Hijack this Logfile Auswertung-Problem beim googlen, Umleitung via maxifiles
 

Hallo,

hoffe es kann mir jemand weiterhelfen.
Habe beim googlen das Problem, daß zum größten Teil nicht die gewählten Seiten aufgerufen werden können. Es erfolgt eine Umleitung via Maxifiles.com auf irgendwelche Werbeseiten.
Habe Kaspersky als Antivirusprogramm + Firewall, hat jedoch nichts gefunden. Ebenso Search & Destroy. Ad-aware findet sog. Tracking cookies, die ich auch lösche, Problem taucht jedoch weiter auf.
Handelt es sich hierbei um einen Virus? Hat jemand Ahnung wie ich diese Umleitung entfernen kann? Bin leider PC-technisch noch kein Spezialist, wäre also für jede Hilfe dankbar.

Vielen Dank im voraus für Infos! Hier mein Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 22:57:13, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest. ExE
C:\Programme\VDOTool\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Fess\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HPHUPD08] C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe "
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest. ExE
O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1154680997375
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5...ws-i586-jc.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe

Hallo.

das ist unwichtig.

Mache bitte einen scan mit eScan. Anleitung findest du in meiner Signatur. Diese befolge bitte sehr genau.

mfg

Undoreal

Danke für die Info. Werde das heute abend mal ausprobieren und es dann posten.

escan ergab, daß 5 Viren gefunden wurden, "linkmedia Trojan" + "wareout adware". Wie kann es sein, daß diese nicht von anderen Programmen gefunden wurden? Bin außerdem etwas beunruhigt, wie gefährlich ist der Trojaner? Hatte einige Bestellungen in letzter Zeit im Internet getätigt - zwecks Bankverbindung etc.

Hier die Auswertung, vielen Dank fü Hilfe.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 16 19:44:28 2007 => Version 9.1.9
Mon Apr 16 19:42:50 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 19:44:02 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:07:04 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:18:23 2007 => Virus-Datenbank Datum: 4/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 19:45:38 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 19:45:40 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 16 19:45:38 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Mon Apr 16 19:45:40 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 16 19:45:30 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Mon Apr 16 19:45:30 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Mon Apr 16 19:45:30 2007 => Offending Key found: HKLM\System\ControlSet003\Services\nwsapagent !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:07:03 2007 => Gefundene Viren: 5
Mon Apr 16 21:07:04 2007 => Anzahl Fehler: 7
Mon Apr 16 21:07:04 2007 => Dauer des Scans bisher: 01:22:23
Mon Apr 16 21:07:03 2007 => Gescannte Dateien: 103464
Mon Apr 16 19:44:28 2007 => Specherüberprüfung: Aktiviert
Mon Apr 16 19:44:28 2007 => Registry Überprüfung: Aktiviert
Mon Apr 16 19:44:28 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung aller Festplatten :Aktiviert

Hallo. Hast du als Sprache Englisch gewählt? Der linkmedia Trojaner taucht im log ja garnicht auf. Oder bin ich jetzt behindert? Magst du mal hier gucken und MightyMarc das komplette log schicken... das wäre super.

eScan ist einfach das Beste! ;)

Lade dir schon mal SSW installiere und update das Proggi. Dann machst du einen vollen Systemscan im abgesicherten Modus (f8 beim Hochfahren) und einen im normalen Modus. Entferne alles was gefunden wird.

Und an deinen nächsten post hänge bitte einfach das ganz MWAVE-log als .txt an. Ich gucks dann durch..

Gruß

Undoreal

Hallo undoreal, und danke für die Infos. Das linkmedia trojaner hier nicht auftaucht kommt mir auch seltsam vor, escan hat es jedoch beim Scan unter gefundene Viren angezeigt - 3 x linkmedia Trojaner + 2 x wareout adware, womit man auf die angegeben fünf kommt. Deutsch hatte ich eingestellt.

Hallo, habe SuperAntispyware im abgesicherten Modus scannen lassen, hat jedoch nichts gefunden. Versuche es heute abend nochmals im normalen Modus, habe aber wenig Hoffnung.

Desweiteren wollte ich die MWAV-log Daei hochladen, was wohl nciht möglich ist da die Anlage zwar eine Textdatei is, jedoch nict mit .txt endet. Sorry, bin wie gesagt leider nicht so vesiert im Umgang mit PC´s.

das verstehe ich ja nun garnicht. Egal.
Magst du bitte versuchen diese "deutsche" log MightyMarc zur Verfügung zu stellen.?. Das wäre wichtig. Schreib ihm sinst einfach 'ne PN.

Lies dich hier mal durch und lade dir die neueste Version der Anleitung und find.bat. herunter.
Dann mache ganz normal den scan im abgesicherten Modus und alles weitere wie in der Anleitung beschrieben. WICHTIG: Bennen das alte log um!!

Wenn er fertig gescannt hat dann Versuche die Auswertung mit Hilfe der find.bat -> poste das Ergebnis hier und hänge zusätzlich das komplette (original) log mit an deinen post an. Das müsste eigentlich gehen; wenn nicht dann öffne das log bei dir, markiere alles und füge es in einem neuen .txt (Editor) Dokument ein.


Gruß

Undoreal

Ja, hat er. Einfach daran zu erkennen, dass der Teil "Diverses" fehlt, der atm nur im deutschsprachigen Zweig vorhanden ist. Die aktualisierte Version der Anleitungen liegt bereits vor und die Administration wird sie hoffentlich asap an die richtige Stelle befördern.

Die escan-neu.txt sollte nochmal mit der neusten find.bat erstellt werden. Vorher aber bitte die alte escan_neu.txt löschen (ein ">" zuviel führt atm dazu, dass die Reports nicht überschrieben sondern drangehängt werden => sehr großes Logfile).

Ein 5-15 MB großes Lofile anhängen? :rolleyes:

Ladet die Logs bei file-upload.net hoch und postet den Downloadlink hier.

Gruß

Marc

Edit:

Die Anleitung samt find.bat ist doch aktuell. Da müssen wir halt doch einen Blick in die mwav.log werfen....

