System zerstört?
 

Hi,
das wars wohl mit meinem Windows:

Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Egal wie oft ich scanne das kommt immer wieder und das schlimmste ist wohl:
(aus dem Esccan Protocol)

Tue Apr 29 04:06:53 2008 => Offending file found: C:\WINDOWS\system32\svchost.exe
Tue Apr 29 04:06:53 2008 => System found infected with combo Spyware/Adware (C:\WINDOWS\system32\svchost.exe)! Action taken: Einträge entfernt.
Tue Apr 29 04:06:53 2008 => Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Tue Apr 29 04:06:53 2008 => Offending file found: C:\WINDOWS\system32\spoolsv.exe
Tue Apr 29 04:06:53 2008 => System found infected with combo Spyware/Adware (C:\WINDOWS\system32\spoolsv.exe)! Action taken: Einträge entfernt.
Tue Apr 29 04:06:53 2008 => Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.



Kann man da noch was machen?!

Hilfe bitte! :(

mfg
Kai

svchost.exe und spoolsv.exe

Ich würde sagen eScan spinnt und die Dateien sind die legitimen Windowsprozesse.
Sicherheitshalber kannst du die Dateien ja mal bei virustotal hochladen, oder per Rechtsklick die Eigenschaften aufrufen und dort im Reiter Version schauen wer die Datei erstellt hat, wie sie heißt, etc.
Ich würde einiges wetten, dass der Autor Microsoft ist. :D

Bitte die Datein nicht löschen, ansonsten kannst du dir dein Betriebssystem ordentlich zerschießen.

Poste bitte noch ein Hijackthislog und das Ergebnis von Malwarebytes
lg myrtille

Hi nochmal,
ok ich werte alles nochmal aus und poste nochmal!

Erstmal:
Logfile of HijackThis v1.99.1
Scan saved at 15:57:56, on 29.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\vVX1000.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Schutz\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/downlo...BundleId=19588
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CBC7177-7B28-4F9B-A66A-EB2CA21143D8}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs:
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

Hallo

Das Hijackthis Log ist sauber.
Mal auf die anderen Logs warten.

Hier Malwarebytes hat was gefunden:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 697

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 200453
Scan Dauer: 1 hour(s), 23 minute(s), 57 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{E1C9F3F6-F447-442C-92D0-44936891F853}\RP282\A0069008.sys (Trojan.Inject) -> No action taken.

Hi,
das sieht fast gut aus.

Deaktiviere bitte einmal die Systemwiederherstellung unter Start->Systemsteuerung->System->Systemwiederherstellung indem du dort "Systemwiederherstellung auf allen Laufwerken deaktivieren" anwählst. Fahre dann deinen Rechner runter und starte ihn neu.
Danach kann die Systemwiederherstellung auf demselben Weg wieder angestellt werden.

Hat deine TrendMicro-Suite einen Rootkitscanner? Findet dieser etwas?

Was hat die Analyse der Dateien bei virustotal ergeben?

lg myrtille

Virustotal hat nichts ergeben, war aber auch seltsam...

Von wegen ich hätte die schon hochgeladen?!

Hat aber trotzdem gescannt und bei beiden nicht gefunden.

Root-Kit-Dings habe ich leider keins.

mfg
Kai

Ich werds nicht los!

Tue Apr 29 19:47:36 2008 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Tue Apr 29 19:47:38 2008 => Loading Spyware Signatures from new External Database (Size: 814586).
Tue Apr 29 19:47:45 2008 => Indexed Spyware Databases Successfully Created...

Tue Apr 29 19:49:16 2008 => Offending file found: C:\WINDOWS\system32\svchost.exe
Tue Apr 29 19:49:16 2008 => System found infected with combo Spyware/Adware (C:\WINDOWS\system32\svchost.exe)! Action taken: Einträge entfernt.
Tue Apr 29 19:49:16 2008 => Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Tue Apr 29 19:49:16 2008 => Offending file found: C:\WINDOWS\system32\spoolsv.exe
Tue Apr 29 19:49:16 2008 => System found infected with combo Spyware/Adware (C:\WINDOWS\system32\spoolsv.exe)! Action taken: Einträge entfernt.
Tue Apr 29 19:49:16 2008 => Object "combo Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Spybot findet jetzt auch immer:

Microsoft Windows Active Desktop

Kann ich löschen so oft ich will komt immer wieder...

