Problem mit Adware: Eine Datei die sich nicht entfernen läst

#1 Hallo,
Also erstmal möchte ich vorraus sagen das ich nicht umbedingt viel Ahnung von dem PC kram habe.

Nun zu meinem Problem:
Ich habe Adware auf dem PC die wahscrehinlich durch irgendeinen Download gekommen sind. Nun habe ich mehrere Virenscans gemacht und auch mein Ad-Aware SE drüberlaufen lassen. Dies zeigte mir 54 New Critical Objects. Ich konnte auch alle löschen außer eine DLL Datei, welche sich im Ordner c:/windows/system32 befindet. Adaware SE fragt ob diese Datei nach dem nächsten Neustart gelöscht werden darf. Ich beantworte diese anfrage imer mit "Ja". Nach dem neustart stelle ich auch fest das die Datei gelöscht ist. Allerdings tauchen immernoch Adware Popups auf und wenn ich das Ad-Aware noch einmal drüber laufen lasse erscheint im Ordner /system32/ wieder eine neue DLL Datei. Ich gehe davon aus das diese DLL Datei, die immer wieder unter einem anderen Namen kommt, immer neue Adware erzeugt, denn die ganzen eigentlich gelöschten Adware Dateien sind wieder da. Bitte um Hilfe !
Danke schonmal im vorraus !
__________
MfG, Tobias Senter

#2 TobiasSenter

arbeite bitte folgendes ab und kopiere hier die Logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 OK, hab ich vor lauter aufregung vergessen :-)

Hier der Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 12:43:37, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\dfndred_7.exe
C:\kybrded_7.exe
C:\Programme\Gemeinsame Dateien\{0D2C13DD-0707-1031-1219-050504290031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Tobi\Eigene Dateien\Eigene Downloads\hijackthis\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [defender] C:\\dfndred_7.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrded_7.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmed_7.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rqmm] C:\PROGRA~1\GEMEIN~1\rqmm\rqmmm.exe
O4 - Startup: HcwSyncIt.lnk = C:\Programme\WinTV\Scheduler\EPG\TvTv\HcwSyncIt.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: Media Center - C:\WINDOWS\system32\m2polc731f.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe


Habe auch schonmal versucht mit den Look2Me-Destroyer zu laden, aber der Server ist irendwie down oder so...
__________
MfG, Tobias Senter

#4 1.
Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

22.07.2006 13:19 451 eRLog.ini
21.07.2006 15:41 234.207 guard.tmp_tobedeleted
21.07.2006 14:46 57.384 avsda.dll
21.07.2006 14:23 40.998 perfc009.dat
21.07.2006 14:23 728.266 PerfStringBackup.INI
21.07.2006 14:23 318.680 perfh007.dat
21.07.2006 14:23 49.424 perfc007.dat
21.07.2006 14:23 313.280 perfh009.dat
21.07.2006 12:44 0 taskkill.exe
21.07.2006 12:44 147.456 vbzip10.dll
15.07.2006 14:05 1.158 wpa.dbl
03.07.2006 21:29 23.392 nscompat.tlb
03.07.2006 21:29 16.832 amcompat.tlb
21.06.2006 15:23 201.736 FNTCACHE.DAT
15.06.2006 23:55 620.180 DivX.dll
15.06.2006 23:55 778.240 divx_xx0c.dll
15.06.2006 23:55 778.240 divx_xx07.dll
15.06.2006 23:55 761.856 divx_xx11.dll
14.06.2006 19:49 118.784 DivXCodecUpdateChecker.exe
13.06.2006 23:36 700.416 Divxdec.ax
12.06.2006 21:22 4.276 divxsm.tlb
12.06.2006 21:22 15.507 dsm_de.qm
12.06.2006 21:22 15.299 dsm_fr.qm
12.06.2006 21:22 10.863 dsm_ja.qm
12.06.2006 21:22 520.192 DivXsm.exe
27.05.2006 22:25 6.948 jupdate-1.5.0_06-b05.log
25.05.2006 00:47 3.596.288 qt-dx331.dll
25.05.2006 00:46 53.248 dpuGUI10.dll
25.05.2006 00:46 344.064 dpus11.dll
25.05.2006 00:46 90.112 dpl100.dll
25.05.2006 00:46 57.344 dpv11.dll
25.05.2006 00:46 294.912 dpu11.dll
25.05.2006 00:46 200.704 dtu100.dll
25.05.2006 00:46 294.912 dpu10.dll
25.05.2006 00:46 593.920 dpuGUI11.dll
25.05.2006 00:43 352.401 DivXMedia.ax
25.05.2006 00:43 1.044.480 libdivx.dll
25.05.2006 00:43 200.704 ssldivx.dll
23.05.2006 21:39 55.158 HCW_ChanDB.LOG
20.05.2006 23:05 1.024 NTIBUN4.dll
20.05.2006 23:05 1.024 NTICDMK7.dll
20.05.2006 23:05 1.024 NTIFCD3.dll
20.05.2006 23:05 1.024 NTIMP3.dll
20.05.2006 23:05 1.024 NTIMPEG2.dll
20.05.2006 22:57 575 $winnt$.inf
30.04.2006 15:45 36.864 frapsvid.dll
19.04.2006 02:04 12.288 DivXWMPExtType.dll
19.04.2006 02:04 8.523 dpude.qm
19.04.2006 02:04 3.136 dtu_de.qm
06.04.2006 13:46 65.536 hcwNowNext.ax
06.04.2006 09:48 639.049 hcwtvwnd.dll

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\Tobi\LOKALE~1\Temp

22.07.2006 13:20 54.272 ginstall.dll
22.07.2006 12:56 16.384 ~DF75A7.tmp
22.07.2006 12:56 512 ~DF6FB1.tmp
22.07.2006 12:56 16.384 ~DF6FA4.tmp
4 Datei(en) 87.552 Bytes
0 Verzeichnis(se), 32.570.572.800 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS

22.07.2006 13:24 1.236.026 WindowsUpdate.log
22.07.2006 13:18 4.166 ModemLog_SoftV90 Data Fax Modem with SmartCP.txt
22.07.2006 13:18 0 0.log
22.07.2006 13:18 2.048 bootstat.dat
22.07.2006 12:24 24.296 icont.exe
22.07.2006 11:57 25.622 SchedLgU.Txt
22.07.2006 11:38 0 keyboard1.dat
16.07.2006 23:20 346 BeatBox.INI
07.07.2006 20:38 275 hiphopmaker.INI
03.07.2006 21:28 316.640 WMSysPr9.prx
28.06.2006 17:48 31 EPSMTL32.TXT
28.06.2006 17:47 27 CDE DX4200G.ini
20.06.2006 19:32 507 ODBC.INI
20.06.2006 14:19 97 ComponentList.xml
28.05.2006 23:13 626 win.ini
27.05.2006 22:26 3.030 mozver.dat
27.05.2006 18:00 5.378 HCWPNP.INI
27.05.2006 18:00 1.271 vtplus32.ini
23.05.2006 21:39 29.731 Irremote.ini
23.05.2006 21:39 4.161 ODBCINST.INI
20.05.2006 23:20 2 msoffice.ini
20.05.2006 23:07 170 User.xml
20.05.2006 23:07 88 GridV.UNI
20.05.2006 22:53 8.192 REGLOCS.OLD

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\

22.07.2006 13:26 0 sys.txt
22.07.2006 13:25 4.842 system.txt
22.07.2006 13:25 430 systemtemp.txt
22.07.2006 13:22 100.732 system32.txt
22.07.2006 13:18 535.007.232 hiberfil.sys
22.07.2006 13:18 805.306.368 pagefile.sys
21.07.2006 12:50 28.672 kybrded_7.exe
21.07.2006 12:50 73.728 dfndred_7.exe
20.05.2006 23:03 0 IO.SYS
20.05.2006 23:03 0 MSDOS.SYS
20.05.2006 22:57 194 BOOT.INI


Edit: OK, das Problem ist gelöst komplett frei von Viren und Adware und sonigem Ich bedanke mich Rechtherzlich bei dem ganzen Forum !
__________
MfG, Tobias Senter

#6 TobiasSenter

0.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{0D2C13DD-0707-1031-1219-050504290031}\Update.exe
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\system32\guard.tmp_tobedeleted
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\icont.exe
C:\WINDOWS\system32\keyboard1.dat
C:\kybrded_7.exe
C:\dfndred_7.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\rqmm" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{440BD6F1-05FD-1031-0710-020827020031}" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files\misc001" >>files.txt
dir "C:\Programme\Common Files\simtest" >>files.txt
dir "C:\Programme\Common Files\svchostsys" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit