So hier mal die Ausgabe von e-Scan. Habe die Datei mwavscan.com übrigens per Hand in meinem Temporären User Dir starten müssen da Startmenü > Ausführen > mwavscan.com nicht ging

Wir ja doch mehr gefunden als bei Antivir, Bitdefender oder F-Secure.


=================================================


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\user\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "cydoor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion

vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion

vorgenommen.
Object "whenu.weathercast Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine

Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion

vorgenommen.
Object "whenu.weathercast Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine

Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine

Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine

Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine

Aktion vorgenommen.
System found infected with adware.7000n Spyware/Adware (twain_16.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (cd_clint.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Adware (C:\WINDOWS\system32\cd_clint.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\Games\Amiga\Games\Hanse\hanse\tfmx.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine

Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Download\dbox\tools\vnc-3.3.7-x86_win32.exe//data0002 markiert als

not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
File D:\Download\Tools\getrt45d.exe//WISE0087.BIN markiert als "not-a-virus:AdWare.Win32.Gator.1050". Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Download\Tools\Pstools\psexec.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.153". Folgende Maßnahme

wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Download\Tools\Pstools\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme

wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Download\Tools\Pstools.zip/pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.153". Folgende

Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Programme\KaZaA Lite\TopSearch.dll markiert als "not-a-virus:AdWare.Win32.Altnet.o". Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Datei D:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen.
File D:\Programme\Netscape\Communicator\Program\Plugins\nponflow.dll markiert als

"not-a-virus:AdWare.Win32.OnFlow.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\twain_16.dll
Offending file found: C:\WINDOWS\system32\cd_clint.dll
Offending file found: C:\WINDOWS\system32\cd_clint.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\adsupport_277 !!!
Offending Key found: HKCU\Software\funwebproducts !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start

menu\programs\weathercast !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\trickler !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\weathercast !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key

{c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und

Einstellungen\user\Anwendungsdaten\Thunderbird\Profiles\default\ltb6s9yg.slt\Mail\pop.mail.yahoo.de\spam nicht

gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Rockstar Games\Max Payne 2\MaxPayne2.exe.bak nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 38
Gescannte Dateien: 105614
Gefundene Viren: 0
Gefundene Viren: 23
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 0
Anzahl Fehler: 897
Dauer des Scans bisher: 00:00:02
Dauer des Scans bisher: 01:45:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:20:55,67
Batchende: 20:21:05,07

Ui, wo soll man hier zuerst anfangen?

Na, legen wir mal los:
Die Meldungen im Logfile unter "Infektionsmeldungen" sind immer etwas mit Vorsicht zu genießen, da eScan hier nach meinen bisherigen Erfahrungen recht viele Fehlalarme meldet. Erschwerend kommt hinzu, dass keine konkrete Pfadangabe gemacht wird
Bei dir stehen aber ausschließlich Einträge über Ad- und Spyware ("nur"), da stehen die Chancen recht gut, die mit Spybot S&D wegzubekommen.

Zitat:

Datei D:\Games\Amiga\Games\Hanse\hanse\tfmx.exe infiziert von "Exe.Corrupted" Virus

Die Datei bitte mal genauer unter die Lupe nehmen, evtl auch bei Virustotal auswerten lassen. Sieht für mich aber eher nach einem Spiel aus und würde es daher erstmal als False-Positive abstempeln.

Weiter unten bei "Tagged Files" würde ich erstmal nur den Kazaa-Eintrag ernst nehmen. Die anderen Einträge weisen nur darauf hin, dass die druchaus legitimen Programme bestimmte Routinen besitzen, die auch von Schädlingen benutzt werden.
Stell sicher, dass Kazaa deinstalliert ist, ggf. den Installationsordner noch manuell löschen.

Zitat:

Offending file found: C:\WINDOWS\twain_16.dll
Offending file found: C:\WINDOWS\system32\cd_clint.dll

Die offending files bitte mal bei Virustotal auswerten lassen. Ich vermute hier Spyware-Komponenten, die vllt. auch von Kazaa noch stammen.

Und zu guter letzt wäre eine Übersicht deiner Systemordner sinnvoll:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hier erstmal die angeforderten Listings.

Die betroffenen Dateien die du mir genannt hast werde ich prüfen bei virustotal.

