Problem mit Powerscan - wie entfernen

#0
07.07.2004, 20:43
...neu hier

Beiträge: 1
#1 Hallo,

ich habe seit ein paar Stunden mit einem Programm namens „Powerscan“ zu kämpfen. Wie und wo ich es mir eingefangen habe, weiß ich nicht, aber ich weiß, dass ich es gerne nicht mehr hätte.
Immer, wenn ich den Rechner und damit WinXp neustarte, startet auch dieses Programm. Um es deinstallieren zu können, soll man sich eine *.exe herunterladen – der Link dazu wird genannt. Das halte ich für einen ganz billigen Trick, allerdings reicht „billig“ aus, um mich völlig hilflos dastehen zu lassen, weil mir schlichtweg das Knowhow fehlt, das Programm wieder zu löschen.
Nicht nur, dass sich dieses Programm immer startet, was sich eingenistet hat, ich habe auch eine neue Toolbar im IE - „istbar“ genannt. Woher die plötzlich kommt, weiß ich ebenso wenig.

Die Suchfunktion dieses Forums hat einen Treffer zum Thema „Powerscan“ ausgespuckt, allerdings hilft mir der Thread nicht wirklich weiter. Jemand hat dort sein HijackLog ausgestellt und anhand dieses Logs wurden dann die Schritte erklärt, mit denen man das Problem behebt. Mein HiJackLog sieht natürlich anders aus – manchmal sehr ähnlich (wohl nicht weiter verwunderlich) aber ich weiß nun einfach nicht was ich machen kann, sollte, darf und überhaupt.
Man merkt – ich bin absoluter Laie und genau deshalb brauche ich Hilfe von anderen.
Weil ich so wenig Ahnung von der Materie habe, wäre es nett, wenn Erklärungen möglichst einfach gegeben werden könnte, sodass auch ich ihnen folgen kann ;)


Was ich bisher gemacht habe:
1. das System mit Antivir gescannt -> dabei wurden Trojaner gefunden und vernichtet
2. Ad-Aware laufen lassen und die gefundenen Spione gelöscht
3. HiJack-Scan ausgeführt.


In dem anderen Thread, in dem es u.a. auch um „Powerscan“ ging, hat der Autor sein HiJack-Log angegeben.
Das mache ich nun auch einmal und hoffe dass mir irgendwer helfen kann – ich bin schlichtweg überfordert :-B



Zitat

Logfile of HijackThis v1.98.0
Scan saved at 20:41:17, on 07.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Musik\Winamp\Winampa.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\devldr32.exe
D:\Programme\Pc-Cillin 2002\pccguide.exe
D:\Programme\Pc-Cillin 2002\PCCClient.exe
D:\Programme\Pc-Cillin 2002\Pop3trap.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\jwqacwv.exe
D:\Internet\ICQ\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
G:\Programme\AntiVirVersion6\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\WinTV\Ir.exe
D:\Video\Player\Common\Bin\WinCinemaMgr.exe
C:\Programme\Teledat\IWatch.exe
D:\Foto\Nikon View 6\NkvMon.exe
D:\Programme\Pc-Cillin 2002\Tmntsrv.exe
D:\Programme\Pc-Cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Outlook Express\msimn.exe
D:\Programme\Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\msagent\AgentSvr.exe
G:\Downloads\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dieneuewelt.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dieneuewelt.org/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobate Reader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - G:\Programme\Druckersoftware\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Creative Launcher] C:\Programme\Creative\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Internet\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Musik\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programme\Pc-Cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programme\Pc-Cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programme\Pc-Cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [flbhcx] C:\WINDOWS\System32\jwqacwv.exe
O4 - HKLM\..\Run: [bkxwxyz] C:\WINDOWS\bkxwxyz.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Video\Player\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Foto\Nikon View 6\NkvMon.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://G:\Programme\Druckersoftware\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://G:\Programme\Druckersoftware\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://G:\Programme\Druckersoftware\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://G:\Programme\Druckersoftware\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA5BD03-B866-4F8A-B12D-5F73192D5655}: NameServer = 128.176.0.12 128.176.0.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A4B234A-ADFC-4BEA-BF92-20294054A38B}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CA5BD03-B866-4F8A-B12D-5F73192D5655}: NameServer = 128.176.0.12 128.176.0.13
Danke schon einmal im Voraus - und wenn mir jemand helfen kann/mag, dann bitte möglichst simpel, damit auch ich es verstehe *lächelt schief*
Seitenanfang Seitenende
07.07.2004, 22:26
Member

Beiträge: 1095
#2 @Arilion

Erst mal richtig aufräumen bei dir

Die mwav.exe runterladen
http://www.rokop-security.de/board/index.php?showtopic=3867

Deinen Virenscanner updaten

Gehe in den Abgesicherten Modus von WinXP
http://www.bsi.de/av/texte/winsave.htm

Fixe dies in HiJackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132047
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [flbhcx] C:\WINDOWS\System32\jwqacwv.exe
O4 - HKLM\..\Run: [bkxwxyz] C:\WINDOWS\bkxwxyz.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

mwav.exe starten wie im oben angegeben

Mit deinem Virenscanner ganze Platte scannen

Während der Aktion niemals den Internet-Explorer öffnen

Dann normal starten und nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: