win32.alcan.a_win32.agent.bq_Taskm_defekt--HILFE!
 

Hey
anscheinend habe ich den win32 alcan a über limewire geholt - doofe sache.
Nun geht er aber nicht mehr weg. Außerdem ist wohl auch noch win32 agent bq drauf und dazu geht der Taskmanager nicht; wenn ich ihn über ausführen öffnen will, wird gesagt, dass er von einem anderen Programm genutzt wird.

Ich habe im abgesicherten Modus gescannt mit:
Ad aware - findet immer wieder alcan a
anti vir - findet gar nichts
escan - findet viel, aber ich kann es nicht entfernen; testversion:-(
Spybot - findet nichts.

Was kann ich machen? Ich brauche den PC unbedingt mit den Daten. Muss bald ne Arbeit abgegeben und kann jetzt nicht mehr richtig dran arbeiten -scheiss! :heulen:
Hier erstmal n Logfile von Hijackthis. Kann mir wer helfen? Könnt mir auch ruhig emailen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.158.1.1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://h**p://v4.windowsupdate.micro...142.4643981481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://download.macromedia.co...sh/swflash.cab

Servus, shad!
Poste doch das Ergebnis von Haui45´s "find.bat", wie hier http://www.trojaner-board.de/showthread.php?t=17492 beschrieben!
Außerdem poste das gesamte HJT-Logfile (samt Kopf) aus dem "normalen" Modus und editiere die aktiven links (http-->h**P)
stupormundi

ok, escan lasse ich grad durchlaufen und werde das Ergebnis wie beschrieben posten. Was heißt das HJT logfile im NORMALen MODUS? Meinst du nicht im abgesicherten?
Danke für die schnelle HIlfe...ich hoffe, escan beeilt sich.

Servus, shad
ich gehe davon aus, dass Du dzt. von einer anderen Maschine aus ins I-Net gegangen bist. Wenn nämlich escan jetzt gerade auf dieser Maschine im Hintergrund läuft (d.h. nicht im abgesicherten Modus) wäre das nicht optimal.
Gut Ding braucht Weile! Wenn Du die Einstellungen richtig getroffen hast (wie in der verlinkten Anzeige angeführt) läuft der Scan >1Stunde und länger.
Ein HJT-Log ist im "normalen" Modus aussagekräftiger, weil man eben sieht, welche (möglicherweise bösen) Prozesse laufen. Im abgesicherten Modus wird ja nur das Nötigste geladen. Hier wird dann nur repariert (gefixt).
stupormundi

ja, ich sitze grad an einem anderen rechner. dickes danke nochmal! :)

Escan ist endlich fertig. HJT habe ich im normalen Modus auch durchlaufen lassen. Hier das Ergebnis. Hoffentlich kann mir wer weiter helfen und hoffentlich muss ich das System nicht neu aufsetzen :pukeface:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 11:11:34 2005 => File C:\WINDOWS\n_hwfflp.dat infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken.
Mon Oct 24 11:16:12 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffWinshow.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Mon Oct 24 12:08:16 2005 => File C:\Programme\winsupdater\a.tmp infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Mon Oct 24 12:08:16 2005 => File C:\Programme\winsupdater\a.zip infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Mon Oct 24 12:08:17 2005 => File C:\Programme\winsupdater\winsupdater.exe infected by "Worm.Win32.VB.an" Virus! Action Taken: No Action Taken.
Mon Oct 24 13:23:21 2005 => File C:\WINDOWS\n_hwfflp.dat infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken.
Mon Oct 24 13:44:54 2005 => File D:\Downloads_2\AntiViren\attack_tool_kit-3.0.zip infected by "HackTool.Win32.AttKit.b" Virus! Action Taken: No Action Taken.
Mon Oct 24 13:50:54 2005 => Scanning Folder: D:\Programme\AntiVir_personal_funktnicht\INFECTED\*.*
Mon Oct 24 13:51:01 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 24 14:02:44 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 11:11:33 2005 => File C:\WINDOWS\NDNuninstall6_10.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 11:11:33 2005 => File C:\WINDOWS\NDNuninstall6_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 11:26:18 2005 => File C:\Downloads\GDiVX1.9.9.5.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 13:23:20 2005 => File C:\WINDOWS\NDNuninstall6_10.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Oct 24 13:23:20 2005 => File C:\WINDOWS\NDNuninstall6_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 14:02:44 2005 => Total Virus(es) Found: 27
Mon Oct 24 14:02:45 2005 => Total Errors: 410
Mon Oct 24 14:02:45 2005 => Time Elapsed: 02:53:09
Mon Oct 24 14:02:44 2005 => Total Objects Scanned: 155617
Mon Oct 24 14:02:45 2005 => Virus Database Date: 2005/10/17
Mon Oct 24 14:19:04 2005 => Virus Database Date: 2005/10/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


HIER DER HJT LOGFILE:

