Hijacker VX 2 kann nicht gelöscht werden.

#1 Hallo!
Ich habe laut Ad-Aware seit geraumer Zeit den Prozess "VX2" auf meinem Rechner. Auch Antivir zeigt regelmäßig eine Meldung.

Doch trotz mehrfacher Löschversuche, taucht VX2 immer wieder unter geänderten Namen auf. Wenn ich per Hand nach den Dateien suche, finde ich nichts. Was kann ich tun? Ich habe den Foren-Eintrag unter dem Link

http://board.protecus.de/t13231.htm

gelesen - mein Hijackthis-log unterscheidet sich jedoch von dem gesposteten, weswegen ich ratlos bin.

Kann mir vielleicht jemand helfen? B I T T E ! ! !

#2 Hallo bijan,

schaue Dir doch einmal bei
http://board.protecus.de/t14687.htm
das Posting von Sabina vom 18.01.05 (16.51 Uhr) an. Vielleicht hilft Dir das weiter.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Hi Heron!

Ich werd aus den Postings irgendwie nicht schlau, weil mein Log ganz anders ist.

Mein Hijackthis-Log sieht so aus:

Logfile of HijackThis v1.99.0
Scan saved at 12:49:24, on 19.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal 6.27\AVGUARD.EXE
C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal 6.27\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [iejw32.exe] C:\WINDOWS\system32\iejw32.exe
O4 - HKLM\..\Run: [apiwy.exe] C:\WINDOWS\apiwy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal 6.27\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal 6.27\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Was kann ich tun?

Gruß,

Bijan

#4 Hallo bijan,

ich meinte den Absatz, den Sabina in diesem Posting zum Entfernen von VX2 geschrieben hat

Zitat

Installiere und aktualisiere bitte Adaware:-->poste bitte das Log vom Scann
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5
Lade das vx2 Plugin dafuer und nutze es nach Anleitung:
http://www.lavasoft.de/software/addons/vx2cleaner.shtml

Aber, soweit ich das sehen kann, ist das nicht Dein einziges Problem.
Auch Dein Windows und der IE sind nicht gepatcht! Unbedingt updaten auf
http://www.windowsupdate.com
Ansonsten wirst Du noch mehr ungebetene Gäste auf Deinem Rechner haben.

Fange vielleicht damit an und arbeite den Vorschlag von Sabina ab, erstelle ein neus Log und poste es.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hi Heron!

Hab das Windowsupdate (Standard) runter geladen, und auch das Plug-In für Ad-Aware, habe aber leider den Eindruck, dass VX2 immer noch nicht gelöscht werden kann.

Mein Ad-Aware-Log sieht folgendermaßen aus:


Lavasoft Ad-Aware Personal Build 1.02
Logfile created on:Donnerstag, 20. Januar 2005 01:48:00
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R25 11.01.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
VX2(TAC index:10):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Backup current definitions file before updating
Set : Play sound at scan completion if scan locates critical objects


20.01.2005 01:48:00 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 456
ThreadCreationTime : 20.01.2005 00:46:01
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 536
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : High


VX2 Object Recognized!
Type : Process
Data : lvl4093qe.dll
Category : Malware
Comment :
Object : C:\WINDOWS\system32\


Warning! VX2 Object found in memory(C:\WINDOWS\system32\lvl4093qe.dll)


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 580
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 592
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1060
ThreadCreationTime : 20.01.2005 00:46:07
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:8 [avguard.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1164
ThreadCreationTime : 20.01.2005 00:46:08
BasePriority : Normal


#:9 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1176
ThreadCreationTime : 20.01.2005 00:46:08
BasePriority : Normal


#:10 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1212
ThreadCreationTime : 20.01.2005 00:46:09
BasePriority : Normal
FileVersion : 7.00.9466
ProductVersion : 7.00.9466
ProductName : Microsoft® Visual Studio .NET
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : mdm.exe

#:11 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1260
ThreadCreationTime : 20.01.2005 00:46:09
BasePriority : Normal
FileVersion : 6.13.10.3100
ProductVersion : 6.13.10.3100
ProductName : NVIDIA Driver Helper Service, Version 31.00
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 31.00
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:12 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1316
ThreadCreationTime : 20.01.2005 00:46:09
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:13 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_05\bin\
ProcessID : 176
ThreadCreationTime : 20.01.2005 00:46:21
BasePriority : Normal


#:14 [avgnt.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 192
ThreadCreationTime : 20.01.2005 00:46:21
BasePriority : Normal