Microsoft.Windows.ActiveDesktop: [SBI $377029D9] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-861567501-507921405-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper

WebTrends live: Verfolgender Cookie (Opera 7+: Kai) (Cookie, nothing done)


Common Dialogs: History (399 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Datei sichern, nothing done)
C:\WINDOWS\imsins.log

Log: Activity: OEWABLog.txt (Datei sichern, nothing done)
C:\WINDOWS\OEWABLog.txt

Log: Activity: ntbtlog.txt (Datei sichern, nothing done)
C:\WINDOWS\ntbtlog.txt

Log: Install: comsetup.log (Datei sichern, nothing done)
C:\WINDOWS\comsetup.log

Log: Install: Directx.log (Datei sichern, nothing done)
C:\WINDOWS\Directx.log

Log: Install: ocgen.log (Datei sichern, nothing done)
C:\WINDOWS\ocgen.log

Log: Install: setupact.log (Datei sichern, nothing done)
C:\WINDOWS\setupact.log

Log: Install: setupapi.log (Datei sichern, nothing done)
C:\WINDOWS\setupapi.log

Log: Install: setuplog.txt (Datei sichern, nothing done)
C:\WINDOWS\setuplog.txt

Log: Shutdown: System32\wbem\logs\mofcomp.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\setup.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\setup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wbemsnmp.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemsnmp.log

Log: Shutdown: System32\wbem\logs\winmgmt.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiadap.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Cookie: Cookie (16) (Cookie, nothing done)


Cache: Cache (5074) (Cache, nothing done)


History: Verlauf (60) (Verlauf, nothing done)


Cookie: Cookie (34) (Cookie, nothing done)


Cache: Cache (1) (Cache, nothing done)


History: Verlauf (18) (Verlauf, nothing done)


Cookie: Cookie (9) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---

2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2006-03-12 unins000.exe (51.41.0.0)
2008-02-06 unins001.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-04-16 Includes\Adware.sbi (*)
2008-04-24 Includes\AdwareC.sbi (*)
2008-04-24 Includes\Cookies.sbi (*)
2007-12-26 Includes\Dialer.sbi (*)
2008-04-24 Includes\DialerC.sbi (*)
2008-04-24 Includes\HeavyDuty.sbi (*)
2008-03-19 Includes\Hijackers.sbi (*)
2008-04-24 Includes\HijackersC.sbi (*)
2008-02-27 Includes\Keyloggers.sbi (*)
2008-04-24 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-04-22 Includes\Malware.sbi (*)
2008-04-24 Includes\MalwareC.sbi (*)
2008-03-26 Includes\PUPS.sbi (*)
2008-04-24 Includes\PUPSC.sbi (*)
2008-04-24 Includes\Revision.sbi (*)
2008-01-09 Includes\Security.sbi (*)
2008-04-24 Includes\SecurityC.sbi (*)
2008-04-16 Includes\Spybots.sbi (*)
2008-04-24 Includes\SpybotsC.sbi (*)
2008-04-16 Includes\Spyware.sbi (*)
2008-04-24 Includes\SpywareC.sbi (*)
2007-11-06 Includes\Tracks.uti
2008-04-24 Includes\Trojans.sbi (*)
2008-04-24 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Hi,
also ich bin der Meinung, dass eScan sich irrt. Andere Programme finden in den Dateien keine Anzeichen für Malware und auch auf deinem System keine Anzeichen für Malware.

Ich finde allerdings keine weiteren informationen zu dieser "combo spyware", scheint ein eScan eigener Name zu sein.

Die Einträge von Spybot sind nicht bedrohlich:
Der ActivDesktop-Eintrag ist ein normaler Registryschlüssel, den du oder ein legitimes Programm eingestellt haben könntest und der sich auch leicht zurücksetzen lässt.
Wenn du ihn löschst, wird er von Windows neuerstellt.

Der Rest sind Logdateien von Windows, ebenfalls an sich unbedenklich.

Wie heißt denn dein eScan richtig? Ist das die F-Secure Internet Security 2008?

lg myrtille

Der Virenscanner heißt:

Escan Pro 8.0.671.1

Ist nicht mehr ganz aktuell benutze ich schon länger.