=======================================================
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\

29.07.2007 20:56 804.884.480 hiberfil.sys
29.07.2007 20:56 2.705.326.080 pagefile.sys
29.07.2007 20:12 0 23990098.$$$

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\system32

29.07.2007 20:56 1.158 wpa.dbl
29.07.2007 20:56 3.725 nvapps.xml
29.07.2007 20:45 159.544 FNTCACHE.DAT
14.07.2007 23:15 401.200 perfh009.dat
14.07.2007 23:15 75.194 perfc007.dat
14.07.2007 23:15 415.800 perfh007.dat
14.07.2007 23:15 62.480 perfc009.dat
14.07.2007 23:15 927.614 PerfStringBackup.INI
28.06.2007 00:57 16.256.984 MRT.exe


----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\Prefetch

29.07.2007 21:06 12.490 CMD.EXE-087B4001.pf
29.07.2007 21:06 65.152 WINZIP32.EXE-2F3C90C9.pf
29.07.2007 21:06 77.534 EXPLORER.EXE-082F38A9.pf
29.07.2007 20:59 14.438 NOTEPAD.EXE-336351A9.pf
29.07.2007 20:58 10.600 VERCLSID.EXE-3667BD89.pf
29.07.2007 20:57 72.592 FIREFOX.EXE-0BD6AC56.pf
29.07.2007 20:57 50.968 BDNEWS.EXE-0E71E1C2.pf
29.07.2007 20:57 30.526 WUAUCLT.EXE-399A8E72.pf
29.07.2007 20:57 59.536 RUNDLL32.EXE-2576181F.pf
29.07.2007 20:57 1.376.570 NTOSBOOT-B00DFAAD.pf
29.07.2007 20:53 15.192 RUNDLL32.EXE-2A94BB85.pf
29.07.2007 20:47 11.616 SHUTDOWN.EXE-12DAD820.pf
29.07.2007 20:39 16.496 NWIZ.EXE-2D0F9FBC.pf
29.07.2007 20:34 42.400 BDMCON.EXE-02C6A07F.pf
29.07.2007 20:34 19.480 UPGREPL.EXE-2259EFBF.pf
29.07.2007 20:34 6.192 BDSS.EXE-11B98B2C.pf
29.07.2007 20:28 54.918 BDLITE.EXE-05023748.pf
29.07.2007 20:28 50.026 AVSCAN.EXE-05AECC0E.pf
29.07.2007 20:27 29.872 TASKMGR.EXE-20256C55.pf
29.07.2007 18:11 67.062 SMC.EXE-0B61F84B.pf
29.07.2007 17:59 96.492 ACRORD32.EXE-0EC716D9.pf
29.07.2007 17:51 26.186 ACRORD32INFO.EXE-30CEC19C.pf
29.07.2007 17:42 10.192 MDM.EXE-07915C2C.pf
29.07.2007 16:17 18.594 SVCHOST.EXE-3530F672.pf
29.07.2007 16:17 73.388 IEXPLORE.EXE-2CA9778D.pf
29.07.2007 15:27 19.644 REGSVR32.EXE-25EEFE2F.pf
29.07.2007 11:16 240.200 WINRAR.EXE-3588DFE8.pf
29.07.2007 10:49 35.222 WMIPRVSE.EXE-28F301A9.pf
29.07.2007 10:38 14.222 PFE32.EXE-147EDC6D.pf
29.07.2007 09:29 70.054 WINAMP.EXE-33336262.pf
29.07.2007 09:26 52.906 AVNOTIFY.EXE-22AE9451.pf
29.07.2007 09:11 579.242 Layout.ini
29.07.2007 02:05 18.200 SUSPEND.EXE-237459E4.pf
28.07.2007 22:53 16.500 BACK2LIFE.EXE-2297D77E.pf
28.07.2007 20:04 70.614 WMPLAYER.EXE-0996933A.pf
28.07.2007 20:03 91.214 WMPLAYER.EXE-09969339.pf
28.07.2007 20:02 58.342 WMPLAYER.EXE-0996933B.pf
28.07.2007 20:01 38.126 IMAPI.EXE-0BF740A4.pf
28.07.2007 19:58 11.266 RUNDLL32.EXE-451FC2C0.pf
28.07.2007 19:38 53.940 NERO.EXE-32314E31.pf
28.07.2007 19:20 44.750 AVGNT.EXE-36CA4640.pf
28.07.2007 19:19 41.564 UPDATE.EXE-13D57D76.pf
28.07.2007 19:19 14.184 PREUPD.EXE-358AA1C1.pf
28.07.2007 18:46 151.076 VLC.EXE-04397598.pf
28.07.2007 18:14 63.130 REALPLAY.EXE-39F79CBD.pf
28.07.2007 18:14 19.882 RPHELPERAPP.EXE-1A0D7CAC.pf
28.07.2007 16:50 31.894 VIRTUALDUB.EXE-2E46FB9A.pf
28.07.2007 16:38 64.940 SETUP_WM.EXE-19AC5A9B.pf
28.07.2007 16:05 6.298 TOGETRIGHT.EXE-1054BE25.pf
28.07.2007 16:05 12.284 FLASHGOT.EXE-3371F882.pf
28.07.2007 16:02 37.002 GETRIGHT.EXE-238339FA.pf
28.07.2007 15:58 50.172 DVDLABPRO.EXE-2370E16D.pf
28.07.2007 14:32 55.698 ASFCUT.EXE-018F867B.pf
28.07.2007 14:32 11.816 ASFTOOLS.EXE-09B14C58.pf
28.07.2007 14:09 42.142 JOINER.EXE-1ACEBDC9.pf
28.07.2007 13:17 44.642 LAUNCHAPPLICATION.EXE-37608EED.pf
28.07.2007 13:17 33.214 LTSMMSG.EXE-2E42CB64.pf
28.07.2007 13:17 21.286 SERVIC~1.EXE-22757822.pf