super. ^^ die administration ist auch fit. alles an ort und stelle. :daumenhoc

Vielen Dank erstmal für eure Infos und Mühe.
Habe jetzt aktuell nochmal einen escan erstellt, war bereits auf
deutsch eingestellt und hatte mir das neue file.bat runtergeladen.
Demnach habe ich heute keine fünf, sondern sieben Viren. Linkmedia Trojan, wareout adware, sowie neu possible fujack - worm (o.ä). Wobei ich aus dem Bericht hier nur wareout adware herauslesen kann. Fall es was hilft: die Virenmeldungen kamen beim Scan von HKLM/SYSTEM/CURRENTCONTROLSET -was hat das zu bedeuten? Versuche gleich noch MWV.lg hochzuladen.
Welches Virenprogramm wäre eigentlich empfehlenswert? Das von mir benutzte Kaspersky ist es wohl nicht.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Tue Apr 17 21:36:36 2007 => Version 9.1.9
Mon Apr 16 19:42:50 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 19:44:02 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:07:04 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:18:23 2007 => Virus-Datenbank Datum: 4/16/2007
Tue Apr 17 21:01:29 2007 => Virus-Datenbank Datum: 4/16/2007
Tue Apr 17 21:08:45 2007 => Virus-Datenbank Datum: 4/16/2007
Tue Apr 17 21:10:14 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 21:30:21 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 21:30:30 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 21:35:54 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 23:00:54 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 23:13:59 2007 => Virus-Datenbank Datum: 4/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 19:45:38 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 19:45:40 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Tue Apr 17 21:13:29 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Tue Apr 17 21:13:30 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Tue Apr 17 21:37:19 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Tue Apr 17 21:37:20 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 16 19:45:38 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Mon Apr 16 19:45:40 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Tue Apr 17 21:13:29 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Tue Apr 17 21:13:30 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Tue Apr 17 21:37:19 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Tue Apr 17 21:37:20 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 16 19:45:30 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Mon Apr 16 19:45:30 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Mon Apr 16 19:45:30 2007 => Offending Key found: HKLM\System\ControlSet003\Services\nwsapagent !!!
Tue Apr 17 21:13:19 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Tue Apr 17 21:13:20 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Tue Apr 17 21:13:20 2007 => Offending Key found: HKLM\System\ControlSet003\Services\nwsapagent !!!
Tue Apr 17 21:13:48 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Tue Apr 17 21:13:48 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c007bf7d-35da-11db-bc0a-806d6172696f} !!!
Tue Apr 17 21:37:11 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Tue Apr 17 21:37:11 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Tue Apr 17 21:37:11 2007 => Offending Key found: HKLM\System\ControlSet003\Services\nwsapagent !!!
Tue Apr 17 21:37:30 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Tue Apr 17 21:37:30 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c007bf7d-35da-11db-bc0a-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 20:56:22 2007 => C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPFC.tmp\System.Web.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Apr 17 22:50:01 2007 => C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPFC.tmp\System.Web.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:07:03 2007 => Gefundene Viren: 5
Tue Apr 17 21:30:21 2007 => Gefundene Viren: 7
Tue Apr 17 23:00:54 2007 => Gefundene Viren: 7
Mon Apr 16 21:07:04 2007 => Anzahl Fehler: 7
Tue Apr 17 21:30:21 2007 => Anzahl Fehler: 150
Tue Apr 17 23:00:54 2007 => Anzahl Fehler: 154
Mon Apr 16 21:07:04 2007 => Dauer des Scans bisher: 01:22:23
Tue Apr 17 21:30:21 2007 => Dauer des Scans bisher: 00:18:17
Tue Apr 17 23:00:54 2007 => Dauer des Scans bisher: 01:24:07
Mon Apr 16 21:07:03 2007 => Gescannte Dateien: 103464
Tue Apr 17 21:30:21 2007 => Gescannte Dateien: 37935
Tue Apr 17 23:00:54 2007 => Gescannte Dateien: 109095
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 19:44:28 2007 => Specherüberprüfung: Aktiviert
Tue Apr 17 21:11:47 2007 => Specherüberprüfung: Aktiviert
Tue Apr 17 21:36:36 2007 => Specherüberprüfung: Aktiviert
Mon Apr 16 19:44:28 2007 => Registry Überprüfung: Aktiviert
Tue Apr 17 21:11:47 2007 => Registry Überprüfung: Aktiviert
Tue Apr 17 21:36:36 2007 => Registry Überprüfung: Aktiviert
Mon Apr 16 19:44:28 2007 => System-Ordner Überprüfung: Aktiviert
Tue Apr 17 21:11:47 2007 => System-Ordner Überprüfung: Aktiviert
Tue Apr 17 21:36:36 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung der Systembereiche: Deaktiviert
Tue Apr 17 21:11:47 2007 => Überprüfung der Systembereiche: Deaktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung der Dienste: Aktiviert
Tue Apr 17 21:11:47 2007 => Überprüfung der Dienste: Aktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung der Festplatten: Deaktiviert
Tue Apr 17 21:11:47 2007 => Überprüfung der Festplatten: Deaktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 16 19:44:28 2007 => Überprüfung aller Festplatten :Aktiviert
Tue Apr 17 21:11:47 2007 => Überprüfung aller Festplatten :Aktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung aller Festplatten :Aktiviert

Die Spracherkennung wird in der neuen Version der find.bat anders sein, da die bisherige Methode nicht sonderlich zuverlässig zu sein scheint.

Ohne die mwav.log kann ich Dir leider nicht weiterhelfen. Wir sind gerade dabei die find.bat zu ändern, da sich von Seiten des eScan-Herstellers einiges geändert hat. Ohne die mwav.log von Anwendern sind wir aber nicht in der Lage die find.bat so zu ändern, dass alles funktioniert wie es soll.
Wäre nett, wenn Du Dein Exemplar hochladen könntest.

Gruß

Marc

Hallo, hier der Link, hat etwas gedauet:

http://www.file-upload.net/download-251511/MWAV.LOG.html

Was mir noch auffiel; kurz nach der Google-Startseite versuchend die folgenden Internetseiten cookies abzulege: 85.255.119.197 & 64.111.198.178

Vielen Dank!

Habe mir spaßeshalber Avira Antivir runtergeladen -3 Trojaner names TR/DNSChanger.BF.395 gefunden und gelöscht! Bleiben noch vier...

So, hier nun das korrekte Log (es lag ein Fehler in der find.bat vor -in Version 2007.04.18.02 geändert). Ich bitte die Probleme zu entschuldigen, aber es wird wohl noch ein paar Tage dauern, bis die Sache so läuft wie wir es gerne hätten. Ich hoffe undoreal kann Dir an dieser Stelle weiterhelfen.