Normalerweise hatte Spybot nur Cookies gefunden.

Escan fand meistens auch nicht ernstes.

Also mein System also das Windows ist schon Jahre alt, und funktioniert auch immer noch so wie vorher.

Das einzige was wirklich nervt ist beim Windows-Start:

Ich drücke auf Login, und es tut sich nichts, da erst der Virenscanner scannt.

Er findet die 2 Einträge aber beim näcchsten Start ist es genau das gleiche...

mfg
Kai

Mit MWAV Version 9.8.1 bekomm ich nun:

29 Apr 2008 20:51:24 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
29 Apr 2008 20:51:25 - Loading Spyware Signatures from new External Database [Name: C:\PROGRA~1\eScan\spydb.avs, Size: 814586].
29 Apr 2008 20:51:33 - Indexed Spyware Databases Successfully Created...

29 Apr 2008 20:52:56 - Offending Registry Entry found: hkcu\software\vb and vba program settings
29 Apr 2008 20:52:56 - System found infected with spyware.osmonitor Spyware/Adware (hkcu\software\vb and vba program settings)! Action taken: Keine Maßnahme ergriffen.

29 Apr 2008 20:52:56 - Offending Registry Entry found: hklm\software\licenses
29 Apr 2008 20:52:56 - System found infected with combo Spyware/Adware (hklm\software\licenses)! Action taken: Keine Maßnahme ergriffen.

29 Apr 2008 20:52:56 - Offending Registry Entry found: hkcu\software\microsoft\internet explorer\desktop\safemode\components
29 Apr 2008 20:52:56 - System found infected with combo Spyware/Adware (hkcu\software\microsoft\internet explorer\desktop\safemode\components)! Action taken: Keine Maßnahme ergriffen.

29 Apr 2008 20:52:56 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\run/alcmtr
29 Apr 2008 20:52:56 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.

Ok, dann versuch mal mit blacklight nach rootkits zu scannen, und poste das Ergebnis hier.

Wenn Blacklight auch nichts findet, kann ich dich nur noch an eScan verweisen. Vielleicht beheben die das Problem.
Dann dürfte das Problem tatsächlich bei eScan liegen und nicht bei deinem System.

Ansonsten würd ich eventuell über einen Wechsel zu einem anderen Programm nachdenken.

lg myrtille

Ne auch Blackight findet nichts.

Gibts es noch andere Scanner die einfach ohne Installation benutzt werden können, sowie MWAV aber von einer anderen Firma.

Übrigens: Vielen Dank für deine Hilfe! :)

mfg
Kai

Wie? :confused:

Du hast MWAV doch installiert:
Oder hast du mit dem OnlineScanner nach der Anleitung im Forum gescannt? :o (Das sollte aber mindestens 9.5 sein...)

lg myrtille

Mein Escan findet die Fehler, die neuere Freeware der selben Firma findet die gleichen Fehler.

Logisch....

Oder findet Malwarebytes genauso viel wie Escan MWAV?

mfg
Kai

Re,

Die Meinungen zu Malwarebytes sind derzeit insgesamt ziemlich gut. Allerdings ist es noch ein sehr junges Programm.

Meine Frage bezog sich allerdings mehr auf deine Aussage, dass du ein Programm, willst das nicht installiert werden muss.
Die eScanversion, die du nutzt ist installiert.
Du könntest sie mE über Systemsteuerung oder Ähnlichem deinstallieren und dann ein anderes Programm, etwa Antivir (oder Avast oder Kaspersky oder...) installieren.
Du kannst natürlich auch die Online-Scanner von Kaspersky etc. nutzen, dafür brauchst du eScan nicht deinstallieren.

Es gibt 2 Sorten von Antivirenscanner OnAccess-Scanner und OnDemand-Scanner. Diese beiden Scanner funktionieren unterschiedlich und haben auch ganz unterschiedliche Ziele.
OnDemand-Scanner benutzt man für Scans, wie ich ihn dich hab durchführen lassen.
Sie haben den Vorteil, dass sie nicht von Dateien abhängen, die aufm Rechner lagen zum Zeitpunkt der Infektion und sind somit an sich vor Kompromittierung sicher.
Allerdings bietet diese Art Scanner keinen Schutz. Du lädst ihn herunter, er guckt ob dein Rechner infiziert ist, und beendet sich danach.
Du kannst problemlos mehrere OnDemandScanner hintereinander laufen lassen.