28.07.2007 13:17 3.836 BDNAGENT.EXE-21BFBE0E.pf
28.07.2007 13:17 28.638 DATALAYER.EXE-08722F91.pf
28.07.2007 13:17 9.618 EZSP_PX.EXE-1E169BED.pf
28.07.2007 13:17 20.532 DUMETER.EXE-1E1EC55E.pf
28.07.2007 13:17 28.926 USERINIT.EXE-30B18140.pf
28.07.2007 13:17 5.736 ELBYCHECK.EXE-348F1827.pf
28.07.2007 13:17 5.628 ELBYCHECK.EXE-053A2F7D.pf
28.07.2007 13:17 17.278 RUNDLL32.EXE-31247066.pf
28.07.2007 13:16 15.386 RUNDLL32.EXE-247FE6B9.pf
28.07.2007 13:16 44.046 WGATRAY.EXE-0ED38BED.pf
28.07.2007 13:16 15.850 RUNDLL32.EXE-4A5A9D78.pf
27.07.2007 22:50 34.954 ACDSEE32.EXE-2D662CCB.pf
27.07.2007 21:05 32.978 WUPDMGR.EXE-2F30BEAB.pf
27.07.2007 20:27 50.672 DFRGNTFS.EXE-269967DF.pf
27.07.2007 20:27 15.504 DEFRAG.EXE-273F131E.pf
27.07.2007 20:15 44.674 UDREC.EXE-0ED9A386.pf
27.07.2007 20:11 86.750 DBOX2.EXE-10ED7C07.pf
26.07.2007 21:17 82.816 THUNDERBIRD.EXE-324AF173.pf
26.07.2007 21:14 65.542 TRILLIAN.EXE-010283D0.pf
25.07.2007 20:09 34.526 DIVX PLAYER.EXE-1CD94557.pf
24.07.2007 00:42 16.642 TRUECRYPT.EXE-32E9C10B.pf
23.07.2007 22:21 148.684 HJSPLIT.EXE-1DE0AC8D.pf
21.07.2007 13:30 11.346 CALC.EXE-02CD573A.pf
21.07.2007 10:29 23.366 TOTALCMD.EXE-0E3CA4DA.pf
20.07.2007 19:05 12.914 RUNDLL32.EXE-324CBBD5.pf
20.07.2007 16:03 21.748 DBXRECSTSCHEDULER.EXE-08570BE7.pf
20.07.2007 16:03 20.322 DBXRECSTSHUTDOWN.EXE-287BE123.pf
20.07.2007 13:51 13.196 RUNDLL32.EXE-15356D7B.pf
20.07.2007 09:51 18.326 HIBERNATE.EXE-088F7B7C.pf
19.07.2007 19:14 12.998 RUNDLL32.EXE-1C1A65A5.pf
19.07.2007 00:41 22.028 NGRAB.EXE-1BB1C76F.pf
18.07.2007 23:50 70.240 RESTREAM.EXE-29273B78.pf
18.07.2007 23:43 47.880 WMPLAYER.EXE-09969332.pf
18.07.2007 23:27 68.896 CUTTERMARAN.EXE-39672CAD.pf
18.07.2007 23:26 19.734 RASAUTOU.EXE-18B88A68.pf
18.07.2007 21:52 53.342 COMPILE.AUX-16748FCC.pf
17.07.2007 21:36 51.058 RECOVERMYFILES.EXE-3691A4F2.pf
16.07.2007 20:29 74.432 MSCORSVW.EXE-1BF30400.pf
14.07.2007 23:17 63.406 NGEN.EXE-171CDCC6.pf
14.07.2007 23:16 53.386 UPDATE.EXE-08381C41.pf
14.07.2007 23:16 6.646 NETFXUPDATE.EXE-1BB060FE.pf
14.07.2007 23:16 21.586 WMIADAP.EXE-2DF425B2.pf
14.07.2007 23:16 99.052 MSIEXEC.EXE-2F8A8CAE.pf
14.07.2007 23:16 22.560 GACUTIL.EXE-2736E6B3.pf
14.07.2007 23:15 57.318 SL163.TMP-2471A35A.pf
14.07.2007 23:15 55.406 NDP1.1SP1-KB928366-X86.EXE-1BCF6F8A.pf
14.07.2007 23:15 19.120 LODCTR.EXE-1009C3B4.pf
14.07.2007 23:15 9.600 NGEN.EXE-38021CCC.pf
14.07.2007 23:15 34.288 REGSVCS.EXE-11A17120.pf
14.07.2007 23:15 35.386 ASPNET_REGIIS.EXE-009D6E80.pf
14.07.2007 23:15 20.714 MOFCOMP.EXE-01718E95.pf
14.07.2007 23:14 9.182 REGTLIBV12.EXE-0E2FA54B.pf
14.07.2007 23:12 53.802 NDP20-KB928365-X86.EXE-330A2E76.pf
14.07.2007 23:11 60.920 MRT.EXE-1B4A8D49.pf
14.07.2007 23:11 50.134 MRTSTUB.EXE-04090766.pf
14.07.2007 23:11 52.972 WINDOWS-KB890830-V1.31.EXE-1A1879BB.pf
14.07.2007 23:11 66.782 UPDATE.EXE-2C87E506.pf
14.07.2007 23:11 57.692 UPDATE.EXE-062ED3E9.pf
14.07.2007 23:11 54.514 UPDATE.EXE-0092B32D.pf
14.07.2007 23:10 57.874 UPDATE.EXE-143335D3.pf
14.07.2007 23:10 55.080 UPDATE.EXE-19EBD6A8.pf
14.07.2007 23:08 58.180 UPDATE.EXE-06D2124F.pf
14.07.2007 23:07 55.080 UPDATE.EXE-2E9ABAEC.pf
14.07.2007 23:07 55.080 UPDATE.EXE-2A4E9B26.pf
14.07.2007 23:07 59.810 UPDATE.EXE-1F9ACAAB.pf
14.07.2007 23:06 5.286 SPUPDSVC.EXE-21B36524.pf
14.07.2007 23:06 61.282 UPDATE.EXE-0F3C310A.pf
14.07.2007 21:27 22.122 PSPCONTENTMANAGER.EXE-0A0C5E29.pf
14.07.2007 16:46 31.160 FLASHGET.EXE-0B7C6B66.pf
13.07.2007 00:04 10.746 RUNDLL32.EXE-268BFF96.pf