#:15 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 200
ThreadCreationTime : 20.01.2005 00:46:21
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:16 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 744
ThreadCreationTime : 20.01.2005 00:47:03
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:17 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1300
ThreadCreationTime : 20.01.2005 00:47:40
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

VX2 Object Recognized!
Type : Process
Data : ksdfi.dll
Category : Malware
Comment :
Object : C:\WINDOWS\system32\


Warning! VX2 Object found in memory(C:\WINDOWS\system32\ksdfi.dll)


#:18 [ad-aware.exe]
FilePath : C:\Programme\Ad-AwareSE 1.02\
ProcessID : 1888
ThreadCreationTime : 20.01.2005 00:47:53
BasePriority : Normal
FileVersion : 6.2.0.144
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Deep scanning and examining files (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Deep scanning and examining files (E:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
10 entries scanned.
New critical objects:0
Objects found so far: 2




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2

01:58:06 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:10:05.859
Objects scanned:153833
Objects identified:0
Objects ignored:0
New critical objects:0


Was habe ich falsch gemacht?

Gruß,

Bijan

#6 Hab grad nochmal versucht VX2 zu löschen, es ist aber wieder unter anderem Namen aufgetaucht.
Beim Ad-Aware-Scan erscheint VX2 immer am Anfang, deshalb hab ich abgebrochen...

AD-AWARE-LOG:

Lavasoft Ad-Aware Personal Build 1.02
Logfile created ononnerstag, 20. Januar 2005 02:07:23
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R25 11.01.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):2 total references
VX2(TAC index:10):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Backup current definitions file before updating
Set : Play sound at scan completion if scan locates critical objects


20.01.2005 02:07:23 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Bijan Benjamin\recent
Description : list of recently opened documents


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 456
ThreadCreationTime : 20.01.2005 00:46:01
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 536
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : High


VX2 Object Recognized!
Type : Process
Data : lvl4093qe.dll
Category : Malware
Comment :
Object : C:\WINDOWS\system32\


Warning! VX2 Object found in memory(C:\WINDOWS\system32\lvl4093qe.dll)


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 580
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 592
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 20.01.2005 00:46:04
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1060
ThreadCreationTime : 20.01.2005 00:46:07
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:8 [avguard.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1164
ThreadCreationTime : 20.01.2005 00:46:08
BasePriority : Normal


#:9 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1176
ThreadCreationTime : 20.01.2005 00:46:08
BasePriority : Normal


#:10 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1212
ThreadCreationTime : 20.01.2005 00:46:09
BasePriority : Normal
FileVersion : 7.00.9466
ProductVersion : 7.00.9466
ProductName : Microsoft® Visual Studio .NET
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : mdm.exe

#:11 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1260
ThreadCreationTime : 20.01.2005 00:46:09
BasePriority : Normal
FileVersion : 6.13.10.3100
ProductVersion : 6.13.10.3100
ProductName : NVIDIA Driver Helper Service, Version 31.00
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 31.00
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:12 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1316
ThreadCreationTime : 20.01.2005 00:46:09
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:13 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_05\bin\
ProcessID : 176
ThreadCreationTime : 20.01.2005 00:46:21
BasePriority : Normal


#:14 [avgnt.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 192
ThreadCreationTime : 20.01.2005 00:46:21
BasePriority : Normal


#:15 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 200
ThreadCreationTime : 20.01.2005 00:46:21
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:16 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1256
ThreadCreationTime : 20.01.2005 01:00:36
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

VX2 Object Recognized!
Type : Process
Data : guard.tmp
Category : Malware
Comment :
Object : C:\WINDOWS\system32\


Warning! VX2 Object found in memory(C:\WINDOWS\system32\guard.tmp)


#:17 [ad-aware.exe]
FilePath : C:\Programme\Ad-AwareSE 1.02\
ProcessID : 476
ThreadCreationTime : 20.01.2005 01:07:16
BasePriority : Normal
FileVersion : 6.2.0.144
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
<STOP>
02:07:52 Scan stopped by user

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:00:28.484
Objects scanned:48997
Objects identified:0
Objects ignored:0
New critical objects:0



Vielen Dank für jegliche Hilfe!

Bijan

#7 !?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?!?![/b]

#8 Guten Morgen, bijan !

Hast Du dieses VX2-Addon vor dem eigentlichen Ad-aware-Scan laufen lassen und zusammen ?