Anders der OnAccess-Scanner, das ist ein Scanner, den du auf deinem Rechner installiert und der von nun an immer startet, wenn du dein System hochfährst. Er läuft im Hintergrund mit und prüft während dem Betrieb ob du gefährliche Dateien ausführst, ob Dateien sich ungewöhnlich verhalten, etc.
OnAccess-Scanner darf immer nur EINER auf deinem Rechner sein. Bevor du also einen anderen OnAccess Scanner testest müsstest du also deinen derzeitigen Scanner, eScan, deinstallieren.
(Ansonsten hast du 2 Scanner die gucken ob sich irgendwo eine Datei seltsam verhält und spätestens wenn einer der Scanner in der Quarantäne des anderen eine Datei findet, die er löschen möchte kommt es zum Krieg zwischen den beiden Scannern.... und das ist nicht schön.)

Daher meine Frage ob du das Programm installiert hast und ob du deinen OnAccess-Scanner wechseln möchtest.
Oder ob du nach der Anleitung aus dem Forum vorgegangen bist und dir den OnDemandScanner von eScan heruntergeladen hast und von diesem die Meldung bekommst.

lg myrtille

Beim letzten Virenscannerwechsel hätte ich mir fast mein System abgeschossen, keine Ahnung wieso... -> Bluescreen....

Seitdem bin ich vorsichtig.

OK, hast du eine konkrete Empfehlung für einen Ersatz für meinen alten Scanner?

Antivir, Kaspersky?

Welcher ist den "der Beste"?

mfg
Kai

P.S.
Meine Systemwiederherstellung lässt nicht wieder aktivieren?!

Hi,
bevor du irgendwas installierst, würde ich gerne sichergehen, dass die eScan-Programme komplett vom Rechner runter sind.
Ohne Spass, ich hab schon Fälle gesehen, in denen nach der Installation eines 2. Antivirenprogramms Windows nicht mehr gebootet ist, so gut kann das funktionieren. :balla:

Deinstalliere daher bitte eScan über Start->Systemsteuerung->Software. Wähle dort eScan an und klicke auf "Remove/Uninstall". Danach sollte dich ein Wizzard durch die Deinstallation geleiten.
Wenn das nicht der Fall ist, melde dich bitte hier.
Sollte alles wie geplant verlaufen, erstelle bitte ein neues Hijackthislog und poste es hier.

"Das Beste" gibt es nicht, Antivir und Kaspersky gehören derzeit sicherlich zu den Besten - ich würde mich für das Antivirenprogramm entscheiden, dass dich am meisten anspricht.

@Systemwiederherstellung:
Inwiefern? Ist das jetzt grauunterlegt? Oder werden Änderungen nicht übernommen?
Nutzt du Spybot? Ist der Teatimer aktiv? (In den "advanced Mode" wechseln, dann auf Tools->Resident-> und schauen ob der Haken bei TeaTimer gesetzt ist)

lg myrtille

lg myrtille

Hi nochmal,
ich kümmer mich morgen um einen neuen Virenscanner.

Teatimer habe ich nicht:

Da steht Bei der Aktivierung ist ein Fehler aufgetreten, bitte nochmals nach Neustart versuchen... so in etwa.

Aber egal wie oft ich starte bringt nichts.

Ich kuck mir das morgen nochmal an.

mfg
Kai

Hi,
wenn der Teatimer nicht läuft ist das vollkommen ok. Ich dachte dieser würde eventuell die Registryeinträge rückgängig machen wollen.
Ich bin heute wahrscheinlich nur sporadisch online, deswegen können die Antworten länger dauern.

Beantworte bitte noch folgendes:
Ruf mal mit Start->Ausführen-> services.msc eintippen die Dienste auf und schau ob der Dienst "Systemwiederherstellung" gestartet ist und welchen Starttyp er hat (also automatisch, manuell oder deaktiviert)
Vielleicht liegts ja einfach daran.

lg myrtille

Sorry mein I-net war mal wieder down,

Aber hier sind Sachen passiert:

Die neuere On-Access-Version MWAV 9.8.1 von Escan ist nicht Stand-Alone geblieben, sondern hat sich in meinen Virenscanner integriert.

