Hi,
danke erst mal für die schnelle Antwort

Hier das HJT

Logfile of HijackThis v1.99.1
Scan saved at 14:32, on 2007-07-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Software\Spyware Doctor\svcntaux.exe
C:\Software\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Software\Spyware Doctor\SDTrayApp.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Arovax Shield\ArovaxShield.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\Control.exe
C:\Software\ArchiCryptShredder3\ACSecureDZone.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Vidalia\vidalia.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\Privoxy\privoxy.exe
C:\Programme\Tor\tor.exe
C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Software\Mozilla Firefox\firefox.exe
E:\Foxmail\Foxmail.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Arovax Shield] C:\Programme\Arovax Shield\ArovaxShield.exe -tray
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Software\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [SecureDZone] C:\Software\ArchiCryptShredder3\ACSecureDZone.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183460150406
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programme\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Software\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Software\Spyware Doctor\swdsvc.exe

----

Das Programm, das er meldet heißt DR/PSW (E:/System Volume Information \ restore...RP40\A0005324.exe)

Danke schon mal fürs drüberschauen
LG cIInc

Zitat:

Zitat von cIInc

Das Programm, das er meldet heißt DR/PSW (E:/System Volume Information \ restore...RP40\A0005324.exe)

Das entfernst du einfach indem du die Systemwiederherstellung deaktivierst, den Rechner für nen Augenblick auslässt und wieder hochfährst. Danach kannst du die SWH auch wieder aktivieren.


Dein Log sieht sauber aus, allerdings ein paar Bemerkungen: 2 Antivirenprogramme sind zb absolut überflüssig. 1 ist vollkommen ausreichend.
In diesem Fall sind die Programme wohl kompatibel, sonst kann man sich mit 2 solchen Programmen den Rechner total zerschießen.
Du hast a-squared aufm Rechner? Hast du das in letzter Zeit zufällig mal durchlaufen lassen? Ohne Befunde?

Ansonsten würde ich mal denken, dass du sauber bist.

lg myrtille

Das mit der SWH habe ich jetzt gemacht. Habe nochmal Avira drüber laufen lassen und die Meldung auf E war jetzt weg. A-squared habe ich gestern und heute gucken lassen, allerdings ohne Fund. Auch AVG fand nichts.
Läuft jetzt gerade noch ein escan und der zeigt mir plötzlich 6 Tojaner an
Bisher hat er das hier gefunden

1.) Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
2.) Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
3.) Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
4.) Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
5.) Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
6.) Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt

Vielleicht ist das ja auch nur ein Scherz von Esan, damit ich mir die Vollversion kaufe

Hast Du einen Tipp wie ich die Biester wieder los werde??


Danke
LG cIInc

Deswegen eScan nur unter Beausichtigung eines Forumsmitglied durchführen

Das sind falsepositives, eScan hat die lustige Idee alle Dateien, die denselben Namen wie Malwaredateien haben ebenfalls als Malware zu identifizieren. Das ist in 90% der Fälle Blödsinn, sorgt aber gelegentlich dafür, dass was gefunden wird, was sonst übersehen worden wäre.

Lasse bitte noch die find.bat durchlaufen, damit ich sehen kann, welche Dateien bemängelt werden. So lässt sich nur schwer sagen, ob es ein Fehlalarm ist oder Befall.

lg myrtille

Hi,
ich glaube, Du hattest recht mit den false positves, es betrifft folgende Dateien

1.) C:Windows\rundl16.exe
2.) ....rundl32.exe
3.) ... vcmgcd32.dll
4.).....logo_1.exe
5.) ....iifgfgf.dll
6.) ... ztsz.exe

ich hatte heute nochmal einen Scan mit counterspy gemacht und der hat mir diese 6 Dateien (Ordner sind leer) angeigt. Das sind doch, wenn ich das richtig verstanden habe, die Ordner, die Escan beim Scanvorgang anlegt??

Ich glaube, ich bin clean

LG cIInc

Zitat:

Zitat von cIInc

Das sind doch, wenn ich das richtig verstanden habe, die Ordner, die Escan beim Scanvorgang anlegt??

Yep. Ich weiß nicht, was diese Unsitte von escan soll . Gruß

wenn man´s weiß, ist es ja gut, aber erst mal die Leutchen in Panik versetzen...tsss

Vielen lieben Dank für eure Hilfe
LG und schönes WE
cIInc