TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?
 

Hallo,

mein System ist Win XP Home SP2

Gestern Abend habe ich mal einen Virenscan gemacht mit antivir. Dabei meldete Antivir den TR/Agent.CME in der Datei C:\Windows\System32\SpoonUninstall.exe sowie in einer alten Kazaa Installer Datei die ich seit Jahren in einem Zip File habe den Trojaner Namens DR/Altnet

Jetzt zu den beiden Schädlingen:

1) DR/Altnet
Die Kazaa Datei sehe ich unkritisch da das ein alter Installer ist den ich schon vor Jahren in ein zip file gepackt habe um Platz zu sparen? Die Datei lösche ich aus dem Zipfile? Ist das ok so?

2.) TR/Agent.CME

Nach dem ich gestern den SpoonUninstall.exe gelöscht hatte habe heute morgen nochmal mit Bitdefender ein Virenscan gemacht. Dabei sprang die Live Guard von Antivir an und meldete den selben TR/Agent.CME nochmal in C:\System Volume Information\_restore....\A0391979.exe. Auch hier sagte ich das Antivir diese Datei löschen sollte doch die Datei blieb seltsamerweise in den Systemwiederherstellungsordner von XP (hab die Datei erstmal in Quarantäne geschoben. Seltsam das Antivir gestern in System Volume Information nix fand?

Daraufhin habe ich die Systemwiederherstellung deaktiviert so das auch dort alles gelöscht wurde.

Die o.g. Datei A0391979.exe habe ich vorhin aus der Quarantäne gerestored (umbenannt in *.bak) und bei Virustotal online hochgeladen:
Die beiden betroffenen Dateien werde ich sicherheitshalber schonmal bei antivir einschicken um Fehlalarme zu prüfen.

Frage:
Ich kann leider auf der avira Seite nix zu Trojan.Agent.CME finden. Bin jetzt total in Panik was das überhaupt ist? Was ist der TR/Agent.CME? Ist es eine sehr grosse Gefahr? :confused:

Reicht es wenn ich mit Antivir die Schädlinge einfach lösche, die Systemwiederherstellung lösche und jetzt nochmal mit mehreren Virenscanner, Spybot usw. im abgesicherten Modus scanne und wenn da jetzt nix mehr ist muss ich dann trotzdem meinen ganzen PC neuaufsetzen? :schmoll:

Ich hatte noch nie Trojaner und bin momentan ein bissl ratlos was ich jetzt noch machen soll um wieder ohne Sorge mein PC nutzen zu können? Vllt. kann mir hier jemand ein paar Tipps geben was man jetzt so noch machen kann.

Hallo,

schade, dass die Datei schon weg ist, besser wäre es gewesen, die nochmal bei Virustotal checken zu lassen und die Ergebnisse zu beurteilen.

Finger weg von Kazaa! Kazaa ist mit Spyware und weiß der Geier noch ausgestattet. Eben so ein Kandidat ist Bearshare.

Lösch alles was mit Kazaa zu tun hat...

Zur weiteren Vorgehensweise:

1. Systemwiederherstellung deaktivieren
2. Hijackthis-Logfile posten

Dann sehen wir weiter! :)

Naja die originale Datei "Spoouninstall.exe" hatte ich gelöscht. Allerdings kam mir die Datei heute morgen nochmal unter in der Systemwiederherstellung unter C:\System Volume Information als A054343.exe. Ich vermute mal es ist die selbe Datei die vorgestern vom System irgendwie dort gesichert wurde. Da melden 3 Scanner bei Virustotal:

Antivir: TR/Agent.CME
Norman: Puper.HV
Webwasher-Gateway: Trojan.Agent.CME

Ok, ich werds dann alles mal runterschmeissen. Habe aber Kazalite eigentlich schon seit Jahren drauf (benutze es ja nicht mehr). Komisch nur das antivir beim Installer von Kazaa meckert und nicht beim installierten Prog.

Aber ich schmeiss es dann mal gleich runter, brauch es eh net mehr. :)


1. Systemwiederherstellung ist deaktiviert worden!

2. HJT Log kommt gleich.

Ja....Das ist leider, leider normal bei AntiVir:pfui:
Ich hab eben auch mal Onkel Google gefragt aber der hat auch nix an Infos...
Am besten wäre es du holst dir ein andern Antivirus...eine ziemlich gute Kombination (und alles auch Free) ist AVG Free, AVG Anti Spyware, Spybot und Agnitum Outpost Firewall

Da hätte ich aber noch eine Frage bzgl zu

Wann hast du die SWH deaktiviert? Auch auf allen Laufwerken? Wenn ja, dürften eigentlich nicht mehr Dateien wie

C:\System Volume Information\...\A054343.exe

vorhanden sein. :confused:

Korrekt, die Ordner sind leer. Vorher hatte ich aber noch die dort gefunden A054343.exe in den Antivir Quarantäne geschoben (leider hab ich das nicht bei der Spoonuninstall gestern auch gemacht) und danach erstmal die SWH ausgestellt und neugestartet. Dann war dort drin alles weg.

Ok, dann hat alles seine Richtigkeit. Und nun rück mal dein HJT-Logfile raus! :blabla:

Hier mal die Ausgaben von HJT von heute. Ich kann auch gerne nochmal ein HJT von gestern Abend posten falls das was bringen sollte?

