Hidden object lässt sich nicht entfernen

madzooco_f2ff2d · 12. November 2009 um 15:49

Hallo,

hat vielleicht jemand eine idee, woran es liegen kann, wenn kaspersky cbe ein, im ordner windows entdecktes, „hidden object“ zwar im administratorprofil löscht, aber im onlineprofil nicht? Selbst dann nicht, wenn das onlineprofil von eingeschränktem konto in: computeradministrator geändert wird. Ich habe es jetzt schon mindestens ein dutzend mal probiert. Kaspersky erkennt – spätestens nach einem neuen scan das „hidden object“, ich klicke auf löschen oder quarantäne, starte, wie angewiesen neu, und drehe mich ab da im kreis: scan, oder kaspersky meldet sofort nach dem hochfahren die bedrohung, löschen, neustart, etc. Betriebssystem: win xp.

gruss,
madzooco

Thomas_Fischbach_ac0842 · 12. November 2009 um 16:19

Hallo,

schwer zu sagen.

Erst einmal die Systemwiederherstellung deaktivieren.

Dann Avira-Rescue o.ä. durchlaufen lassen. Link:

http://www.free-av.com/de/tools/12/avira_antivir_res…

Immer noch da?

Alternativ mal Clamwin durchlaufen lassen:

http://www.heise.de/software/download/clamwin_antivi…

Dann bitte HijackThis-Log posten:

http://www.heise.de/software/download/hijackthis/22574

viel Erfolg! tf

madzooco_f2ff2d · 12. November 2009 um 21:58

danke für deine schnelle antwort.
im gegensatz zu kaspersky finden weder sophos, ad-aware, spybot, noch jetzt clamwin etwas im kritischen bereich.

das rescue von antivir habe ich leider nicht in gang gekriegt, da mein pc das dvd-laufwerk nicht erkennt. und deshalb im boot menü die umstellung von floppy auf cd/dvd-laufwerk nicht funktioniert hat.

neu ist jetzt, dass der pc komische geräusche von sich gibt, wie bei space invaders. immer nur kurz aber auffällig.

und jetzt noch das hjt-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:57, on 12.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\ISW\netcol.dsl\signup\NcDial.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Claudia Online\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [CloneCDTray] „C:\Programme\SlySoft\CloneCD\CloneCDTray.exe“ /s
O4 - HKLM…\Run: [AVP] „C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe“
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] „C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe“
O4 - HKLM…\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM…\Run: [UnlockerAssistant] „C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe“
O4 - HKLM…\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM…\Run: [Acronis Scheduler2 Service] „C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe“
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre6\bin\jusched.exe“
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM…\Run: [NBKeyScan] „C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe“
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\QTTask.exe“ -atboottime
O4 - HKLM…\Run: [ClamWin] „C:\Programme\ClamWin\bin\ClamTray.exe“ --logon
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU…\Run: [msnmsgr] „C:\Programme\Windows Live\Messenger\msnmsgr.exe“ /background
O4 - HKCU…\Run: [QuickTime Task] „C:\Programme\QuickTime\QTTask.exe“ -atboottime
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‚Tools‘ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS1\Services\Tcpip…{13D3DF4D-676D-426B-AC74-14701C35A747}: NameServer = 213.168.112.60 194.8.194.60
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

–
End of file - 7885 bytes

ich hoffe, es hilft weiter…

gruss,
madzooco

McScrap · 13. November 2009 um 11:59

moin moin,

bei dir laufen Kaspersky, Sophos und clamwin gleichzeitig, das ist ein wenig zuviel des Guten. Da kann schon mal der eine Scanner den Zugriff des anderen auf den vermeintlichen Bösewicht verhindern.

so auffe schnelle würd ich die Kiste mit der Avira rescue cd starten und scannen lassen.
Und wenn das Teil dann immer noch stört, mit Knoppix-CD starten, suchen und per Hand killen.
cu Tom

herrmann_59614f · 13. November 2009 um 14:15

und drehe mich ab da im kreis:

Zunächst mal könntest du versuchen in Erfahrung zu bringen, um welches Objekt es sich dabei handelt und ob dieses Objekt tatsächlich in irgendeiner Weise eine Gefahr für den Rechner darstellt. Kaspersky (oder ein beliebiges anderes, beliebigen anderen Zweck dienendes Programm) anzuweisen, Dateien zu löschen ohne vorher festgestellt zu haben, welchem Zweck diese Dateien dienen bzw. woher sie stammen, ist ganz arger und oftmals systemzerstörender Leichtsinn.

Gruß

madzooco_f2ff2d · 13. November 2009 um 17:58

ich weiss, dass mehrere av- programme gleichzeitig laufen zu lassen nicht optimal ist…

um das rescue in gang bringen zu können muss ich jetzt erstmal herausfinden, wie ich meinem pc das cd/dvd-laufwerk verkauft kriege.
google, ich komme…

gruss, madzooco

madzooco_f2ff2d · 24. November 2009 um 02:28

nach endlosem suchen habe ich eine methode gefunden um von cd booten zu können. avira hat ausser warnungen nichts gefunden. diese werde ich noch überprüfen. ausser clamwin und kaspersky sind alle anderen antivir/spy programme per cccleaner deinstalliert.

leider keine veränderung in der problematik- im gegenteil, beunruhigt mich das geräusch, dass der pc (via lautsprecher) z.b. beim booten und auch zwischendurch manchmal macht- wie bereits erwähnt, ein ton wie aus einem alten computerspiel: „peou“

in die „knoppix- materie“ muss ich mich erst reinlesen/ -arbeiten.

langsam glaube ich, trotz aller arbeit, ärger, und datenverlusten, etc. ist es fast besser das komplette system neu aufzusetzen. *grummel*

andererseits hoffe ich wohl noch auf eine art wunder *g*
also: wäre froh, wenn euch noch etwas einfallen würde zu dem thema.

-)

gruss,
madzooco