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS

29.07.2007 20:56 159 wiadebug.log
29.07.2007 20:56 50 wiaservc.log
29.07.2007 20:56 0 0.log
29.07.2007 20:56 1.168.246 WindowsUpdate.log
29.07.2007 20:56 2.048 bootstat.dat
29.07.2007 20:55 32.612 SchedLgU.Txt
29.07.2007 20:55 485 system.ini
29.07.2007 20:48 550.622 ntbtlog.txt
29.07.2007 18:26 50 Lic.xxx
29.07.2007 17:53 817 win.ini
29.07.2007 16:22 2.786 setupapi.log
21.07.2007 10:29 513 wincmd.ini
21.07.2007 10:29 349 wcx_ftp.ini
02.07.2007 20:24 1.409 QTFont.for
02.07.2007 20:24 54.156 QTFont.qfn
28.06.2007 20:58 3.846 ModemLog_Lucent Technologies Soft Modem AMR.txt


----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\tasks

29.07.2007 20:56 6 SA.DAT
20.07.2007 19:05 258 D-Box Record Startup Scheduler.job
20.07.2007 19:05 186 D-Box Record Shutdown Scheduler.job


----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\WINDOWS\temp

29.07.2007 20:56 409 WGANotify.settings
29.07.2007 20:56 66 WGAErrLog.txt
2 Datei(en) 475 Bytes
0 Verzeichnis(se), 9.496.571.904 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 089C-17D3

Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp

29.07.2007 21:06 129.648 filelist.txt
29.07.2007 20:15 9.283.260 MWAV.LOG
29.07.2007 20:15 465.736 sfdb.dat
29.07.2007 20:12 141.639 mwXface.log
29.07.2007 18:18 0 success.sem
29.07.2007 18:18 106 IUpdate.ini
29.07.2007 18:18 483 EUpdate.ini
29.07.2007 18:18 10.764 Download.log
29.07.2007 18:18 8.798 update.txt
29.07.2007 18:18 722.728 Dir.sdb
29.07.2007 18:18 1.234.130 Cid.sdb
29.07.2007 18:18 1.141.634 File2.sdb
29.07.2007 18:18 156.848 Spyware.sdb
29.07.2007 18:18 2.064.127 File1.sdb
29.07.2007 18:18 241.357 spydb.old
29.07.2007 18:18 241.357 spydb.avs
29.07.2007 18:18 822 remove.ini
29.07.2007 18:18 225 httpsite.txt
29.07.2007 18:18 5.141 filelist.lst
29.07.2007 18:18 109 ftpsites.txt
29.07.2007 18:18 49.566 ext005.avx
29.07.2007 18:18 49.566 ext005.avc
29.07.2007 18:18 47.424 ext004.avc
29.07.2007 18:18 47.424 ext004.avx
29.07.2007 18:18 47.415 ext003.avx
29.07.2007 18:18 47.415 ext003.avc
29.07.2007 18:18 3.679 dailyc.avc
29.07.2007 18:18 49.189 daily.avc
29.07.2007 18:18 2.645 daily-ex.avc
29.07.2007 18:18 2.645 daily-ex.avx
29.07.2007 18:18 886 daily-ec.avc
29.07.2007 18:18 24.313 avp.klb
29.07.2007 18:09 626.688 msvcr80.dll
29.07.2007 18:09 548.864 msvcp80.dll
29.07.2007 18:09 241.664 MYDB.DLL
28.07.2007 17:07 32.756 fa.avc
28.07.2007 17:07 13.539 ext999.avc
28.07.2007 17:07 78.792 ca.avc
28.07.2007 17:07 11.907 ext009.avc
28.07.2007 17:07 49.140 unp037.avc
28.07.2007 17:07 37.383 unp031.avc
28.07.2007 17:07 42.215 unp022.avc
28.07.2007 17:07 30.279 unp024.avc
28.07.2007 17:07 65.450 unp023.avc
28.07.2007 17:07 42.415 unp018.avc
28.07.2007 17:07 37.859 unp020.avc
28.07.2007 17:07 117.466 base145.avc
28.07.2007 17:07 48.853 base091.avc
28.07.2007 17:07 53.020 base095.avc
28.07.2007 17:07 42.394 ext003c.avc
28.07.2007 17:07 19.089 fa001.avc
28.07.2007 17:07 122.167 base030c.avc
28.07.2007 16:20 38.400 unregx.exe
28.07.2007 16:16 161.792 esupdate.exe
28.07.2007 16:15 118.784 avpmhook.dll
28.07.2007 15:48 1.945.600 msvl64.dll
28.07.2007 15:44 43.520 setpriv.exe
28.07.2007 15:44 418.368 mwavscan.com
28.07.2007 15:44 418.368 mexe.com
28.07.2007 15:42 143.360 msvlclnt.dll
28.07.2007 15:38 44.096 Getvlist.exe
27.07.2007 12:46 49.169 ext006.avc
27.07.2007 12:46 48.547 ext001.avc
27.07.2007 12:46 8.376 krn003.avc
27.07.2007 12:46 35.209 krn004.avc
26.07.2007 10:31 41.656 unp038.avc
26.07.2007 10:31 25.778 unp004.avc
26.07.2007 10:31 52.126 unp005.avc
26.07.2007 10:31 4.930 base999.avc
26.07.2007 10:31 50.079 base137.avc
26.07.2007 10:31 49.623 base001.avc
26.07.2007 10:31 49.738 base112.avc
24.07.2007 23:40 49.598 ext007.avc
24.07.2007 23:40 48.659 unp013.avc
24.07.2007 23:40 49.676 base117.avc
24.07.2007 23:40 49.165 base032.avc
24.07.2007 23:40 49.566 ext001c.avc
24.07.2007 23:40 37.482 krnjava.avc
21.07.2007 18:03 91.298 Chinese.Age
21.07.2007 18:03 110.178 Icelandic.Age
21.07.2007 18:03 115.002 Polish.Age
21.07.2007 18:03 111.897 Finnish.Age
21.07.2007 18:03 116.336 French.Age
21.07.2007 18:03 115.121 Spanish.Age
21.07.2007 18:03 114.940 Spanishl.Age
21.07.2007 18:03 110.860 Romanian.Age
21.07.2007 18:03 114.358 Portuguese.Age
21.07.2007 18:03 122.452 Italian.Age
21.07.2007 18:03 124.890 language.ini
21.07.2007 18:03 124.890 German.Age
21.07.2007 17:54 63.011 unp035.avc
21.07.2007 17:54 50.174 base143.avc
20.07.2007 18:08 175.968 phupdn.txt
20.07.2007 17:57 18.427 global.daz
20.07.2007 17:57 52.216 phupdn.txz
20.07.2007 17:13 49.604 base029.avc
18.07.2007 15:24 48.642 ext008.avc
18.07.2007 15:24 46.810 unp036.avc
18.07.2007 15:24 58.775 unp019.avc
18.07.2007 15:24 23.499 unp000.avc
18.07.2007 15:24 48.410 ext002c.avc
17.07.2007 16:04 384.512 MDownload.exe
17.07.2007 13:06 51.827 English.Age
12.07.2007 18:35 3.361 avp.set
12.07.2007 18:35 3.361 avp_ext.set
12.07.2007 18:35 42.264 unp032.avc
12.07.2007 18:35 50.722 base144.avc
12.07.2007 18:35 50.179 base029c.avc
12.07.2007 18:35 50.024 base028c.avc
10.07.2007 12:32 120.747 krnunp.avc
09.07.2007 16:31 64.662 unp016.avc
07.07.2007 14:43 21.684 gen005.avc
07.07.2007 14:43 23.916 unp021.avc
07.07.2007 14:43 49.550 base031.avc
05.07.2007 10:05 49.792 unp030.avc
03.07.2007 10:06 55.694 unp006.avc
03.07.2007 10:06 50.255 base142.avc
03.07.2007 10:06 50.270 base027c.avc
02.07.2007 16:29 14.400 faristream.ppl
02.07.2007 16:29 14.912 farbuffer.ppl
02.07.2007 16:28 135.168 ScanningProcess.exe
02.07.2007 16:28 65.536 ikave.dll
02.07.2007 16:27 274.432 kave.dll
29.06.2007 20:19 48.230 unp033.avc
28.06.2007 15:06 7.618 smart.avc
27.06.2007 10:13 36.561 unp025.avc
26.06.2007 20:02 8.782 Chinese.con
25.06.2007 09:59 53.129 unp008.avc
25.06.2007 09:59 57.866 unp015.avc
25.06.2007 09:59 75.929 unp007.avc
25.06.2007 09:59 49.942 base141.avc
25.06.2007 09:59 50.079 base140.avc
25.06.2007 09:59 49.632 base024.avc
25.06.2007 09:59 50.558 base136.avc
25.06.2007 09:59 50.062 base026c.avc
25.06.2007 09:59 50.265 base012c.avc

1. Scan der 3 Offending Files
So ich hab die 3 offending Dateien checken lassen bei Virustotal

tfmx.exe -> Keine Meldung
twain_16.dll -> Keine Meldung
CD_CLINT.DLL -> Keine Meldung

2. Kazaa Lite gelöscht
Den Ordner von Kazaa Lite habe ich einfach gelöscht. Der Deinstaller hat wohl nur das "normale "Kaaza deinstalliert. Jedenfalls ist das jetzt alles weg.

3. Spyware/Adware
Komisch das da noch soviel da ist. Ich hab vorhin mal Spybot im abgesicherten Modus laufen lassen und da wurden nur ein paar Firefox Cookies entfernt und die 3 von mir deaktivierten Windowsnotifications angemeckert (Firewall, AV Programm Autoupdate).

Was mir richtig Sorgen gemacht hat war das:

Zitat:

System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})!

Ist das Ding besonders gefährlich? Soll ich es nochmal mit Spybot probieren bzw. gibt es noch andere gute Spyware Entferner?

4. Virus in einem sent Folder gemeldet im escan Fenster?
Übrigens stand im Fenster bei e-Scan noch das:

Zitat:

Datei C:\Dokumente und Einstellungen\user\Anwendungsdaten\Thunderbird\Profiles\default\ltb6s9yg.slt\Mail\pop.mail.yahoo.de\Sent//[From user <xxxxx@yahoo.de>][Date Thu, 23 Oct 2003 22:55:29 +0200]/Re://[From xxx@aaaaaa.de][Date Sat, 13 Mar 2004 ... infiziert von "Email-Worm.Win32.NetSky.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen

Das tauchte gar nicht im hier erstellen e-scan log auf?
Ist aber eine uralte Mail? Keine Ahnung ob das von Relevanz ist. Bitdefender hat die auch gefunden?

Zitat:

3. Spyware/Adware
Komisch das da noch soviel da ist. Ich hab vorhin mal Spybot im abgesicherten Modus laufen lassen...
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})!
Ist das Ding besonders gefährlich?

Wie ich schon sagte, eScan erzeugt beim Scannen der Registry sehr viele Fehlalarme. Fütter mal Google mit dem String e0e899ab-f487-11d5-8d29-0050ba6940e3, dann landest du z.B. hier, scheint also was von Flashget zu sein. Flashget hattest du doch doch oder?

Zitat:

Das tauchte gar nicht im hier erstellen e-scan log auf?
Ist aber eine uralte Mail? Keine Ahnung ob das von Relevanz ist. Bitdefender hat die auch gefunden?

Das brauchst du nicht weiter enrst zu nehmen. Da wurde in deiner Mailbox wohl nur eine Mail erkannt, die mit einem Mailwurm daherkam - wahrscheinlich ist die Mail auch schon längst gelöscht, den Wurmanhang hast du bestimmt nicht ausgeführt.
Wenn du Mails in Thunderbird löscht, also aus dem Papierkorb entfernst, werden die nicht wirklich gelöscht, sondern nur als gelöscht markiert. Wirklich löschen tust du die wenn du die Ordner im Thunderbird ab und zu mal "komprimierst".

Erstmal vielen Dank für deine tolle Unterstützung und Hilfe bis jetzt.

Zitat:

Zitat von cosinus

Wie ich schon sagte, eScan erzeugt beim Scannen der Registry sehr viele Fehlalarme. Fütter mal Google mit dem String e0e899ab-f487-11d5-8d29-0050ba6940e3, dann landest du z.B. hier, scheint also was von Flashget zu sein. Flashget hattest du doch doch oder?

Ja Flashget habe ich auch schon länger drauf. Kann ich deinstallieren wenn es sein muss.

Zitat:

Zitat von cosinus

Das brauchst du nicht weiter enrst zu nehmen. Da wurde in deiner Mailbox wohl nur eine Mail erkannt, die mit einem Mailwurm daherkam - wahrscheinlich ist die Mail auch schon längst gelöscht, den Wurmanhang hast du bestimmt nicht ausgeführt.

Nein, hab ich natürlich niemals ausgeführt.


Kann ich jetzt langsam aufatmen das mein System ok ist sprich muss ich jetzt komplett neuaufsetzen? Die System Datein der letzten 30 Tage waren doch ok oder? Was würdest du mir raten sollte ich noch machen?

Ich werde jetzt halt nochmal Ad-Aware drüberlaufen lassen und morgen nochmal den CWShredder. Schon blöd das Spybot die Sachen nicht wegkriegt.

Nach dieser doch schon recht umfangreichen Analyse gehe ich davon aus, dass dein System nicht kompromittiert ist!

Oh, da bin ich ja schon mal wieder ein bischen optimistischer.

Ok, ich werde dann mal noch die Tage die besagten Spy-Ad-Ware Remover Tools drüberlaufen lassen. Hoffe ich kriege da die übrigen Spyware Sachen noch irgendwie weg, wenn die es nicht hinkriegen ist es hoffentlich keine allzu grosse Problematik wenn die drauf bleibe hoffe ich?

Scheint ja so das Antivir auch die TR/Agent "Spoonuninstaller.exe" erfolgreich rausgelöscht hat und anscheinend hat der ja wohl auch keine neue Spyware nachgeladen oder installiert. Das Ding war ja eigentlich der Aufhänger warum ich mich hier bei eurem tollen Board gemeldet habe.

Nochmal vielen, vielen Dank für die ausführliche Hilfe und die Analyse. Ich gehe heute schon etwas ruhiger schlafen als gestern Abend.

Guten Abend !

Worüber ich mich nun bereits 2 Tage wunder:
Dieser TR taucht unter etlichen verschiedenen
Namen auf seit 2 - 3 Tagen.
Auf unterschiedlichsten Wegen konnte der "Feind"
besiegt werden, ist aber sozusagen immer wieder
auferstanden.
AntiVir findet den TR nach erfolgtem Update nicht
mehr.
Ad-Aware findet den Rüpel noch immer.
Alles bissl unerklärlich.
Und: Auf welchem Wege hat sich der TR nun
tatsächlich eingeschlichen ?
Bei mir liegt die Vermutung nahe das nicht AntiVir die
Ursache war, sondern vielmehr TuneUp.

Hab heute eine Antwort bekommen von Avira (antivir) wegen der Datei mit TR/Agent.CME die ich dort eingesendet hatte mit Prüfung auf False Positive

Zitat:

Die Datei 'A0391979.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Hoffe mal damit ist das Ding geklärt, denke ich. Zwar war die originale Datei in C:\windows/system32\spoonuninstaller (die wurde ja zuerst als TR/Agent.CME gefunden), aber ich hoffe mal das die 'A0391979.exe' aus der SWH einfach nur ein Sicherung der spoonuninstaller war (die hatte ich ja leider sofort gelöscht) und auch die false positive war.

@cosinus
Übrigens hatte ich versucht die Spyware zu entfernen die escan gestern meldete. Leider hat sowohl spybot als auch ad-aware 2007 nur noch Cookies in FF Mozilla gefunden. Ist es ein Problem das die paar Spy/Adware Sachen noch laut e-scan da sind?

Zitat:

@cosinus
Übrigens hatte ich versucht die Spyware zu entfernen die escan gestern meldete. Leider hat sowohl spybot als auch ad-aware 2007 nur noch Cookies in FF Mozilla gefunden. Ist es ein Problem das die paar Spy/Adware Sachen noch laut e-scan da sind?

Wie ich schon erwähnte, die Einträge von eScan unter Infektionsmeldungen, wo bei dir ne Menge Ad- und Spyware angeblich angezeigt wird, würde ich nicht ganz so ernst nehmen, da eScan dort nach meinen bisherigen Erfahrungen recht viele Fehlalarme erzeugt.

moin moin leute...hab ma ne frage...ich hab als antivirenprogramm McAffee und immer wenn ich einen scan durchgeführt habe, dann werden mir die folgenden cookies als möglicherweise unerwünschte programme angezeigt:cookie 207...cookie atwola...cookie adtech...und cookie adsolution...und nachdem ich diese entfernt hab und nach ein paar tagen einen neuen scan gemacht hab, werden mir diese dateien wieder als möglicherweise unerwünschte programme angezeigt...wollte nur mal fragen wie ich die endgültig von meinem pc gelöscht bekommen???

Also jetzt wird es merkwürdig. Die Dateien die von e-Scan in meinem lokaeln User temporären Verzeichniss entpackt wurden mir jetzt als Virus gemeldet von Bitdefender!

Virustotal sagt zu den gefunden beiden Dateien:

Zitat:

mexe.com

BitDefender 7.2 2007.07.30 BehavesLike:Win32.FileInfector
eSafe 7.0.15.0 2007.07.29 suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.07.30 Trojan-Dropper.Win32.ExeBinder.C
Sophos 4.19.0 2007.07.26 Istbar
Webwasher-Gateway 6.0.1 2007.07.30 Win32.ModifiedUPX.gen (suspicious)

Zitat:

mwavscan.com
BitDefender 7.2 2007.07.30 BehavesLike:Win32.FileInfector
eSafe 7.0.15.0 2007.07.29 suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.07.30 Trojan-Dropper.Win32.ExeBinder.C
Sophos 4.19.0 2007.07.26 Istbar
Webwasher-Gateway 6.0.1 2007.07.30 Win32.ModifiedUPX.gen (suspicious)

Jotti meldet

Zitat:

mexe.com
BitDefender
BehavesLike:Win32.FileInfector gefunden (mögliche Variante)

Zitat:

mwavscan.com
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)

BitDefender
BehavesLike:Win32.FileInfector gefunden (mögliche Variante)

Habe eben nochmal die mwav.exe 9.3.5 Installer Datei entpackt und es werden wieder die o.g. beiden Dateien entpackt und von Bitdefender gemeldet? Also waren die im Installer schon so mit drin.

Ist das normal? Macht mir irgendwie Sorgen mache das eScan hier als Virus gefunden wird? Das verstehe ich nicht? Hoffentlich sind das nur Fehlalarme.

Zitat:

Ist das normal? Macht mir irgendwie Sorgen mache das eScan hier als Virus gefunden wird? Das verstehe ich nicht? Hoffentlich sind das nur Fehlalarme.

Lass dich davon nicht irritieren, das sind Fehlalarme
Oder glaubst du, wir würden dir hier Virenscanner aufdrücken, die selber mit Schädlingen daherkommen?

Puh, da bin ich aber beruhigt.

Ärgerlich das manche Antiviren Hersteller anscheinend eScan Dateien mit einem Trojaner verwechseln.