=============================================
Logfile of HijackThis v1.99.1
Scan saved at 14:37:46, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
D:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ezSP_Px.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\mozilla.org\Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\TEMP\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight_5_1\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL (file

missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight_5_1\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight_5_1\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: concept/design's onlineTV - {9D388831-2E54-4BC5-A848-B1B234363B66} -

C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h***://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: h**://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

h***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185563167187
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware

Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware

Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Communicator\xcommsvr.exe" /service (file missing)

was ist dass?

Das sind legitime Prozesse!
Ltsmmsg.exe
ezSP_Px.exe

Ok danke cosinus

Zum Logfile:

Von Sygate solltest du dich langsam aber sicher verabschieden, da die PFWs nicht mehr supportet werden.

Entscheide dich für einen Virenscanner mit Wächter im Hintergrund, zwei oder mehrere Hintergrundwächter bremsen unnötig das System aus, können sich gegenseitig die Quere kommen und somit den Virenschutz aushebeln.

Ansonsten seh ich keine bösen Einträge im HJT-Log. Hast du schon was gefixt? Dann reich bitte das gestrige Logfile noch nach.
Imho wäre es auch mal recht sinnvoll, wenn du das System mit eScan mal checkst, folge dem Link in meiner Signatur. Hintergrundwächter vorher bitte ausschalten.

Ok, was würdest da als PFWs momentan empfehlen? Sollte ich auch noch die Windows Firewall aktivieren als doppelten Schutz (mit link-block hab ich übrigens eh schon fast alle unnötigen Dienste und Ports abgestellt). Die PFW ist mehr für mich informativ damit ich sehe wer so nach Hause telefonieren will.


Ok mache ich. Deaktivere ich den Wächter von Bitdefender.

Oh, das klingt ja schonmal erfreulich. Scheinbar läuft also auf meinen PC noch keine Schadsoftware. Ich hoffe das ich jetzt irgendwie um ein Frischaufsetzen rumkomme wenn die Scanner und Spyware Prüftools nicht mehr anschlagen.

Ja ich hab halt die gefunden Dateien, gelöscht, SWH rausgenommen und Kazaa rausgeworfen. e-Scan mache ich.

Kann es sein das ich mir die TR/Agent.CME beim surfen mit Firefox eingefangen habe? Am Freitag ist mir nämlich beim surfen ein FF Fenster irgendwie komisch abgeraucht. Und dann hatte abends (als ich Win RAR benutzt habe) ich in der Sygate Firewall ne komische Meldung von wegen Applikation Hijacking WinRAR das wollte angeblich auf "update.bitdefender.com" und "edge.quantserver.com" zugreifen.

Da bin ich erst mistrauisch geworden und habe mal alles gescannt. Wobei mir ddas mit dem WinRAR und der Sygate Meldung komisch vorkamm.

Das gestrige HJT Log kann ich nochmal posten.

HJT von gestern (heute Nacht ;) )
==============================================
Logfile of HijackThis v1.99.1
Scan saved at 01:44:39, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\LTSMMSG.exe
D:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ezSP_Px.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\mozilla.org\Firefox\firefox.exe
D:\TEMP\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight_5_1\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight_5_1\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight_5_1\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: concept/design's onlineTV - {9D388831-2E54-4BC5-A848-B1B234363B66} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h***://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: h***://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185563167187
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Ich kann dir keine empfehlen, da ich von derartiger Software nichts halte.

Was heißt hier doppelter Schutz, viel hilft viel? Das ist doch Murks, genauso wie das gleichzeitige Verwenden von zwei Virenscanner mit Hintergrundwächtern...
Weniger ist da mehr! Die Sicherheit wird nämlich nicht von der Summe der Sicherheitstools erhöht, diese sind eher optional, andere Maßnahmen sind da viel wichtiger.
Wenn du mich fragst, die Windows-Firewall reicht völlig aus, eine andere PFW bedarf es da nicht.

Das mag ja sein, aber es gibt genug Programme und auch Schädlinge die an der PFW vorbei kommunizieren oder Daten Huckepack über einen legitimen Prozess versenden. Wenn dir das Thema Phonehome wichtig ist, dann ist eine PFW alleine einfach nicht ausreichend, du musst dich umfassend informieren, welche Software wohin will. Wie gesagt, wenn es dir so wichtig ist...
BTW: Die PFW ZoneAlarm telefonierte selber mal nach Hause (keien Ahnung ob sies immer noch macht). Allein dann ist es doch schon fragwürdig mit einer PFW Phonehome kontrollieren zu wollen, wenn man nicht mal weiß, ob die PFW es selber macht.
Da gibts noch mehr was gegen eine PFW spricht, aber ich lass es mal gut sein jetzt :heilig:

Möglich isses, aber ob FF die Schuld hat glaub ich weniger. Wenn du auf eine Seite surfst und dir Dateien runterlädst und ausführst kannst du dem Firefox nicht verantwortlich machen, denn der führt sowas von alleine nicht aus ;) das musst du schon selber machen.
Hast du den denn immer aktuell?

Warten wir auf eScan ab, dann können wir wohl mehr sagen.

So hier mal die Ausgabe von e-Scan. Habe die Datei mwavscan.com übrigens per Hand in meinem Temporären User Dir starten müssen da Startmenü > Ausführen > mwavscan.com nicht ging

Wir ja doch mehr gefunden als bei Antivir, Bitdefender oder F-Secure. :(


=================================================


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\user\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "cydoor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion

vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion

vorgenommen.
Object "whenu.weathercast Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine

Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion

vorgenommen.
Object "whenu.weathercast Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine

Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine

Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine

Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine

Aktion vorgenommen.
System found infected with adware.7000n Spyware/Adware (twain_16.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (cd_clint.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Adware (C:\WINDOWS\system32\cd_clint.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\Games\Amiga\Games\Hanse\hanse\tfmx.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine

Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Download\dbox\tools\vnc-3.3.7-x86_win32.exe//data0002 markiert als

not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
File D:\Download\Tools\getrt45d.exe//WISE0087.BIN markiert als "not-a-virus:AdWare.Win32.Gator.1050". Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Download\Tools\Pstools\psexec.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.153". Folgende Maßnahme

wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Download\Tools\Pstools\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme

wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Download\Tools\Pstools.zip/pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.153". Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Programme\KaZaA Lite\TopSearch.dll markiert als "not-a-virus:AdWare.Win32.Altnet.o". Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Datei D:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.
File D:\Programme\Netscape\Communicator\Program\Plugins\nponflow.dll markiert als

"not-a-virus:AdWare.Win32.OnFlow.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\twain_16.dll
Offending file found: C:\WINDOWS\system32\cd_clint.dll
Offending file found: C:\WINDOWS\system32\cd_clint.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\adsupport_277 !!!
Offending Key found: HKCU\Software\funwebproducts !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start

menu\programs\weathercast !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\trickler !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\weathercast !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key

{c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und

Einstellungen\user\Anwendungsdaten\Thunderbird\Profiles\default\ltb6s9yg.slt\Mail\pop.mail.yahoo.de\spam nicht

gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Rockstar Games\Max Payne 2\MaxPayne2.exe.bak nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 38
Gescannte Dateien: 105614
Gefundene Viren: 0
Gefundene Viren: 23
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 0
Anzahl Fehler: 897
Dauer des Scans bisher: 00:00:02
Dauer des Scans bisher: 01:45:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:20:55,67
Batchende: 20:21:05,07

Ui, wo soll man hier zuerst anfangen? :eek:

Na, legen wir mal los:
Die Meldungen im Logfile unter "Infektionsmeldungen" sind immer etwas mit Vorsicht zu genießen, da eScan hier nach meinen bisherigen Erfahrungen recht viele Fehlalarme meldet. Erschwerend kommt hinzu, dass keine konkrete Pfadangabe gemacht wird :(
Bei dir stehen aber ausschließlich Einträge über Ad- und Spyware ("nur"), da stehen die Chancen recht gut, die mit Spybot S&D wegzubekommen.

Die Datei bitte mal genauer unter die Lupe nehmen, evtl auch bei Virustotal auswerten lassen. Sieht für mich aber eher nach einem Spiel aus und würde es daher erstmal als False-Positive abstempeln.

Weiter unten bei "Tagged Files" würde ich erstmal nur den Kazaa-Eintrag ernst nehmen. Die anderen Einträge weisen nur darauf hin, dass die druchaus legitimen Programme bestimmte Routinen besitzen, die auch von Schädlingen benutzt werden.
Stell sicher, dass Kazaa deinstalliert ist, ggf. den Installationsordner noch manuell löschen.

Die offending files bitte mal bei Virustotal auswerten lassen. Ich vermute hier Spyware-Komponenten, die vllt. auch von Kazaa noch stammen.

Und zu guter letzt wäre eine Übersicht deiner Systemordner sinnvoll:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hier erstmal die angeforderten Listings.

Die betroffenen Dateien die du mir genannt hast werde ich prüfen bei virustotal.

=======================================================
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\

29.07.2007 20:56 804.884.480 hiberfil.sys
29.07.2007 20:56 2.705.326.080 pagefile.sys
29.07.2007 20:12 0 23990098.$$$

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\system32

29.07.2007 20:56 1.158 wpa.dbl
29.07.2007 20:56 3.725 nvapps.xml
29.07.2007 20:45 159.544 FNTCACHE.DAT
14.07.2007 23:15 401.200 perfh009.dat
14.07.2007 23:15 75.194 perfc007.dat
14.07.2007 23:15 415.800 perfh007.dat
14.07.2007 23:15 62.480 perfc009.dat
14.07.2007 23:15 927.614 PerfStringBackup.INI
28.06.2007 00:57 16.256.984 MRT.exe


----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\Prefetch

29.07.2007 21:06 12.490 CMD.EXE-087B4001.pf
29.07.2007 21:06 65.152 WINZIP32.EXE-2F3C90C9.pf
29.07.2007 21:06 77.534 EXPLORER.EXE-082F38A9.pf
29.07.2007 20:59 14.438 NOTEPAD.EXE-336351A9.pf
29.07.2007 20:58 10.600 VERCLSID.EXE-3667BD89.pf
29.07.2007 20:57 72.592 FIREFOX.EXE-0BD6AC56.pf
29.07.2007 20:57 50.968 BDNEWS.EXE-0E71E1C2.pf
29.07.2007 20:57 30.526 WUAUCLT.EXE-399A8E72.pf
29.07.2007 20:57 59.536 RUNDLL32.EXE-2576181F.pf
29.07.2007 20:57 1.376.570 NTOSBOOT-B00DFAAD.pf
29.07.2007 20:53 15.192 RUNDLL32.EXE-2A94BB85.pf
29.07.2007 20:47 11.616 SHUTDOWN.EXE-12DAD820.pf
29.07.2007 20:39 16.496 NWIZ.EXE-2D0F9FBC.pf
29.07.2007 20:34 42.400 BDMCON.EXE-02C6A07F.pf
29.07.2007 20:34 19.480 UPGREPL.EXE-2259EFBF.pf
29.07.2007 20:34 6.192 BDSS.EXE-11B98B2C.pf
29.07.2007 20:28 54.918 BDLITE.EXE-05023748.pf
29.07.2007 20:28 50.026 AVSCAN.EXE-05AECC0E.pf
29.07.2007 20:27 29.872 TASKMGR.EXE-20256C55.pf
29.07.2007 18:11 67.062 SMC.EXE-0B61F84B.pf
29.07.2007 17:59 96.492 ACRORD32.EXE-0EC716D9.pf
29.07.2007 17:51 26.186 ACRORD32INFO.EXE-30CEC19C.pf
29.07.2007 17:42 10.192 MDM.EXE-07915C2C.pf
29.07.2007 16:17 18.594 SVCHOST.EXE-3530F672.pf
29.07.2007 16:17 73.388 IEXPLORE.EXE-2CA9778D.pf
29.07.2007 15:27 19.644 REGSVR32.EXE-25EEFE2F.pf
29.07.2007 11:16 240.200 WINRAR.EXE-3588DFE8.pf
29.07.2007 10:49 35.222 WMIPRVSE.EXE-28F301A9.pf
29.07.2007 10:38 14.222 PFE32.EXE-147EDC6D.pf
29.07.2007 09:29 70.054 WINAMP.EXE-33336262.pf
29.07.2007 09:26 52.906 AVNOTIFY.EXE-22AE9451.pf
29.07.2007 09:11 579.242 Layout.ini
29.07.2007 02:05 18.200 SUSPEND.EXE-237459E4.pf
28.07.2007 22:53 16.500 BACK2LIFE.EXE-2297D77E.pf
28.07.2007 20:04 70.614 WMPLAYER.EXE-0996933A.pf
28.07.2007 20:03 91.214 WMPLAYER.EXE-09969339.pf
28.07.2007 20:02 58.342 WMPLAYER.EXE-0996933B.pf
28.07.2007 20:01 38.126 IMAPI.EXE-0BF740A4.pf
28.07.2007 19:58 11.266 RUNDLL32.EXE-451FC2C0.pf
28.07.2007 19:38 53.940 NERO.EXE-32314E31.pf
28.07.2007 19:20 44.750 AVGNT.EXE-36CA4640.pf
28.07.2007 19:19 41.564 UPDATE.EXE-13D57D76.pf
28.07.2007 19:19 14.184 PREUPD.EXE-358AA1C1.pf
28.07.2007 18:46 151.076 VLC.EXE-04397598.pf
28.07.2007 18:14 63.130 REALPLAY.EXE-39F79CBD.pf
28.07.2007 18:14 19.882 RPHELPERAPP.EXE-1A0D7CAC.pf
28.07.2007 16:50 31.894 VIRTUALDUB.EXE-2E46FB9A.pf
28.07.2007 16:38 64.940 SETUP_WM.EXE-19AC5A9B.pf
28.07.2007 16:05 6.298 TOGETRIGHT.EXE-1054BE25.pf
28.07.2007 16:05 12.284 FLASHGOT.EXE-3371F882.pf
28.07.2007 16:02 37.002 GETRIGHT.EXE-238339FA.pf
28.07.2007 15:58 50.172 DVDLABPRO.EXE-2370E16D.pf
28.07.2007 14:32 55.698 ASFCUT.EXE-018F867B.pf
28.07.2007 14:32 11.816 ASFTOOLS.EXE-09B14C58.pf
28.07.2007 14:09 42.142 JOINER.EXE-1ACEBDC9.pf
28.07.2007 13:17 44.642 LAUNCHAPPLICATION.EXE-37608EED.pf
28.07.2007 13:17 33.214 LTSMMSG.EXE-2E42CB64.pf
28.07.2007 13:17 21.286 SERVIC~1.EXE-22757822.pf
28.07.2007 13:17 3.836 BDNAGENT.EXE-21BFBE0E.pf
28.07.2007 13:17 28.638 DATALAYER.EXE-08722F91.pf
28.07.2007 13:17 9.618 EZSP_PX.EXE-1E169BED.pf
28.07.2007 13:17 20.532 DUMETER.EXE-1E1EC55E.pf
28.07.2007 13:17 28.926 USERINIT.EXE-30B18140.pf
28.07.2007 13:17 5.736 ELBYCHECK.EXE-348F1827.pf