Logfile of HijackThis v1.97.7
Scan saved at 14:30:19, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\FireFox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Downloads_2\AntiViren\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.1.1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://h**p://v4.windowsupdate.micro...142.4643981481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Servus, shad!
Hier zeigt sich, dass für die Beurteilung auch der Kopf wichtig ist. Du nutzt immer noch eine doch sehr alte Version von HJT. Hol Dir die aktuelle 1.99.1 http://www.wintotal.de/softw/index.php?id=2022 und poste noch einmal ein HJT Logfile aus dem normalen Modus
Deine Escan-Signaturen sind auch nicht aktuell!
Was den Wurm angeht, bin ich aber jetzt schon skeptisch! (Bropia ist der alias Name bei Sophos) Das Ding lädt einen Backdoor nach!
Mal sehen, bis später, stupormundi

Hier der Logfile von dem aktuellen HJT. Oh man...hoffentlich wird alles gut.


Logfile of HijackThis v1.99.1
Scan saved at 14:50:25, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://w*w.bitdefender.com/scan8/oscan8.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

W32/Bropia-A also launches W32/Rbot-TX

--> da habe ich noch gelesen:

The worm will prevent the following files from being executed:

cmd.exe
taskmgr.exe ...und der geht ja auch nicht bei mir.

Dann ist er es wohl wirklich....unter anderen!?!?

Und warum hat mein System laut Escan soviel Fehler:
"Mon Oct 24 14:02:45 2005 => Total Errors: 410"

:confused:

Servus, shad!
In Deinem HJT-Log kann ich nichts finden, was auf einen Schädling hindeutet!
Hast Du schon etwas entfernt/gelöscht?
Update mit 'kavupd.exe' Deine escan Signaturen und lass das noch einmal (ich weiß, das dauert) laufen!
Nachtrag: Keine voreiligen Schlüsse ziehen ;)
Die Fehler sind vorerst wurscht!
stupormundi

ja, ich habe gestern mittels HJT schon 2 sachen entfernt, die mir spanisch vorkamen...also mehr so intuitiv :schmoll:
Das eine hieß irgendwas mit "...winupdate", dazu hat Adaware gestern
mehrmal alcan.a entfernt - ich befürchtete erfolglos, weil er es immer wieder gefunden hat.
Übrigens habe ich gerade bemerkt, dass mein Taskmanager wieder funktioniert.
Ich update EScan und poste dann wieder...danke nochmal für die Hilfe!

Hallo,

solch einen Eintrag hast Du gefixt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winupdates
C:\Prpogramme\winupdates\winupdates.exe /auto

Schau hier:
http://www.sophos.com/virusinfo/analyses/w32alcrab.html

dartus

ja, ich glaube das war es. habe so einen ähnlichen hinweis auch irgendwo gelesen und es deswegen einfach ma gelöscht...ob damit allerdings das Problem entgültig gelöst ist, weiß ich nicht. Schließlich hat adaware auch danach noch w32.alcan.a gefunden.
Leider kann ich die Ergebniss von Escan , HJT etc. nicht ordentlich interpretieren.

Übrigens hatte ich mir über limewire sowas hier runtergeladen:
h**p://www.viruslist.com/de/viruses/encyclopedia?virusid=80560
Nur habe ich das setup abgebrochen, weil Antivir gemeckert hat...was wohl leider auch nicht mehr alles verhindern konnte.

Hallo shad,

das bloße Fixen reicht nicht, die Datei sollte auch gelöscht werden.
Lösche eifach alle von Escan gefundenen Dateien (vorzugsweise im abgesicherten Modus) oder benutze die Killbox (Beschreibung siehe hier unter "Einsetzen von eScan – Beseitigung der Malware:".

dartus

hey dartus

danke für den Beitrag!!!
Ich werd dann also gleich der Anleitung Killbox einsetzen und danach die aktualisierte Form von EScan im abgesicherten Modus nochmals laufen lassen!?

PS: Killbox kann ich im normalen Modus laufen lassen,oder?
PSS: EScan updated aber janz schön viel...

so...ich habe also mit Killbox die Dateien, die Escan anzeigte, beseitigt.
Dann habe ich EScan aktualisiert und im abgesicherten erneut suchen lassen, nachdem ich das alte Logfile von EScan gelöscht habe.

