Dreschdis -> Warning you are in Danger

[Dreschdi]

Guten Tag.

Habe das selbige Problem wie Lines und habe mich einfach mal an den Plan gehalten, was man so alles tun soll.

Mal abgesehen vom "Upload malicious software" (das hab ich nämlich total übersehen ). Ebenso lies sich beim Panda ActiveScan nur die Viren erkennen - aber nicht löschen. Ist das denn richtig so? (Ich besitze übrigens als festen Virenscanner sowieso den Panda Platinum, welcher aber keine Viren mehr entdeckte - den Trojaner hatte ich vorher schonmal entfernt).

Jedenfalls möchte ich gern mal - in der Hoffnung das das ok ist - meine Logfiles nach dem abarbeiten der Liste hier reinstellen, da der IE zwar mitlerweile wieder normal funktioniert (Startseite, etc.) allerdings im Hintergrundbild immer noch die Warnung steht - und wenn man da evtl. ausversehen mal drauf klickt ist alles wieder wie vorher und das will ich ja nicht.

about:Buster Logfile:

Code:

AboutBuster 5.0 reference file 28
Scan started on [05.06.2005] at [14:11:45]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:12:00


AboutBuster 5.0 reference file 28
Scan started on [05.06.2005] at [14:13:09]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:13:22


AboutBuster 5.0 reference file 28
Scan started on [05.06.2005] at [14:13:48]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:14:01


AboutBuster 5.0 reference file 28
Scan started on [05.06.2005] at [14:15:10]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:15:22

Ad-Aware SE Logfile

Code:

Ad-Aware SE Build 1.05
Logfile Created on:Sonntag, 5. Juni 2005 13:55:30
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R49 31.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CommonName(TAC index:7):3 total references
MRU List(TAC index:0):17 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


05.06.2005 13:55:30 - Scan started. (Custom mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 128
    ThreadCreationTime : 05.06.2005 11:41:32
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 176
    ThreadCreationTime : 05.06.2005 11:41:39
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 200
    ThreadCreationTime : 05.06.2005 11:41:41
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 244
    ThreadCreationTime : 05.06.2005 11:41:44
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Betriebssystem Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Anwendung für Dienste und Controller
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 256
    ThreadCreationTime : 05.06.2005 11:41:44
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 400
    ThreadCreationTime : 05.06.2005 11:41:47
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 444
    ThreadCreationTime : 05.06.2005 11:41:48
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 500
    ThreadCreationTime : 05.06.2005 11:41:48
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 712
    ThreadCreationTime : 05.06.2005 11:41:57
    BasePriority       : Normal
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Betriebssystem Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Explorer
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Alle Rechte vorbehalten.
    OriginalFilename   : EXPLORER.EXE

#:10 [ad-aware.exe]
    FilePath           : C:\Programme\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 1028
    ThreadCreationTime : 05.06.2005 11:54:36
    BasePriority       : Normal
    FileVersion        : 6.2.0.206
    ProductVersion     : VI.Second Edition
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 CommonName Object Recognized!
    Type               : Regkey
    Data               : 
    Category           : Data Miner
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{1e1b2878-88ff-11d2-8d96-d7acac95951f}

 CommonName Object Recognized!
    Type               : RegValue
    Data               : 
    Category           : Data Miner
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{1e1b2878-88ff-11d2-8d96-d7acac95951f}
    Value              : 

 CommonName Object Recognized!
    Type               : Regkey
    Data               : 
    Category           : Data Miner
    Comment            : 
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : typelib\{1e1b286c-88ff-11d2-8d96-d7acac95951f}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 3


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3

 MRU List Object Recognized!
    Location:          : C:\Dokumente und Einstellungen\test\recent
    Description        : list of recently opened documents


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\directinput\mostrecentapplication
    Description        : most recent application to use microsoft directinput


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\directinput\mostrecentapplication
    Description        : most recent application to use microsoft directinput


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\internet explorer
    Description        : last download directory used in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\internet explorer\typedurls
    Description        : list of recently entered addresses in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\mediaplayer\player\recentfilelist
    Description        : list of recently used files in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\mediaplayer\preferences
    Description        : last playlist index loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\search assistant\acmru
    Description        : list of recent search terms used with the search assistant


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Description        : list of recent programs opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Description        : list of recently saved files, stored according to file extension


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\windows\currentversion\explorer\recentdocs
    Description        : list of recent documents opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 


 MRU List Object Recognized!
    Location:          : S-1-5-21-44180105-3381995541-3432627721-1004\software\winrar\dialogedithistory\extrpath
    Description        : winrar "extract-to" history



Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 20



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 20


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 20




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 20

14:02:39 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:07:08.937
Objects scanned:109150
Objects identified:3
Objects ignored:0
New critical objects:3

Panda Online-Scan Logfile

Code:

Incident                      Status                        Location                                                                                                                                                                                                                                                        

Adware:Adware/TopSpyware      No disinfected                C:\WINDOWS\system32\winnook.exe                                                                                                                                                                                                                                 
Adware:Adware/CWS             No disinfected                C:\Dokumente und Einstellungen\test\Favoriten\Online Gambling\Online Gambling.url                                                                                                                                                                               
Adware:Adware/Popuper         No disinfected                Windows Registry                                                                                                                                                                                                                                                
Adware:Adware/Virmaid         No disinfected                C:\WINDOWS\popuper.exe                                                                                                                                                                                                                                          
Adware:Adware/Popuper         No disinfected                C:\!Submit\intmon.exe                                                                                                                                                                                                                                           
Adware:Adware/Virmaid         No disinfected                C:\!Submit\ole32vbs.exe                                                                                                                                                                                                                                         
Adware:Adware/Popuper         No disinfected                C:\!Submit\shnlog.exe                                                                                                                                                                                                                                           
Adware:Adware/Popuper         No disinfected                C:\Dokumente und Einstellungen\test\Desktop\backups\backup-20050605-135056-811.dll                                                                                                                                                                              
Adware:Adware/CWS             No disinfected                C:\Dokumente und Einstellungen\test\Favoriten\Online Gambling\Online Gambling.url                                                                                                                                                                               
Adware:Adware/Popuper         No disinfected                C:\HJT\backups\backup-20050604-163252-834.dll                                                                                                                                                                                                                   
Adware:Adware/Popuper         No disinfected                C:\HJT\backups\backup-20050604-163400-442.dll                                                                                                                                                                                                                   
Adware:Adware/Popuper         No disinfected                C:\HJT\backups\backup-20050604-163444-509.dll                                                                                                                                                                                                                   
Adware:Adware/Virmaid         No disinfected                C:\WINDOWS\popuper.exe                                                                                                                                                                                                                                          
Adware:Adware/Startpage.YN    No disinfected                C:\WINDOWS\system32\hhk.dll                                                                                                                                                                                                                                     
Adware:Adware/Popuper         No disinfected                C:\WINDOWS\system32\hp803C.tmp                                                                                                                                                                                                                                  
Adware:Adware/TopSpyware      No disinfected                C:\WINDOWS\system32\winnook.exe

(Ich möchte anmerken das einige der Dateien z.B. shnlog.exe von mir gelöscht wurden).

HJT Logfile:

Code:

Logfile of HijackThis v1.99.0
Scan saved at 15:25:46, on 05.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
C:\WINDOWS\system32\winnook.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Dokumente und Einstellungen\test\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dreschdi.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.0.1/
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\winnook.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Belkin 54g Wireless USB Network Adapter - Unknown - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

Vielen Dank schonmal vorab für die Hilfe.

[hbxxl]

soo

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1

bei mir hat "C:\WINDOWS\system32\LEXBCES.EXE" versucht als serverdiesnt zu conecten man findet allerdings keine infos dazu.
Da ich ihn erst seit kurzem habe und ich ihn nicht entfernen konnte gehe ich davon asu dsa er schädlich ist

wech damit

[Speedy]

hi

---------------------------------------
diese dateien bitte hier zur überprüfung und weiterleitung hochladen
C:\WINDOWS\system32\winnook.exe
---------------------------------------
diese dateien hier bei Jotti oder Virustotal überprüfen lassen, ergebnis hier posten.
C:\WINDOWS\system32\winnook.exe
---------------------------------------
1) download das programm von Microworld
2) entpacke die datei mwav.exe oder mwav.zip in den ordner c:\bases
sollte das zip-programm dies nicht in einem schritt zulassen, so muss der ordner c:\bases manuell genau so angelegt werden.
3) nun wird der windows-explorer geöffnet und mit einem doppelklick auf die datei kavupd.exe
wird das update gestartet. auf meinem system (windowsxpsp2) wird sofort ein ordner C:\Download erstellt, der nach dem update
ca. 110 datein und ca. 5 MB groß ist, ein weiterer ordner c:\Bases_X wurde ebefalls erstellt, inhalt 105 datein und ebefalls 5 MB groß
im ordner c:\bases sind 133 datein mit ca. 7,4 MB
4) wechsle in den abgesicherten modus von windows
5) öffne nun wieder den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.com, schließe den explorer.
6) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN* drücken.
7) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
8) nun öffnest du mit dem editor, die mxXface.log, poste den inhalt, anschließend die mwav.txt oder mwav.log poste die zusammenfassung

[Dreschdi]

zur zeit fügt er meine antwort leider nicht ein. warum auch immer, wobei ich denke, dass die Antwort aufgrund des logfiles einfach zu lang ist.

Daher habe ich das letzte Logfile einfach extern abgelegt und hier verlinkt:

Hier die gewünschten Logfiles, etc. (die von Jotti und Virustotal hab ich mal als Grafik gemacht, da es sonst als TXT zu unübersichtlich wird).

Malicious:

Code:

winnook.exe (36864 Bytes)
Unsere Antwort: Trojan.TopAntiSpyware.L Wir werden diese Datei allen Virenschutzhersteller zukommen lassen.

Jotti:
http://www.altax-os.de/Virusprobleme/jotti.jpg

Virustotal:
http://www.altax-os.de/Virusprobleme/virustotal.jpg

mxXface.log: Leider nicht gefunden. Auch nicht mit der Such-Funktion.

mwav.log: http://www.altax-os.de/Virusprobleme/mwav.txt

[Ruby]

Hallo Dreschdi

poste bitte nochmal ein neues HJT-Logfile. Und, ich werde mir NICHT die Mühe machen, die Virenfunde aus deinem Mwav-Logfile selbst herauszusuchen. das ist deine Abeit, also mache es bitte.

[Ruby]

Hallo Dreschdi,

ich habe mir eben alle deine Logfiles angeschaut und festgestellt, dass du den bereits von mir veröffentlichten "Smitfraud.c & updatesearches.com" mit der Adware-Warnung "You are in Danger" auf dem System hast. Dafür gibt es an Board bereits eine Lösung. Ich gebe dir die beiden Links und möchte dich bitten, die Anleitung abzuarbeiten:

Unter Sicherheits-News findest du dieses Thema:
Smitfraud.c & updatesearches.com mit Weiterleitung zu der Lösung des Problems: Anleitung zur Reinigung.

Was du nicht auf deinem System hast, brauchst du nicht zu löschen. Also einfach überspringen.

Sollte dir etwas unklar sein, meld dich bei uns.