28.07.2007 13:17 5.628 ELBYCHECK.EXE-053A2F7D.pf
28.07.2007 13:17 17.278 RUNDLL32.EXE-31247066.pf
28.07.2007 13:16 15.386 RUNDLL32.EXE-247FE6B9.pf
28.07.2007 13:16 44.046 WGATRAY.EXE-0ED38BED.pf
28.07.2007 13:16 15.850 RUNDLL32.EXE-4A5A9D78.pf
27.07.2007 22:50 34.954 ACDSEE32.EXE-2D662CCB.pf
27.07.2007 21:05 32.978 WUPDMGR.EXE-2F30BEAB.pf
27.07.2007 20:27 50.672 DFRGNTFS.EXE-269967DF.pf
27.07.2007 20:27 15.504 DEFRAG.EXE-273F131E.pf
27.07.2007 20:15 44.674 UDREC.EXE-0ED9A386.pf
27.07.2007 20:11 86.750 DBOX2.EXE-10ED7C07.pf
26.07.2007 21:17 82.816 THUNDERBIRD.EXE-324AF173.pf
26.07.2007 21:14 65.542 TRILLIAN.EXE-010283D0.pf
25.07.2007 20:09 34.526 DIVX PLAYER.EXE-1CD94557.pf
24.07.2007 00:42 16.642 TRUECRYPT.EXE-32E9C10B.pf
23.07.2007 22:21 148.684 HJSPLIT.EXE-1DE0AC8D.pf
21.07.2007 13:30 11.346 CALC.EXE-02CD573A.pf
21.07.2007 10:29 23.366 TOTALCMD.EXE-0E3CA4DA.pf
20.07.2007 19:05 12.914 RUNDLL32.EXE-324CBBD5.pf
20.07.2007 16:03 21.748 DBXRECSTSCHEDULER.EXE-08570BE7.pf
20.07.2007 16:03 20.322 DBXRECSTSHUTDOWN.EXE-287BE123.pf
20.07.2007 13:51 13.196 RUNDLL32.EXE-15356D7B.pf
20.07.2007 09:51 18.326 HIBERNATE.EXE-088F7B7C.pf
19.07.2007 19:14 12.998 RUNDLL32.EXE-1C1A65A5.pf
19.07.2007 00:41 22.028 NGRAB.EXE-1BB1C76F.pf
18.07.2007 23:50 70.240 RESTREAM.EXE-29273B78.pf
18.07.2007 23:43 47.880 WMPLAYER.EXE-09969332.pf
18.07.2007 23:27 68.896 CUTTERMARAN.EXE-39672CAD.pf
18.07.2007 23:26 19.734 RASAUTOU.EXE-18B88A68.pf
18.07.2007 21:52 53.342 COMPILE.AUX-16748FCC.pf
17.07.2007 21:36 51.058 RECOVERMYFILES.EXE-3691A4F2.pf
16.07.2007 20:29 74.432 MSCORSVW.EXE-1BF30400.pf
14.07.2007 23:17 63.406 NGEN.EXE-171CDCC6.pf
14.07.2007 23:16 53.386 UPDATE.EXE-08381C41.pf
14.07.2007 23:16 6.646 NETFXUPDATE.EXE-1BB060FE.pf
14.07.2007 23:16 21.586 WMIADAP.EXE-2DF425B2.pf
14.07.2007 23:16 99.052 MSIEXEC.EXE-2F8A8CAE.pf
14.07.2007 23:16 22.560 GACUTIL.EXE-2736E6B3.pf
14.07.2007 23:15 57.318 SL163.TMP-2471A35A.pf
14.07.2007 23:15 55.406 NDP1.1SP1-KB928366-X86.EXE-1BCF6F8A.pf
14.07.2007 23:15 19.120 LODCTR.EXE-1009C3B4.pf
14.07.2007 23:15 9.600 NGEN.EXE-38021CCC.pf
14.07.2007 23:15 34.288 REGSVCS.EXE-11A17120.pf
14.07.2007 23:15 35.386 ASPNET_REGIIS.EXE-009D6E80.pf
14.07.2007 23:15 20.714 MOFCOMP.EXE-01718E95.pf
14.07.2007 23:14 9.182 REGTLIBV12.EXE-0E2FA54B.pf
14.07.2007 23:12 53.802 NDP20-KB928365-X86.EXE-330A2E76.pf
14.07.2007 23:11 60.920 MRT.EXE-1B4A8D49.pf
14.07.2007 23:11 50.134 MRTSTUB.EXE-04090766.pf
14.07.2007 23:11 52.972 WINDOWS-KB890830-V1.31.EXE-1A1879BB.pf
14.07.2007 23:11 66.782 UPDATE.EXE-2C87E506.pf
14.07.2007 23:11 57.692 UPDATE.EXE-062ED3E9.pf
14.07.2007 23:11 54.514 UPDATE.EXE-0092B32D.pf
14.07.2007 23:10 57.874 UPDATE.EXE-143335D3.pf
14.07.2007 23:10 55.080 UPDATE.EXE-19EBD6A8.pf
14.07.2007 23:08 58.180 UPDATE.EXE-06D2124F.pf
14.07.2007 23:07 55.080 UPDATE.EXE-2E9ABAEC.pf
14.07.2007 23:07 55.080 UPDATE.EXE-2A4E9B26.pf
14.07.2007 23:07 59.810 UPDATE.EXE-1F9ACAAB.pf
14.07.2007 23:06 5.286 SPUPDSVC.EXE-21B36524.pf
14.07.2007 23:06 61.282 UPDATE.EXE-0F3C310A.pf
14.07.2007 21:27 22.122 PSPCONTENTMANAGER.EXE-0A0C5E29.pf
14.07.2007 16:46 31.160 FLASHGET.EXE-0B7C6B66.pf
13.07.2007 00:04 10.746 RUNDLL32.EXE-268BFF96.pf