Hier ist was bei raus kam. Was sollte ich nun tun? Hilfe...der Schrecken muß ein Ende haben :(
ESCAN:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 18:12:10 2005 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Mon Oct 24 18:12:13 2005 => System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: No Action Taken.
Mon Oct 24 18:12:21 2005 => System found infected with rapidblaster Spyware/Adware (install.html)! Action taken: No Action Taken.
Mon Oct 24 18:12:24 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Mon Oct 24 18:12:26 2005 => System found infected with rapidblaster Spyware/Adware (install.html)! Action taken: No Action Taken.
Mon Oct 24 20:52:07 2005 => Scanning Folder: D:\Programme\AntiVir_personal_funktnicht\INFECTED\*.*
Mon Oct 24 20:52:13 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 24 21:03:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKCU\Software\kazaa !!!
Mon Oct 24 18:12:13 2005 => Offending file found: C:\WINDOWS\alchem.ini
Mon Oct 24 18:12:15 2005 => Offending Folder found: C:\Programme\powerstrip
Mon Oct 24 18:12:16 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Anwendungsdaten\macromedia\dreamweaver mx 2004\configuration\toolbars\mm
Mon Oct 24 18:12:18 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\ea games\die sims 2\music\cas
Mon Oct 24 18:12:21 2005 => Offending file found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\virginias\guestbook\install.html
Mon Oct 24 18:12:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Startmenü\programme\limewire
Mon Oct 24 18:12:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Startmenü\Programme\limewire
Mon Oct 24 18:12:24 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Mon Oct 24 18:12:26 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\ea games\die sims 2\music\cas
Mon Oct 24 18:12:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\virginias\guestbook\install.html...WAS BEDEUTET DAS HIER EIGENTLICH?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 21:03:34 2005 => Total Virus(es) Found: 15
Mon Oct 24 21:03:34 2005 => Total Errors: 410
Mon Oct 24 21:03:34 2005 => Time Elapsed: 02:51:32
Mon Oct 24 21:03:34 2005 => Total Objects Scanned: 156013
Mon Oct 24 21:03:34 2005 => Virus Database Date: 2005/10/24
Mon Oct 24 21:12:26 2005 => Virus Database Date: 2005/10/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Und nochmal HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:18:31, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://w*w.bitdefender.com/scan8/oscan8.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hey

#Versuch mal unter Start/Ausführen,ob folgende Bfehle funktionieren cmd und regedit
#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:Falls vorhanden
C:\WINDOWS\system32\winlog.exe
C:\Programme\winsupdater

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:
3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#PC neustarten
#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#PC neustarten
#Neue HijackThis Log & den Report des Ewido Scans posten

Gruss
Expert

ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?

Auf keinen falls die Datei C/Windows/System32/Winlogon loeschen (Legitime Datei)

Gruss
Expert

hey

Beide funktionieren?

Gruss
Expert

ZWISCHENSTAND:

-cmd und regedit funktionieren.
-winsupdater wurde gelöscht
-die selbst erstellte fix.bat hat nicht gefunden und gelöscht

Im Voraus auch Dank an Experte

hey

hast du noch Probleme?

Gruss
expert

Vll. könntest du mir das sagen, nachdem ich die Logfile von HJT und Ewido gepostet habe??? Oder meinst, dass jetzt alles gut aussieht?

@shad

Am besten posten

Gruss
Expert

Hier die Logfiles / Reports...und wie siehts aus!?!


Logfile of HijackThis v1.99.1
Scan saved at 14:32:55, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Downloads_2\AntiViren\Ewido\security suite\ewidoctrl.exe
D:\Downloads_2\AntiViren\Ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - D:\Downloads_2\AntiViren\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Downloads_2\AntiViren\Ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:00:15, 25.10.2005
+ Report-Checksumme: CD13F736

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{00AF6BF7-1C8A-2F68-11A6-3DD4FD5A3DED} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{38D4E2FB-BB30-60CB-0D77-12064B5A0EE4} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{81A4261C-171F-77DC-FD21-B540588D285C} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{A45C982E-5E8A-94C9-33A0-1F6E1789AC7E} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{BC7CDD90-0B77-5C0F-AD1F-789795AD1AC3} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{C9708EE9-2213-493f-B7B1-C7DE7FADB688}\\AppID -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{C9708EE9-2213-493f-B7B1-C7DE7FADB688}\TypeLib\\ -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{81481291-AFAF-11D1-8F8A-E8CB12000000}\TypeLib\\ -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{B65AD801-ABAF-11D0-BB8B-00A0C90F2744}\TypeLib\\ -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Shad\Cookies\shad@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\fsdginst.log:pihum -> TrojanDownloader.WinShow.ak : Gesäubert mit Backup
C:\WINDOWS\FSSYSUPD.LOG:uwocw -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\fwinst.log:mxghy -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\iccsigs.dat:stfxl -> TrojanDownloader.WinShow.ak : Gesäubert mit Backup
C:\WINDOWS\Rtcw.INI:cxqqq -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\Sof2.INI:jvxus -> TrojanDownloader.Agent.bq : Gesäubert mit Backup


::Report Ende

noch eine kl. Frage:
ist es sinnvoll AntiVirGuard UND Ewido parallel im Hintergrund laufen zu lassen?

Habe schon Antwort erhalten. Ist alles wieder gut. Vielen Dank nochmal an das Forum und alle mich so hilfsbereit unterstützt haben!!! :)

hey

Alles soll ok sein!
EWIDO kannst du wieder deinstallieren(Test Version)

Gruss
Expert