Gruß

Marc

Edit:
Kleiner Hinweis an die Helfer:
Interessant sind wohl diese beiden Einträge:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Installationssprache Deutsch

Microsoft Windows XP [Version 5.1.2600]
Tue Apr 17 21:36:36 2007 => Version 9.1.9
Tue Apr 17 21:35:54 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 23:00:54 2007 => Virus-Datenbank Datum: 4/17/2007
Tue Apr 17 23:13:59 2007 => Virus-Datenbank Datum: 4/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 17 21:37:11 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:11 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:11 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:30 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:30 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:11 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:11 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:11 2007 => Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:30 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:30 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Apr 17 21:37:19 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
Tue Apr 17 21:37:20 2007 => System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Apr 17 21:37:19 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Tue Apr 17 21:37:20 2007 => Offending file found: C:\Dokumente und Einstellungen\Fess\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue Apr 17 21:37:11 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Tue Apr 17 21:37:11 2007 => Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Tue Apr 17 21:37:11 2007 => Offending Key found: HKLM\System\ControlSet003\Services\nwsapagent !!!
Tue Apr 17 21:37:30 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Tue Apr 17 21:37:30 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c007bf7d-35da-11db-bc0a-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 17 21:37:30 2007 => Executable Command Found in D\Name\Shell\AutoRun\command: D:\Autorun.exe
Tue Apr 17 21:37:30 2007 => Executable Command Found in {c007bf7d-35da-11db-bc0a-806d6172696f}\Name\Shell\AutoRun\command: D:\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 17 22:50:01 2007 => C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAPFC.tmp\System.Web.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 17 23:00:54 2007 => Gefundene Viren: 7
Tue Apr 17 23:00:54 2007 => Anzahl Fehler: 154
Tue Apr 17 23:00:54 2007 => Dauer des Scans bisher: 01:24:07
Tue Apr 17 23:00:54 2007 => Gescannte Dateien: 109095
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 17 21:36:36 2007 => Specherüberprüfung: Aktiviert
Tue Apr 17 21:36:36 2007 => Registry Überprüfung: Aktiviert
Tue Apr 17 21:36:36 2007 => System-Ordner Überprüfung: Aktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung der Systembereiche: Deaktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung der Dienste: Aktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung der Festplatten: Deaktiviert
Tue Apr 17 21:36:36 2007 => Überprüfung aller Festplatten :Aktiviert

Hammer. Vielen Dank Marc. :party:


das war 'ne blöde Idee ;)


Lade jetzt bitte mal als aller erstes diese Datei bei Virustotal hoch und poste das Ergbniss mit allen Infos.
Nicht dass wir hier alles um sonst machen.

Und erstelle bitte mal eine neues Hijackthis log. Damit wir wissen wo wir stehen.

Dann kanst du eigentlich auch gleich einen scan mit f-secure blacklight machen. Auch dort das log bitte posten.


mfg

Undoreal

*gg* hab vergessen dir zu sagen welche Dateien du hochladen sollst..

Diese hier: " D:\Autorun.exe " " C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Tem p\ZAPFC.tmp\System.Web.dll "

mfg

Undoreal

Hi und vielen Dank:aplaus: für deine Hilfe.
Werde das heute abend machen und dann posten.

Sorry, daß ich Antivir runtergeladen haben, wollte die logs nicth verfälschen, war im jugendlichen Leichtsinn gepaart mit Frust etc

Hi, wollte jetzt die beiden genannten Dateien bei Virustotal durchscannen lassen.
Autorun. exe auf Laufwerk D: kann eigentlich nichts damit zu tun haben (oder?) - D: ist das DVD-Laufwerk, dies gehört zu einem Spiel was im Laufwerk steckte.Entferne ich wohl besser für die nächsten Logs :o Meine Frau ist schuld...

Bezüglich der anderen Datei... ich finde Windows und somit den Ordener "assembly", jedoch nicht die betreffende Datei; Selbst nicht wenn ich auf "suchen" gehe. Sorry, bin ich zu doof? :confused:
Poste in kürze noch den Hijack-Log + Resultat von Blacklight.

Danke!

F-Secure Blacklight hat 1 versteckte Anwendung gefunden namens kdcjv.exe
Soll ich diese löschen lassen? Habeerstmal nur den Scan betätigt bevor ich was falsch mache.

Hier der aktuelle Hijack-Log; LT Hijackthis sollte man evtl 011 Options Group fixen? Aber damit kannst ud ischelrich mehr anfangen wie ich.
Vielen Dank für deine Mühe!