Den die richtige Anwendung ist ein Vorab-Scan mit diesem VX2-Tool.

Gehe bei Ad-aware auf die Add-ons (= 4.Button).
Dort müsste dann bei korrekter Installierung auch das VX2Cleaner erscheinen.

Dann einfach mit der linken Maustaste 2x draufklicken; dann wirst Du noch gefragt, ob dieses Tool ausgeführt werden soll--> dies dann mit OK bestätigen.

Und dann beginnt auch erst die eigentliche VX2-Suche und das cleanen.

Nach erfolgter VX2-Reinigung dann nochmals wie gewohnt den üblichen
Ad-aware-Scan durchführen.


Viel Erfolg.

#9 Hi!

Hab das Plug-In vorschriftsmäßig ausgeführt, es zeigt aber "Status: System clean" an - heißt wohl, es erkennt meine VX2-Variante nicht...

#10 Vielleicht sollte ich einmal beschreiben, welche Fehler in meinem System auftauchen:

Der IE versucht ständig Websites zu öffnen: (1. www.loadingwebsite/normal/yyy/...; 2. www.funbuddyicons.com/...; 3. www.emoticonsplanet.com/...; 4. www.a-d-w-a-r-e.com/...)
Wenn ich die Fenster dann schließe, fürht das teils zu komplette System-Abstürzen...

Es werden häufig Fehlermeldungen beim Ausführen irgendwelcher system32-dll-Dateien angezeigt.

Dateien (bis zu einer bestimmten Größe), die ich lösche, verschwinden sofort, anstatt im Papierkorb zu landen - obwohl meine Einstellungen diesbezüglich alle stimmen!?!

Außerdem öffnen sich neue Fenster / Anwendungen auf der Taskleiste rechts- anstatt linksbündig...

ICH BIN RATLOS ! ! !

#11 Poste Dein neustes HighjackThis Log.
Dein Ad-Aware Version ist veraltet. Mittlerweile gibt es Build 1.05!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#12 Hallo!

Hier ist mein "neues" Ad-Aware Log, wobei sich anscheinend nichts geändert hat.

Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Freitag, 21. Januar 2005 12:10:33
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R25 11.01.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC-Index:0):8 Referenzen insgesamt
Redirected hostfile entry(TAC-Index:4):3 Referenzen insgesamt
VX2(TAC-Index:10):4 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen


21.01.2005 12:10:33 - Scanning wurde gestartet. (Vollständiger Systemscan)

MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\mediaplayer\player\settings
Beschreibung : last open directory used in jasc paint shop pro


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\mediaplayer\player\recentfilelist
Beschreibung : list of recently used files in microsoft windows media player


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer


MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplication
Beschreibung : most recent application to use microsoft directdraw


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1085031214-963894560-725345543-1004\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk


MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\Bijan Benjamin\recent
Beschreibung : list of recently opened documents


Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 456
ThreadCreationTime : 21.01.2005 11:05:12
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 536
ThreadCreationTime : 21.01.2005 11:05:15
BasePriority : High


VX2 Objekt erkannt!
Typ : Prozess
Daten : lv8609lse.dll
Kategorie : Malware
Kommentar : (CSI MATCH)
Objekt : C:\WINDOWS\system32\


Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\lv8609lse.dll)


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 580
ThreadCreationTime : 21.01.2005 11:05:15
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 592
ThreadCreationTime : 21.01.2005 11:05:15
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 21.01.2005 11:05:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 776
ThreadCreationTime : 21.01.2005 11:05:16
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1060
ThreadCreationTime : 21.01.2005 11:05:18
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:8 [avguard.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1164
ThreadCreationTime : 21.01.2005 11:05:19
BasePriority : Normal


#:9 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 1176
ThreadCreationTime : 21.01.2005 11:05:19
BasePriority : Normal


#:10 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1212
ThreadCreationTime : 21.01.2005 11:05:19
BasePriority : Normal
FileVersion : 7.00.9466
ProductVersion : 7.00.9466
ProductName : Microsoft® Visual Studio .NET
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : mdm.exe

#:11 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1264
ThreadCreationTime : 21.01.2005 11:05:20
BasePriority : Normal
FileVersion : 6.13.10.3100
ProductVersion : 6.13.10.3100
ProductName : NVIDIA Driver Helper Service, Version 31.00
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 31.00
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:12 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1320
ThreadCreationTime : 21.01.2005 11:05:20
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1952
ThreadCreationTime : 21.01.2005 11:05:27
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