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS

29.07.2007 20:56 159 wiadebug.log
29.07.2007 20:56 50 wiaservc.log
29.07.2007 20:56 0 0.log
29.07.2007 20:56 1.168.246 WindowsUpdate.log
29.07.2007 20:56 2.048 bootstat.dat
29.07.2007 20:55 32.612 SchedLgU.Txt
29.07.2007 20:55 485 system.ini
29.07.2007 20:48 550.622 ntbtlog.txt
29.07.2007 18:26 50 Lic.xxx
29.07.2007 17:53 817 win.ini
29.07.2007 16:22 2.786 setupapi.log
21.07.2007 10:29 513 wincmd.ini
21.07.2007 10:29 349 wcx_ftp.ini
02.07.2007 20:24 1.409 QTFont.for
02.07.2007 20:24 54.156 QTFont.qfn
28.06.2007 20:58 3.846 ModemLog_Lucent Technologies Soft Modem AMR.txt


----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\tasks

29.07.2007 20:56 6 SA.DAT
20.07.2007 19:05 258 D-Box Record Startup Scheduler.job
20.07.2007 19:05 186 D-Box Record Shutdown Scheduler.job


----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\temp

29.07.2007 20:56 409 WGANotify.settings
29.07.2007 20:56 66 WGAErrLog.txt
2 Datei(en) 475 Bytes
0 Verzeichnis(se), 9.496.571.904 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp

29.07.2007 21:06 129.648 filelist.txt
29.07.2007 20:15 9.283.260 MWAV.LOG
29.07.2007 20:15 465.736 sfdb.dat
29.07.2007 20:12 141.639 mwXface.log
29.07.2007 18:18 0 success.sem
29.07.2007 18:18 106 IUpdate.ini
29.07.2007 18:18 483 EUpdate.ini
29.07.2007 18:18 10.764 Download.log
29.07.2007 18:18 8.798 update.txt
29.07.2007 18:18 722.728 Dir.sdb
29.07.2007 18:18 1.234.130 Cid.sdb
29.07.2007 18:18 1.141.634 File2.sdb
29.07.2007 18:18 156.848 Spyware.sdb
29.07.2007 18:18 2.064.127 File1.sdb
29.07.2007 18:18 241.357 spydb.old
29.07.2007 18:18 241.357 spydb.avs
29.07.2007 18:18 822 remove.ini
29.07.2007 18:18 225 httpsite.txt
29.07.2007 18:18 5.141 filelist.lst
29.07.2007 18:18 109 ftpsites.txt
29.07.2007 18:18 49.566 ext005.avx
29.07.2007 18:18 49.566 ext005.avc
29.07.2007 18:18 47.424 ext004.avc
29.07.2007 18:18 47.424 ext004.avx
29.07.2007 18:18 47.415 ext003.avx
29.07.2007 18:18 47.415 ext003.avc
29.07.2007 18:18 3.679 dailyc.avc
29.07.2007 18:18 49.189 daily.avc
29.07.2007 18:18 2.645 daily-ex.avc
29.07.2007 18:18 2.645 daily-ex.avx
29.07.2007 18:18 886 daily-ec.avc
29.07.2007 18:18 24.313 avp.klb
29.07.2007 18:09 626.688 msvcr80.dll
29.07.2007 18:09 548.864 msvcp80.dll
29.07.2007 18:09 241.664 MYDB.DLL
28.07.2007 17:07 32.756 fa.avc
28.07.2007 17:07 13.539 ext999.avc
28.07.2007 17:07 78.792 ca.avc
28.07.2007 17:07 11.907 ext009.avc
28.07.2007 17:07 49.140 unp037.avc
28.07.2007 17:07 37.383 unp031.avc
28.07.2007 17:07 42.215 unp022.avc
28.07.2007 17:07 30.279 unp024.avc
28.07.2007 17:07 65.450 unp023.avc
28.07.2007 17:07 42.415 unp018.avc
28.07.2007 17:07 37.859 unp020.avc
28.07.2007 17:07 117.466 base145.avc
28.07.2007 17:07 48.853 base091.avc
28.07.2007 17:07 53.020 base095.avc
28.07.2007 17:07 42.394 ext003c.avc
28.07.2007 17:07 19.089 fa001.avc
28.07.2007 17:07 122.167 base030c.avc
28.07.2007 16:20 38.400 unregx.exe
28.07.2007 16:16 161.792 esupdate.exe
28.07.2007 16:15 118.784 avpmhook.dll
28.07.2007 15:48 1.945.600 msvl64.dll
28.07.2007 15:44 43.520 setpriv.exe
28.07.2007 15:44 418.368 mwavscan.com
28.07.2007 15:44 418.368 mexe.com
28.07.2007 15:42 143.360 msvlclnt.dll
28.07.2007 15:38 44.096 Getvlist.exe
27.07.2007 12:46 49.169 ext006.avc
27.07.2007 12:46 48.547 ext001.avc
27.07.2007 12:46 8.376 krn003.avc
27.07.2007 12:46 35.209 krn004.avc
26.07.2007 10:31 41.656 unp038.avc
26.07.2007 10:31 25.778 unp004.avc
26.07.2007 10:31 52.126 unp005.avc
26.07.2007 10:31 4.930 base999.avc
26.07.2007 10:31 50.079 base137.avc
26.07.2007 10:31 49.623 base001.avc
26.07.2007 10:31 49.738 base112.avc
24.07.2007 23:40 49.598 ext007.avc
24.07.2007 23:40 48.659 unp013.avc
24.07.2007 23:40 49.676 base117.avc
24.07.2007 23:40 49.165 base032.avc
24.07.2007 23:40 49.566 ext001c.avc
24.07.2007 23:40 37.482 krnjava.avc
21.07.2007 18:03 91.298 Chinese.Age
21.07.2007 18:03 110.178 Icelandic.Age
21.07.2007 18:03 115.002 Polish.Age
21.07.2007 18:03 111.897 Finnish.Age
21.07.2007 18:03 116.336 French.Age
21.07.2007 18:03 115.121 Spanish.Age
21.07.2007 18:03 114.940 Spanishl.Age
21.07.2007 18:03 110.860 Romanian.Age
21.07.2007 18:03 114.358 Portuguese.Age
21.07.2007 18:03 122.452 Italian.Age
21.07.2007 18:03 124.890 language.ini
21.07.2007 18:03 124.890 German.Age
21.07.2007 17:54 63.011 unp035.avc
21.07.2007 17:54 50.174 base143.avc
20.07.2007 18:08 175.968 phupdn.txt
20.07.2007 17:57 18.427 global.daz
20.07.2007 17:57 52.216 phupdn.txz
20.07.2007 17:13 49.604 base029.avc
18.07.2007 15:24 48.642 ext008.avc
18.07.2007 15:24 46.810 unp036.avc
18.07.2007 15:24 58.775 unp019.avc
18.07.2007 15:24 23.499 unp000.avc
18.07.2007 15:24 48.410 ext002c.avc
17.07.2007 16:04 384.512 MDownload.exe
17.07.2007 13:06 51.827 English.Age
12.07.2007 18:35 3.361 avp.set
12.07.2007 18:35 3.361 avp_ext.set
12.07.2007 18:35 42.264 unp032.avc
12.07.2007 18:35 50.722 base144.avc
12.07.2007 18:35 50.179 base029c.avc
12.07.2007 18:35 50.024 base028c.avc
10.07.2007 12:32 120.747 krnunp.avc
09.07.2007 16:31 64.662 unp016.avc
07.07.2007 14:43 21.684 gen005.avc
07.07.2007 14:43 23.916 unp021.avc
07.07.2007 14:43 49.550 base031.avc
05.07.2007 10:05 49.792 unp030.avc
03.07.2007 10:06 55.694 unp006.avc
03.07.2007 10:06 50.255 base142.avc
03.07.2007 10:06 50.270 base027c.avc
02.07.2007 16:29 14.400 faristream.ppl
02.07.2007 16:29 14.912 farbuffer.ppl
02.07.2007 16:28 135.168 ScanningProcess.exe
02.07.2007 16:28 65.536 ikave.dll
02.07.2007 16:27 274.432 kave.dll
29.06.2007 20:19 48.230 unp033.avc
28.06.2007 15:06 7.618 smart.avc
27.06.2007 10:13 36.561 unp025.avc
26.06.2007 20:02 8.782 Chinese.con
25.06.2007 09:59 53.129 unp008.avc
25.06.2007 09:59 57.866 unp015.avc
25.06.2007 09:59 75.929 unp007.avc
25.06.2007 09:59 49.942 base141.avc
25.06.2007 09:59 50.079 base140.avc
25.06.2007 09:59 49.632 base024.avc
25.06.2007 09:59 50.558 base136.avc
25.06.2007 09:59 50.062 base026c.avc
25.06.2007 09:59 50.265 base012c.avc

1. Scan der 3 Offending Files
So ich hab die 3 offending Dateien checken lassen bei Virustotal

tfmx.exe -> Keine Meldung
twain_16.dll -> Keine Meldung
CD_CLINT.DLL -> Keine Meldung

2. Kazaa Lite gelöscht
Den Ordner von Kazaa Lite habe ich einfach gelöscht. Der Deinstaller hat wohl nur das "normale "Kaaza deinstalliert. Jedenfalls ist das jetzt alles weg.

3. Spyware/Adware
Komisch das da noch soviel da ist. Ich hab vorhin mal Spybot im abgesicherten Modus laufen lassen und da wurden nur ein paar Firefox Cookies entfernt und die 3 von mir deaktivierten Windowsnotifications angemeckert (Firewall, AV Programm Autoupdate).

Was mir richtig Sorgen gemacht hat war das:

Ist das Ding besonders gefährlich? Soll ich es nochmal mit Spybot probieren bzw. gibt es noch andere gute Spyware Entferner?

4. Virus in einem sent Folder gemeldet im escan Fenster?
Übrigens stand im Fenster bei e-Scan noch das:
Das tauchte gar nicht im hier erstellen e-scan log auf?
Ist aber eine uralte Mail? Keine Ahnung ob das von Relevanz ist. Bitdefender hat die auch gefunden?
:confused:

Wie ich schon sagte, eScan erzeugt beim Scannen der Registry sehr viele Fehlalarme. Fütter mal Google mit dem String e0e899ab-f487-11d5-8d29-0050ba6940e3, dann landest du z.B. hier, scheint also was von Flashget zu sein. Flashget hattest du doch doch oder?

Das brauchst du nicht weiter enrst zu nehmen. Da wurde in deiner Mailbox wohl nur eine Mail erkannt, die mit einem Mailwurm daherkam - wahrscheinlich ist die Mail auch schon längst gelöscht, den Wurmanhang hast du bestimmt nicht ausgeführt.
Wenn du Mails in Thunderbird löscht, also aus dem Papierkorb entfernst, werden die nicht wirklich gelöscht, sondern nur als gelöscht markiert. Wirklich löschen tust du die wenn du die Ordner im Thunderbird ab und zu mal "komprimierst".