Der installierte Scanne rist jetzt ebenfalls Version 9.8.1 :eek:

Naja Ok der hat 4 Fehler (alles Spyware) gefunden.

Aber die Löschung war erfolgreich!

Escan und Spybot finden nichts mehr, auch nach einem Neustart!

Gut, aber Systemwiederherstellung lässt sich nicht mehr aktivieren unter
services.msc steht: Systemwiederherstellung Automatisch

Was noch schlimmer ist:
Der "neue" Virenscanner findet einen Fehler, ok habe nicht dabei gedacht.
Aber dieser Fehler, war mal mein virtuelles Laufwerk! :heulen:

Das wurde gelöscht, lässt sich aber von der Software her, nicht mehr komplett deinstallieren!

Das ist natürlich schlecht.......

Sowas das wars an News!

mfg
Kai

Ok :) Gut. Steht da auch "gestartet" irgendwo? :)
Ich schau mich mal um, woran das noch liegen könnte.

Das mit dem Laufwerk versteh ich nicht so ganz, welche Software nutzt du? Was willst du deinstallieren? Das Programm?
Was hat eScan gemacht? (Das solltest du im Log nachsehen können.)

lg myrtille

Ne gestartet steht da nicht.... also doch geschossen.

Lässt sich wohl doch nicht mehr aktivieren.

Aber das ist mir im Moment sowieso egal.

Das mit dem virtuellen Laufwerk ist schlimmer.

Software Daemon Tools Version 4, also schon älter, 3 Jahre oder so.

Escan hat nur den Treiber davon abgeschossen! :snyper:

Toll oder, somit kann ich diese Software nicht deinstallieren und danach erneut installieren.

Fehler:

01 Mai 2008 18:40:35 - ERROR!!! Invalid Entry System32\Drivers\sptd.sys. Removing SYSTEM\CurrentControlSet\Services\sptd...

Ich mehme mal an das ich bei einer erneuten Installation mein ganzes System schiesse.

Die Systemwiederherstellung ist Out of Order....

Mein Windows hat seinen Zenit schon weit überschritten:
Alles Fehler von Windows kein Virus:

- Explorer spinnt gelegentlich -> alle Desktopsysbole werden neu geladen
- Divx kann nicht m,ehr regulär angezeigt werden
- Mein Flugsimulator funktioniert nicht mehr
- Jetzt noch die Systemwiederherstellung

Vielleicht sollte ich es lassen.... :schmoll:

mfg
Kai

Da hatte eScan aber nciht ganz unrecht:
:p
Da fehlt mindestens ein C:\windows\ ;)

Ich kann dir den Schlüssel wiederherstellen, weiß allerdings nicht ob das viel bringen wird, da eScan den vermutlich beim nächsten Mal wieder entfernt.
Die Daemontoolsversion runterzuschmeißen und eine neue zu installieren ist wohl keine Option... (was geht da nicht?)

Aber wenn sich die Probleme wirklich häufen, ist evtl eine Neuinstallation ganz hilfreich.

Wegen der Systemwiederherstellung:
Ruf nochmal services.msc auf, geh auf den Systemwiederherstellungsdienst und ruf per Rechtsklick die Eigenschaften auf.
Schau dort im Reiter " Abhängigkeiten" von welchen Systemkomponenten der Dienst abhängig ist und ob die Dienste alle laufen.


Wenn du den Systemwiederherstellungsdienst anklickst erscheint auf der linken Seite ein kleines Fenster in dem erklärt wird, was der Dienst tut. Darüber sollte "Den Dienst starten" (oder den Dienst neustarten) stehen.
Was passiert wenn du starten anklickst? Erhältst du eine Fehlermeldung?

lg myrtille

Es steht dann:

Dienste:

Der Dienst "Sytemwiederherstellungsdienst" auf "Lokaler Computer" konnte nicht gestartet werden.

Fehler 2: Das System konnte die angegebene DatBei Abhängiei nicht finden.

Bei Abhängigkeiten steht nur:

Remoteprozeduraufruf (RPC)

Sonst nichts

Würde es was bringen das System abgesichert zu starten?

Nein, eher nicht.
Wie stehts denn um den Remoteprozeduraufruf? Der sollte auf jedenfall auch automatisch gestartet werden.
Ist er deaktiviert? Kannst du ihn starten? Läuft er?

lg myrtille

Ja ist gestartet.

Wenn ich jetzt versuche Daemon-Tools zu installieren,
und es gibts einen Fehler, Bluescreen oder was auch immer,
dann war es das oder?

Mein Windows hat 3 Komplette Aufrüstungen überlebet und jetzt sowas.

Sowas dürfte es nicht geben....

Tja, das liegt an dir... bei solchen internen Problemen lässt sich meist nicht viel retten.
Wieviel Unannehmlichkeiten nimmst du in Kauf bevor du neuaufsetzt.

So wie du schreibst, würde ich allerdings wohl neuaufsetzen. Die Chancen, dass intern weit mehr kaputt ist, als man von außen sehen kann, stehen doch recht hoch. Zumal mehrere Aufrüstungen dem System wahrscheinlich auch nicht geholfen haben. ;)
Ich hab allerdings auch meine WindowsCD parat und weiß von wo ich welche Programme installieren möchte, daher kann ich auch "mal schnell Windows neuaufspielen" ;)

Ich kann dir noch nen paar Sachen anbieten. Für den Systemwiederherstellungsdienst könntest du zb Folgendes

rundll32.exe advpack.dll,LaunchINFSection %systemroot%\Inf\sr.inf

in das Fenster in Start->Ausführen kopieren.

Das erneuert den Systemwiederherstellungsdienst und repariert in so hoffentlich.

Aber selbst wenn das funktioniert bleibt die Frage, ob alle weiteren Probleme sich so auch lösen lassen und welche Probleme sich später zeigen werden.

lg myrtille

Witzbold! :daumenhoc

Welche späteren Probleme?

Windows bleibt Windows!

Ohne Fehler gibts das nicht!

Ich haue aber nicht alles weg, sondern behalte das Windows, hole mir even. eine andere Platte und fange von vorne an.

Aber erst nachdem ich alle Möglichkeiten hier durch habe.

Nochwas:
Was kann schlimmstenfalls passieren wenn ich : rundll32.exe advpack.dll,LaunchINFSection %systemroot%\Inf\sr.inf ausführe?

Klingt nicht gesund... ;)

Übringens kennst du dich auch mit Hardware aus?

mfg
Kai

Was schlimmstenfalls passieren kann? Das weiß ich selber nicht so genau.
Theoretisch ersetzt er dir alle für die Systemwiederherstellung relevanten Dateien mit Dateien aus dem letzten Update, bzw er fragt dich woher er die Dateien nehmen soll.
Wenn du da jetzt "alte" Versionen, etwa von deiner original-WindowsCD nimmst, dann kann es sein, dass es kompatibilitätsprobleme gibt.
Aber eigentlich dürfte das niemanden außer der Systemwiederherstellung stören und die geht ja eh nicht.


Hehe :aplaus: Hardware bin ich ne absolute Null. :p
Aber frag.. vielleicht kann ich dich ja an wen weiterleiten ;)

Ne ich mach das anders:

Ich habe noch eine 80Gb Paltte meine Windows-Partition ist auch nur 80Gb groß.

Ich mach ein Backup und dann kann ich ja alles in Klump hauen! :kloppen:

Aber wieder erst morgen! :daumenhoc

Vielen Dank für deine Hilfe!

mfg
Kai

P.S.
Das mit der Hardware war nur ein Test! :heilig:

Soso! :kloppen:

Irgendwann werd ich dich nochmal darauf hinweisen, dass es wahrscheinlich schneller gehen würde, wenn du einfach neuinstallierst.
Aber solange du hier so motiviert mit machst, wird das wohl eher nichts. :D

Dann sehen wir morgen weiter. :aplaus:

BTW:
Alles was ich dir vorschlage habe ich selber vorher getestet, ich lasse dich nicht ganz ungeschützt ins offene Messer laufen :D

lg myrtille

Soso, gut zu wissen Danke!

Einfach neuinstallieren geht hier nicht.

Das würde Wochen dauern.....

Aber heute habe ich keine Kopf mehr, deshalb morgen.

Ich melde mich wieder, aber vielleicht von einen anderen Pc aus! :daumenhoc

Nochmals vielen Dank!

bye
Kai