VX2 Objekt erkannt!
Typ : Prozess
Daten : ikxrtmgr.dll
Kategorie : Malware
Kommentar : (CSI MATCH)
Objekt : C:\WINDOWS\system32\


Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\ikxrtmgr.dll)


#:14 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_05\bin\
ProcessID : 124
ThreadCreationTime : 21.01.2005 11:05:31
BasePriority : Normal


#:15 [avgnt.exe]
FilePath : C:\Programme\AVPersonal 6.27\
ProcessID : 168
ThreadCreationTime : 21.01.2005 11:05:32
BasePriority : Normal


#:16 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 176
ThreadCreationTime : 21.01.2005 11:05:32
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:17 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 508
ThreadCreationTime : 21.01.2005 11:06:11
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:18 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 220
ThreadCreationTime : 21.01.2005 11:08:20
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:19 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 708
ThreadCreationTime : 21.01.2005 11:09:25
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

VX2 Objekt erkannt!
Typ : Prozess
Daten : guard.tmp
Kategorie : Malware
Kommentar : (CSI MATCH)
Objekt : C:\WINDOWS\system32\


Warnung! VX2 Objekt wurde im Arbeitsspeicher gefunden(C:\WINDOWS\system32\guard.tmp)

"C:\WINDOWS\system32\rundll32.exe"Prozess wurde erfolgreich beendet

#:20 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 584
ThreadCreationTime : 21.01.2005 11:10:11
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11



Dateien werden gründlich gescannt und überprüft (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Dateien werden gründlich gescannt und überprüft (D
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Dateien werden gründlich gescannt und überprüft (E
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 11


Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:auto.search.msn.com


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:auto.search.msn.com
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:search.netscape.com


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:search.netscape.com
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:ieautosearch


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:ieautosearch

Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
13 Einträge gescannt.
Neue kritische Objekte:3
Bisher gefundene Objekte: 14




Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

VX2 Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\microsoft\internet explorer\toolbar\webbrowser
Wert : {0E5CBF21-D15F-11D0-8301-00AA005B4383}

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 1
Bisher gefundene Objekte: 15

12:21:43 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:11:10.219
Gescannte Objekte:153988
Identifizierte Objekte:4
Ignorierte Objekte:0
Neue kritische Objekte:4


Bijan

#13 Und hier mein neues Hijackthis-Log:


Logfile of HijackThis v1.99.0
Scan saved at 12:27:50, on 21.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal 6.27\AVGUARD.EXE
C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal 6.27\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [iejw32.exe] C:\WINDOWS\system32\iejw32.exe
O4 - HKLM\..\Run: [apiwy.exe] C:\WINDOWS\apiwy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal 6.27\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA671288-174C-4C96-A224-7B4BD6FDEB58}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal 6.27\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal 6.27\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


What's goin on?!?

#14 Hab den VX2-Cleaner in Ad-Aware erneut ausgeführt, es zeigt aber immer noch "Status: System clean" an...

Außerdem kommt mir mein AntiVir jetzt auch ständig mit neuen Meldungen...

Soll ich davon auch ein Log posten?

Bijan

#15 Hallo Bijan !

VX2 ist in der Tat berühmt-berüchtigt und sehr hartnäckig und es gibt ihn mittlerweile in zig-Varianten, zt. ganz neueren Datums--->
siehe: http://pestpatrol.com/Search/default.asp?qu=vx2&sc=%2FPestInfo%2F&Action=Go

Möglicherweise erkennt das Ad-aware-VX2-Add-on in der Tat nicht mehr alle Varianten und meine mich auch dunkel zu erinnern, dass es schon einige Monate alt ist und kann nicht beurteilen, wie oft Lavasoft nun dieses Add-on aktualisiert.

Als Tipp vielleicht noch und Gegenmeinung: versuch mal den kostenlosen Pestpatrol-Onlinecheck unter
http://store.ca.com/v2.0-img/operations/safer/site/ab/promo53025scan.htm
(geht nur mit IE wegen dem Active-X !).

Dann bekommst du hoffentlich die genaue Variantenangabe wie
# VX2.a
# VX2.b
# VX2.c
# VX2.Clean Get-Away
# VX2.d
# VX2.e
# VX2.f .... usw. (gibt lt. Pestpatrol mindestens 12 Varianten!).

Wenn man die genaue Variante kennt, dann gibt es bei Pestpatrol auch oft eine
entsprechende manuelle Entfernungsanleitung.

Viel Erfolg.