Logfile of HijackThis v1.99.1
Scan saved at 22:34:00, on 18.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\VDOTool\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Fess\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HPHUPD08] C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154680997375
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586-jc.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe

Hier der Blacklight Report:

04/19/07 00:04:23 [Info]: BlackLight Engine 1.0.61 initialized
04/19/07 00:04:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/19/07 00:04:24 [Note]: 7019 4
04/19/07 00:04:24 [Note]: 7005 0
04/19/07 00:04:37 [Note]: 7006 0
04/19/07 00:04:37 [Note]: 7011 1516
04/19/07 00:04:38 [Note]: 7026 0
04/19/07 00:04:38 [Note]: 7026 0
04/19/07 00:04:42 [Note]: FSRAW library version 1.7.1021
04/19/07 00:08:00 [Info]: Hidden file: c:\WINDOWS\system32\kdcjv.exe
04/19/07 00:08:00 [Note]: 7002 32
04/19/07 00:08:00 [Note]: 7003 1
04/19/07 00:08:00 [Note]: 10002 1
04/19/07 00:08:52 [Note]: 2000 1012
04/19/07 00:09:02 [Note]: 7007 0

ne ne. Ist schon O.K. (wenn du den link aus meiner Signatur zum "suchen.." beaschtet hast.) Das ist bzw. war eine temporäre Datei.

das macht natürlich Sorge.
genau richtig.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Führe einen Blacklight scan bitte im abgesicherten Modus durch und lasse die Datei entfernen. Danach nochmal im normalen Modus scannen lassen.
Neustart.
Dann sauge dir bitte gmer und lasse auch den scannen.

Dann noch Silentrunners.

Danach führst du einen eScan durch bei dem du direkt alles entfernen lässt. (Haken bei "Scan only weglassen")

Alle logs bitte posten.

Gruß

Undoreal

Wenn du all das was ich unten gepostet habe getan hast, dann gehts weiter:

Gromozon Rootkit Removal Tool

* Downloade das Gromozon Rootkit Removal Tool von Prevx1.
* Speichere es auf deinem Desktop.
* Beende die Anwendung deines Antivirus Programms.
* Beende alle Anwendungen, schliesse alle Fenster.
* Starte das Programm mit Klick auf scan.

* Wenn das Programm zuende gescannt hat,
* wirst du um dein OK gebeten,
* damit der Rechner neu aufstarten kann.
* Nach dem Neustart des Rechners
* scannt das "Gromozon Rootkit Removal Tool" dein System weiter.
* Es erstellt einen Bericht, das 'gromozon_removal.log'.

* Suche das 'gromozon_removal.log' mit der Windows Suche,
* (im Forum) kopiere seinen Inhalt und poste ihn.
* Beende das Programm mit 'exit'.
* Nun wirst du gefragt, ob du Prevx1 als AntiVirus Programm installieren möchtest,
eine Frage, die du mit YES (ja) oder NO (nein) beantworten musst.
-> Lies hierzu diese deutsche Anleitung zu Prevx1 Diese befolgst du ebenfalls.

Wenn du damit auch komplett fertig bist lasse cCleaner arbeiten. Die Registry bitte mehrmals überprüfen und reinigen lassen.

Abschließend:

Währen dieses Vorgangens sollten:

* alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
* keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
* nichts am Rechner getan werden

RootkitRevealer scannen lassen

* Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit "File -> Save" abspeichern und dann hier posten

Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.


mfg

Undoreal

Hallo Undoreal,

vielen dank für deine Info und deine Mühe die du dir damit machst.

Habe dann ja wieder einiges zu tun...

Hätte jedoch noch Fragen dazu:
- nur interessenhalber wieso läßt man escan eigentlich nicht gleich löschen?
- PrevX1 als Antivirus, soll ich dies bestätigen um fortzufahren?

Danke!

ja!
weil es äußerst selten mal vorkommt, dass eScan noch brauchbare Dateien löscht. Und da es keine Backups gibt ist man lieber vorsichtig..
Außerdem kann auch eScan nicht alles und evtl. wäre mir die Rootkit Infektion nach dem eScan gelöscht hat garnicht mehr aufgefallen... man weiss es nicht genau..

in der Tat.. ;)

mfg

Danke und sorry, eine Frage stellt sich mir noch :headbang:

Am Anfang schreibst du ich solle die Systemwiederherstellung deaktivieren. Wann aktiviere ich diese wieder?

Danke!

nachdem du fertig bist!

jop! so isses :)

Hier der aktuelle Log von Blacklight nach Rename (Blacklight lief übrigens im abgesicherten Modus nicht, es kam entsprechende Meldung)

04/19/07 21:16:04 [Info]: BlackLight Engine 1.0.61 initialized
04/19/07 21:16:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/19/07 21:16:04 [Note]: 7019 4
04/19/07 21:16:04 [Note]: 7005 0
04/19/07 21:16:09 [Note]: 7006 0
04/19/07 21:16:09 [Note]: 7011 1588
04/19/07 21:16:09 [Note]: 7026 0
04/19/07 21:16:09 [Note]: 7026 0
04/19/07 21:16:09 [Note]: 7015 696
04/19/07 21:16:09 [Note]: 7015 5
04/19/07 21:16:09 [Note]: 7015 1908
04/19/07 21:16:09 [Note]: 7015 5
04/19/07 21:16:09 [Note]: 7015 2028
04/19/07 21:16:09 [Note]: 7015 5
04/19/07 21:16:14 [Note]: FSRAW library version 1.7.1021
04/19/07 21:20:36 [Note]: 2000 1012
04/19/07 21:20:44 [Note]: 7007 0


Weiter gehts...

ok.

schon mal super

Hallo Undoreal,

mit gmer habe ich meine Probleme, dies erscheint wenn ich das Programm starte, vor dem scan, ist das normal? Nach dem Scan scheint es eingefroren, keine Meldung o.ä

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-04-19 22:15:00
Windows 5.1.2600 Service Pack 2


---- Threads - GMER 1.0.12 ----

Thread 4:116 824878E0
Thread 4:120 824878E0
Thread 4:124 824218D0
Thread 4:128 824218D0
Thread 4:132 824218D0
Thread 4:340 824878E0
Thread 4:460 824878E0

---- EOF - GMER 1.0.12 ----

HIer der Bericht von Silentrunners als Anlage

Scheiße ! sowas hab' ich schon befürchtet.

mache bitte in Reihnfolge weiter.. eScan wenn du noch kannst doch erstmal nur "Scan only" !!! Wenn der scan schon läuft -> eagl; nicht abbrechen.

Gruß

Undoreal

Hier der Link zu MWAV + Escan neu als Anlage

http://www.file-upload.net/download-253293/MWAV.LOG.html


Was mich wundert ist, daß die 3 Viren immer noch da sind, Antivir hatte doch kürzlich 3 gelöscht?:dummguck: Die Würmer scheinen weg zu sein...
Aber es wurden bei weitem weniger Dateien gescannt, sowie zig Fehler... hat das was mit dem Löschen via Blacklight zu tun?

Werden den Rest am Wochenende erledigen, sonst schlafe ich noch am PC ein...
Vielen Dank nochmal!!

Auch wenn die eScanauswertung scheinbar nur so vor Einträgen strozt, ist da nichts wirklich bedenkliches zu sehen.

Danke für die Info Mighty Marc; Aber wie bekomme ich dann die Viren vom Rechner (adware + Trojaner), bzw wieso erscheinen die Trojaner obwohl von Antivir gelöscht? Liegt das evtl an der seinerzeit von mir nicht deaktivierten Systemwiederherstellung? Das Problem mit den Umleitung bei google habe ich immer noch, gestern kam eine Windowsmeldung daß Sexseiten gespeichert werden (wurden von mir nicht und niemalsbesucht, ehrlich!) und darauf hin sollte ich DriveCleaner runterladen, was ich natürlich nicht getan habe; Sowas kam schonmal vor einiger Zeit fiel mir dann ein, meine Frau hat mir davon erzählt. Ist das evtl der Ursprung? Drive Cleaner scheint wohl eine Art Fake Antispywareprogramm zu sein. Meine Frau meint Sie hätte es damals nicht bestätigt o.ä
Könnte ein Scheidungsgrund sein :D
Werde erstmal undoreals Liste weiter abarbeiten...

Danke!

genau! Der REst kann erst danach entfernt werden. Außerdem habe ich die Hoffnungg, dass Präfix das Prob löst. Mal sehen.. Hab' es noch nicht oft genug testen können..

du hast sie NICHT deaktiviert? Das ist schlecht, ich hatte doch geschrieben sie soll deaktiviert werden.!.

Gruß

Undoreal

Hallo undoreal, bei den Sachen die du mir zuletzt aufgetragen hast und geschrieben hast ich soll die Systemwiederherstellung deaktivieren, habe ich diese natürlich deaktiviert. Auch bei den ausstehenden Sachen bleibt die Sytemwiederherstellung deaktiviert.

Ich meine in Bezug auf kürzlich, als ich schrieb ich hätte Kaspersky durch Antivir ersetzt, einen Scan gemacht und dieser hatte 3 Trojaner gefunden udn gelöscht. Zu dem Zeitpunkt.

:) ähhm ja, seine eigenen Zitate sollte man sich vielleicht genauer angucken..
:o ok.

Kann schon daran liegen aber die verkrümeln sich sonst auch woanders hin. Kann man hinterher kaum noch feststellen. Und schon garnicht bei aktivem Rootkit!

Blöde Frage noch, nur um sicher zu gehen damit ich nix falsch mache: kann ich Prevx1 gem Beschreibung evtl gefundenes gleich löschen lassen oder erstmal nur nen Scan und Posten?

Danke für deine Hilfe!

jup, kannste. log dann trotzdem posten..

mfg

Hallo, hier das gromozon log:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programme\Gemeinsame Dateien


Trojan.Gromozon does not exist - your system is clean.

Super, dass sieht ja schon mal ganz gut aus.

Jetzt mache noch dies hier:

Danach konfigurierst du AntiVir aggressiv und machst einen kompletten scan.

Dann noch eScan laufen lassen und du bist clean.

Gruß

Undoreal

Hallo undoreal, danke für die Info. PrevX1 hat klarerweise natürlich auch keine Malware o.ä. gefunden.

Habe jetzt den Scan mit Rootkitrevealer gemacht, allerdings da das Problem daß ich nach dem Scan nicht spreichern kann. Nach File / Scan versucht er anscheinend zu speichern, das Programm hängt sich dann aber anscheinend auf. Werde jetzt mal mit dem Rest weitermachen. Antivir hat mir heute übrigens ein Rootkit update gemeldet, lasse das dann durchlaufen.
Bzgl escan und Antivir - lediglich scannen, oder kann ich evtl gleich löschen?

Vielen Dank!

Gleich löschen. Bei eScan aber vorher bitte Windowsweit nach den Dateien mwav.log suchen und diese in mwav.bak umbennen.
Die Auswertung der eScan-Aktion bitte mit der in dieser Anleitung verlinkten aktuellen Version der find.bat (Version 2007.04.20.01) durchführen.

Gruß

Marc

Hier der Log von Sophos, nichts gefunden:


Sophos Anti-Rootkit Version 1.2 (data 1.01) (c) 2006 Sophos Plc
Started logging on 22.04.2007 at 14:52:30
Stopped logging on 22.04.2007 at 14:55:08

Gem Antivir 1 Trojaner gefudnen und gelöscht TR\DNChanger.BF.396

Mach in Kürze gleich noch den escan

So, hier nun der aktuelle escan... habe gleich löschen lassen.

Soweit nun alles ok? Das Problem mit google scheint behoben. Systemwiederherstellung kann ich sicher wieder aktivieren?

Kann man denn sagen an was es lag bzw wo die Ursache steckte?

Habe mir überlegt Zonelab als Firewall und Firefox statt den Internet Explorer zu installieren. Ist das ratsam?

Vielen Dank!

Jo, ich denke dein Rechner ist wieder sauber... hiphip :huepp:

Zonelab --------> NEIN Windows Firewall, dingens.org und brain1.0 bieten genug Schutz bei super Performance.

FireFox ---------> gute Idee!

Gruß

Undoreal

Hallo undoreal, vielen, vielen, Dank für deine zahlreichen Informationen und Tipps!! Du warst meine Rettung! :Boogie: :aplaus: :aplaus:

Kann man denn sagen wo es hing?

Ebenfalls danke an MightyMarc!

Who knows?!

* Nicht mit einem Administratoraccount arbeiten!
* Beim Browser Scripting deaktivieren bzw nur bei vertrauenswürdigen Seiten zulassen (z.B. NoScript für Firefox)!
* Software nur vom Hersteller runterladen!
* System und Software aktuell halten!

Gibt noch mehr Punkte, aber das (vor allem Punkt 1) sind die, die mMn für die meisten verseuchten Rechner verantwortlich sind.

Gruß

Marc