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_40.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_44.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_45.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_51.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_52.inp is Not Scanned
Result: ERROR!!! File G:\PRELOAD\BASE_57.inp is Not Scanned
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem XP-Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 131360
Zahl der kritischen Objekte: 10
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 75
Zeit verstrichen: 00:58:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 19:50:32,68
Batchende: 19:50:40,48


Ich hoffe, dass die Meldungen nur Fehlalarme sind und mein PC sauber ist.

Jetzt hätte ich noch ein paar Fragen:

- Kann ich den den escan-Ordner auf Laufwerk bedenkenlos löschen bzw gibt noch andere Ordner/Dateien, die durch eScan bzw. Hijack erzeugt wurden und zu löschen sind?

- Wie kann ich denn meinen PC für die Zukunft schützen? Als erste Maßname hab ich alle Windows-Updates eingespielt.

- Mein Rechner ist in einem kleinen Netzwerk. Kann ich die Hijack-Logs der beiden anderen Rechner auch hier reinstellen oder soll ich ein neues Thema aufmachen?

Gruß George

Hi,
das Log sieht sauber aus.

Den eScan-Ordner kannst du löschen, der ist allerdings noch sehr klein. Der andere Ordner ist in den temporären Dateien und wird sowieso gelöscht, wenn du die temporären Dateien leerst. (Das ist das schöne an Onlinescannern. ;))

Die Logs kannst du hier noch einstellen, ich schau sie mir dann mal an. :)

lg myrtille

Hallo myrtille,

danke für deine Hilfe und natürlich für die gute Nachricht.
Ich hoffe, du kannst mir noch einen Rat geben, wie ich meinen PC in Zukunft möglichst schützen kann vor solchen Plagegeistern.

Hier das Log von PC2. Der 3. PC (=Laptop) ist zur Zeit unterwegs, kann ich erst morgen einstellen.

Logfile of HijackThis v1.99.1
Scan saved at 20:21:23, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\HP\HP Software Update\HPwuSchd2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
F:\Eigene Dateien\Download\HiJack_unzip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pavilion.buttonredirect.hp.com/2.0/email/de-de/index.html?VER=0&CYCLE=61&URL=http://www.hp.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2039D171-0CD5-47F8-9BB1-6F9EA1E3C5F1}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD4B9988-BC2F-4146-AD56-F59442B35C7A}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hi,
der Rechner sieht sauber aus. :)

Bezüglich:

Generell gilt:
Am allerwichtigsten ist es deine Software aktuell zu halten, veraltete Software besitzt häufig bekannte Schwachstellen, die dann von Viren ausgenutzt werden.
In diesem Fall zb:
Vundo ist da zb zu nennen.
Deinstalliere also über Start->Systemsteuerung->Software dein Java und lade dir das aktuelle Java von der Herstellerseite:sun

Eine weitere Möglichkeit solche Sicherheitslücken zu minimieren ist alternative Software zu benutzen: Statt IE Opera, statt Outlook Thunderbird, statt ICQ Trillian, etc...
Nicht nur, weil die Programme bekannte Sicherheitslücken schneller schließen, sondern auch aus rein profitorientierten Gründen: Wenn ein Programmierer die Wahl hat zwischen einem Exploit für den IE, der ca 70% der Leute betreffen wird und einem Exploit für Firefox, der ca 17% der Leute betrifft, wird er sich meist für den ersten entscheiden.
Auch deswegen gibt es mehr (Achtung ich sage mehr, nicht nur! Es gibt durchaus bereits Malware, die zb auf Firefox abzielt) Malware die dem IE-Nutzer zusetzt als Usern anderer Browser.

Allerdings kommen wirklich nur ein Bruchteil der Infektionen über solche Sicherheitslücken, wahrscheinlich über 90% installiert sich der User selbst.
Dagegen hilft zb ein eingeschränktes Benutzerkonto: Du und damit auch die ausgeführte Datei besitzen nicht die Rechte sich zu installieren, so werden die Schäden bei Befall zumindest begrenzt.

Generell gilt: Installieren nur von Herstellerseiten und Seiten denen die vertraust, etwa zdnet, von mir aus auch Chip. ;)

Finger weg von Cracks, P2P und PornoCodecs... Aber das sollte wohl klar sein. ;) Aber auch unbekannte Emailanhänge können verderben mit sich bringen. ;) Hier hilft es schon alle Dateiendungen einzublenden: Dann siehst du immerhin ob die Datei wirklich ein pdf ist oder doch ein pdf.exe.

Mittlerweile bieten auch immer mehr Firmen die MD5/SHA1 ihrer Dateien an. Diese Zahlenfolge wird aus der Datei berechnet und ist eindeutig. Hat jemand die Datei manipuliert, verändert sich dadurch auch die Zahlenfolge. Du kannst also anhand eines identischen SHA-Wertes sicherstellen, dass du die Originaldatei in der Hand hast, also eine virenfreie. (Vorsicht! Original ist nicht unbedingt sauber! Programme wie zb der MessengerSkinner installieren auch bei Download von der Herstellerseite Malware)

Last but not least sind die Infektionen durch USB-Sticks und Konsorten.
Das lässt sich am besten umgehen, indem du den AutoRun deaktivierst und die Sticks immer per Rechtsklick öffnest.
Eine recht banale Sicherung deines Sticks gegen solch eine Infektion ist es einen schreibgeschützten Ordner mit dem Namen autorun.inf auf deinem Stick zu erstellen. Dann kann sich die infizierende Datei nicht mehr anlegen.