Erstmal vielen Dank für deine tolle Unterstützung und Hilfe bis jetzt. :daumenhoc

Ja Flashget habe ich auch schon länger drauf. Kann ich deinstallieren wenn es sein muss.
Nein, hab ich natürlich niemals ausgeführt. :)


Kann ich jetzt langsam aufatmen das mein System ok ist sprich muss ich jetzt komplett neuaufsetzen? Die System Datein der letzten 30 Tage waren doch ok oder? Was würdest du mir raten sollte ich noch machen?

Ich werde jetzt halt nochmal Ad-Aware drüberlaufen lassen und morgen nochmal den CWShredder. Schon blöd das Spybot die Sachen nicht wegkriegt.

Nach dieser doch schon recht umfangreichen Analyse gehe ich davon aus, dass dein System nicht kompromittiert ist!

Oh, da bin ich ja schon mal wieder ein bischen optimistischer. :)

Ok, ich werde dann mal noch die Tage die besagten Spy-Ad-Ware Remover Tools drüberlaufen lassen. Hoffe ich kriege da die übrigen Spyware Sachen noch irgendwie weg, wenn die es nicht hinkriegen ist es hoffentlich keine allzu grosse Problematik wenn die drauf bleibe hoffe ich?

Scheint ja so das Antivir auch die TR/Agent "Spoonuninstaller.exe" erfolgreich rausgelöscht hat und anscheinend hat der ja wohl auch keine neue Spyware nachgeladen oder installiert. Das Ding war ja eigentlich der Aufhänger warum ich mich hier bei eurem tollen Board gemeldet habe. ;)

Nochmal vielen, vielen Dank für die ausführliche Hilfe und die Analyse. Ich gehe heute schon etwas ruhiger schlafen als gestern Abend. :daumenhoc

Guten Abend !

Worüber ich mich nun bereits 2 Tage wunder:
Dieser TR taucht unter etlichen verschiedenen
Namen auf seit 2 - 3 Tagen.
Auf unterschiedlichsten Wegen konnte der "Feind"
besiegt werden, ist aber sozusagen immer wieder
auferstanden. :(
AntiVir findet den TR nach erfolgtem Update nicht
mehr.
Ad-Aware findet den Rüpel noch immer. :(
Alles bissl unerklärlich.
Und: Auf welchem Wege hat sich der TR nun
tatsächlich eingeschlichen ? :(
Bei mir liegt die Vermutung nahe das nicht AntiVir die
Ursache war, sondern vielmehr TuneUp. :mad: :mad:

Hab heute eine Antwort bekommen von Avira (antivir) wegen der Datei mit TR/Agent.CME die ich dort eingesendet hatte mit Prüfung auf False Positive

Hoffe mal damit ist das Ding geklärt, denke ich. Zwar war die originale Datei in C:\windows/system32\spoonuninstaller (die wurde ja zuerst als TR/Agent.CME gefunden), aber ich hoffe mal das die 'A0391979.exe' aus der SWH einfach nur ein Sicherung der spoonuninstaller war (die hatte ich ja leider sofort gelöscht) und auch die false positive war. :)

@cosinus
Übrigens hatte ich versucht die Spyware zu entfernen die escan gestern meldete. Leider hat sowohl spybot als auch ad-aware 2007 nur noch Cookies in FF Mozilla gefunden. Ist es ein Problem das die paar Spy/Adware Sachen noch laut e-scan da sind?

Wie ich schon erwähnte, die Einträge von eScan unter Infektionsmeldungen, wo bei dir ne Menge Ad- und Spyware angeblich angezeigt wird, würde ich nicht ganz so ernst nehmen, da eScan dort nach meinen bisherigen Erfahrungen recht viele Fehlalarme erzeugt.

moin moin leute...hab ma ne frage...ich hab als antivirenprogramm McAffee und immer wenn ich einen scan durchgeführt habe, dann werden mir die folgenden cookies als möglicherweise unerwünschte programme angezeigt:cookie 207...cookie atwola...cookie adtech...und cookie adsolution...und nachdem ich diese entfernt hab und nach ein paar tagen einen neuen scan gemacht hab, werden mir diese dateien wieder als möglicherweise unerwünschte programme angezeigt...wollte nur mal fragen wie ich die endgültig von meinem pc gelöscht bekommen???

Also jetzt wird es merkwürdig. Die Dateien die von e-Scan in meinem lokaeln User temporären Verzeichniss entpackt wurden mir jetzt als Virus gemeldet von Bitdefender!

Virustotal sagt zu den gefunden beiden Dateien:

Jotti meldet
Habe eben nochmal die mwav.exe 9.3.5 Installer Datei entpackt und es werden wieder die o.g. beiden Dateien entpackt und von Bitdefender gemeldet? Also waren die im Installer schon so mit drin.

Ist das normal? Macht mir irgendwie Sorgen mache das eScan hier als Virus gefunden wird? Das verstehe ich nicht? Hoffentlich sind das nur Fehlalarme. :eek:

Lass dich davon nicht irritieren, das sind Fehlalarme :daumenhoc
Oder glaubst du, wir würden dir hier Virenscanner aufdrücken, die selber mit Schädlingen daherkommen? ;)

Puh, da bin ich aber beruhigt. :daumenhoc

Ärgerlich das manche Antiviren Hersteller anscheinend eScan Dateien mit einem Trojaner verwechseln.

Na, das werden die mit ziemlicher Sicherheit nicht absichtlich machen. Fehlalarme von Virenscanner werden immer prinzipielle Schwächen bleiben...