Wenn man wirklich immer aufpasst und auch nie was falsch macht, war es dass... dann braucht man keine Software zum absichern oder ähnliches.
Es ist jedoch eigentlich gelegentlich ganz gut sowas zu besitzen.
Ich hab Antivir aufm Rechner und bin ganz happy damit, aber die meisten Programm schenken sich in der Hinsicht nicht viel.
(Aber bitte nie, nie , niemals 2 Antivirenprogramme (etwa Norton und Kaspersky) gleichzeitig installieren. Das zerstört dein System zuverlässiger als jeder Virus das könnte)


Abraten möchte ich von Adaware und Spybot: Die beiden Programme haben in letzter Zeit in der Spywarebekämpfung stark nachgelassen.
Sprich: Eigentlich finden die Programme keine der derzeit akuten Adware/Spywarebefälle und sollte es doch eins finden, dann kann es nicht gelöscht werden. :p

ich hoffe du vergibst mir, wenn ich mir das jetzt nicht nochmal auf Rechtschreibfehler durchles. ;) Der Inhalt stimmt soweit und alles andere dient der Erheiterung des Lesers. ;)

lg myrtille

Hallo myrtille,

vielen Dank für die Infos. Für Win XP habe ich jetzt schon mal alle Updates gemacht.
Hier nun das Hijack-Log vom Laptop und noch ein zusätzliches. Es stammt von einem PC, der zwar nicht regelmäßig im Netzwerk hochgefahren wird, aber letztes Wochenende im Heimnetz war. Gleich dazu die Frage: Wie wahrscheinlich ist eigentlich die Gefahr, dass sich diese Viren übers Netzwerk verbreiten?

Ich hoffe, dass beide Rechner ok sind und ich dich wegen dieser unangenehmen Sache nicht mehr nerven muss.
Vielen Dank noch mal für deine Hilfe.
Gruss George

1. Laptop-Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:43:04, on 19.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\CardReader2.0\OTiReader.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\CardReader2.0\CRBroadCasting.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\Downloads\HiJack_unzip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDownload\fdcatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [CRBroadCasting] C:\Programme\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [eatmlaneh] C:\Program Files\eatmlaneh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205672933798
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7958793-0809-47C3-8771-06D19107F850}: NameServer = 192.168.2.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Programme\CardReader2.0\OTiReader.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe


2. anderer PC:

Logfile of HijackThis v1.99.1
Scan saved at 19:01:21, on 19.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2181)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\drwtsn32.exe
G:\HiJack_unzip\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201186892046
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{99D96116-B58A-4D4E-9CFD-55DAA295B702}: NameServer = 192.168.2.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hi,

das kann man so allgemein nicht sagen. Das hängt massiv von der Art des Befalls ab.
Es gibt auch unterschiedliche Ansätze: Eine Art von Befall verscuht sich über bekannte Lücken bei MS zu propagieren, diese sind mit einem aktuellen Betriebssystem meist nur eine geringe Bedrohung.
Eine andere Möglichkeit ist aber zb auch, dass sich der Virus als "ClickeMe.exe" oder "Setup.exe" etc. in Ordner mit Netzwerkfreigabe kopiert und so den User dazu veranlassen will, die Datei selbst auszuführen. Da kann auch ein aktuelles System nicht mehr helfen. ;)

Lass dir aber keinen Schrecken einjagen. ;) Die Bedrohungen lauern nicht überall. ;)

Im 2. Log ist etwas was ich nicht zuordnen kann:
Lass das vielleicht mal bei virustotal auswerten. Ich glaub nicht das die Datei böse ist, aber ist sicher sicher. ;)

lg myrtille

Hallo myrtille,

danke für die Info.

Ich habe die eatmlaneh.exe bei Virustotal prüfen lassen. Es wurde kein Virus gefunden.

Frohe Ostern für dich und alle anderen im Trojaner-Board
George

Danke! Dir ebenfalls frohe Ostern! :)

Das geprüfte Programm wurde auch als gutartig beschrieben, einzig die geringe Trefferrate hat mich etwas irritiert und zum auswerten lassen animiert. ;)

Dann hoff ich mal, dass wir uns nicht allzu bald wieder sehen. ;)

lg myrtille

Hallo!
Ich habe mich eben aus der Not heraus frisch hier angemeldet.
Seit heute Mittag 12.00 etwa habe ich einen blauen Hintergrund mit der Aufschrift "Warning! Spyware detected on your pc - Install an antivirus or spyware remover to clean your pc!"

Das tool hijackthis habe ich mir bereits runtergeladen. Das Logfile sieht wie folgt aus.

Logfile of Trend Micro HijackThis v2.0.2


[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt das jedem User übersichtlich und individuell geholfen werden kann.


Danke. :)

[/edit]

so hab genau das selbe problem hab diese text datei kopiert so

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt das jedem User übersichtlich und individuell geholfen werden kann.

Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958


Danke. :)

[/edit]