Hi,
verwende das Programm Killbox um die folgenden Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\SYSTEM32\ssqnm.dll
C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe

Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html


Sehr Merkwürdig ist aber, das bei jeden weiteren AV-Scan neue Malware gefunden wird.
Ist AVG deinstalliert und die Panda Software installiert,
wir reden hier nicht vom Online Scanner !?
Denn wenn die Panda Software installiert ist sollte ein nachladen der Malware aus dem Internet nicht mehr möglich sein!
Es ist durchaus möglich, das jemand mit Hilfe eines Backdoor-Programms die Kontrolle über deinen PC übernommen, dafür sprechen die 2 Funde von Malware:

C:\WINDOWS\update\updmangr.exe -> Backdoor.Agent.abc
und
Akbot.K

Also führe die Killbox aus und scanne im Anschluss deinen PC noch mal mit
Ewido – Panda – Bitdefender, in dieser Reihenfolge.

Gehe dazu wie folgt vor:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren 
3. PC im abgesicherten Modus starten
5. Mit der Killbox noch mal die oben genannten Dateien löschen, mit Reboot.
6. PC im abgesicherten Modus starten
7. Mit Ewido – Panda – Bitdefender einen maximalen Scan ausführen !
8. PC wieder normal booten

Wichtig!
Poste bitte unbedingt die vollständige Scanprotokoll von Ewido, Panda und Bitdefender !!!
Jedes mal fehlt ein Protokoll, diesmal das von Panda und damit fehlen immer wieder sehr wichtige Informationen um das Problem zu lösen.
Ebenso fehlt der neue HijackThis-Log, bitte erstelle zum Schluss ein neues und poste den Logfile hier.

Hi Help

Habe mich peinlichst an deine Anweisungen gehalten. Nix online sacan.
Kann in der Panda Trail Version auch ein log gespeichert werden? Konnte es bis jetzt nur einsehen.

Werde jetzt nochmals alles wie vorgeschlagen scannen un killen.

Im Moment Versuchen Panda und Spybot die bösartigen Sachen zu blocken.

Gruss Andy

“Kann in der Panda Trail Version auch ein log gespeichert werden“?
Ja, das ist möglich. Schau mal Berichte oder so ähnlich.
Wichtig ist, Wo - Wann - Was gefunden wird!
+Malwarename
+Dateiname
+Speicherort, der ganze Pfad

“Im Moment Versuchen Panda und Spybot die bösartigen Sachen zu blocken.“
Versuchen sie nur oder blockieren sie das nachladen der Malware?

Hallo Help

Also wieder alles nach Vorgabe durchgescannt.
Zuvor noch in der Registry manuell Updatemanager gelöscht., danach mit Spybot und Panda die Versuche der neuen Einträge geblockt oder gelöscht.
Danach die 3 Dateien mit Killbox gekillt.

Weiter mit Ewido Scann im abgesicherten Modus.
Resultat:
---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      21:22:22, 15.06.2006
 + Report-Checksumme:   FEFC0BA

 + Scanergebnis:

   C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup


::Report Ende

Weiter mit Bit defender. Resultat: Nichts gefunden.

Weiter mit Panda : Resultat 1 infiszierte Datei Adware Maxfiles ---Beseitigt.

weiter mit Logfile Hijack :  siehe nächstes Post.

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:34, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
D:\Unlocker\UnlockerAssistant.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\WINDOWS\System32\svchost.exe
D:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150225861822
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: ssqnm - ssqnm.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe (file missing)
O23 - Service: Windows Sub-System Security Center (WSSCServ) - Unknown owner - C:\WINDOWS\system32\wsscserv.exe (file missing)




Unter C Dokumente und Einstellungen - Besitzer sind bis jetzt keine ww32 und dotdr.exe mehr aufgetaucht.
Neu ist eine 4KB Datei namens sck32. Ist es vieleicht die von Spybot oder Panda umbenannte ww32. Ich versuche sie mal zu löschen und scha was und ob etwas wiederkommt.
Sieht glaube ich schon mal etwas besser aus zumal nichts mehr von dem Viruaworld gefunden wurde.

Bin gespannt auf Deine Interpretation.
Gruss und an dieser Stelle mal vielen dank für deine Bemühungen.

Andy

Fixe noch die folgenden Einträge aus dem Logfile of HijackThis, diese sind nur noch harmlose Reste der Malware:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

O20 - Winlogon Notify: ssqnm - ssqnm.dll (file missing)

O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe (file missing)

O23 - Service: Windows Sub-System Security Center (WSSCServ) - Unknown owner - C:\WINDOWS\system32\wsscserv.exe (file missing)

Zu den Logs folgendens:
Noch eine Malware die bis jetzt nicht erkannt wurde:
Panda : Resultat 1 infiszierte Datei Adware Maxfiles ---Beseitigt.

Das ist harmlos, keine Malware:
ewido anti-malware - Scan Report
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup

Werden jetzt noch Angriffe bzw. Zugriffe durch Malware von Panda und Spybot  registriert?
Ansonsten sollte jetzt alles wieder OK sein.

Tipp:
Wenn du jetzt nach einer neuen Security Lösung suchst, dann greife zu einen der Top Produkte:
Kaspersky Anti-Virus 6.0
oder den Vollschutz Kaspersky Internet Security 6.0
(Neben Antivirus noch eine Firewall + Spamschutz)
Über die aktuelle Computerbild CD-Ausgabe für 2,30 Euro besteht die Möglichkeit das Programm für ein Jahr kostenlos zu nützen. 

Hi,

Ich kann jedem nur Kaspersky Internet-Security 6 empfehlen.

Erkennt:

- Viren
- Würmer
- Trojaner
- Dialer
- Spyware
- Adware
- Riskware
- Hackerprogramme
- andere Schadprogramme

Weitere Merkmale:

- Blockt Banner und Pop-Ups
- Firewall
- Phishing Schutz
- Proaktiver Schutz gegen unbekannte Viren und 
  Registrierungs Änderungen
- Anti-Spam
- Untersucht Skripts und http im Web
- Mail-Anti-Virus

Und das mit der gewohnt guten Scan-Engine. Außerdem habe ich noch keine Probleme mit Kaspersky gehabt und der Systemressourcen Verbrauch ist auch akzeptabel

Hi zusammen
Also mal ganz grossen Dank an Help der mir mit seinen Tips so toll geholfen hat.Hatte bis vor kurzem jahrelang den gratis Virenscanner mit dem Schirmchen und nie auch nur die geringsten Probleme.Mit der neuen Schirmchenversion hate ich aber nur Probleme und zwar nicht mit Viren sondern mein System kam bös durcheinander.Bin dann auf AVG umgestiegen und mir gefiel vor allem der blizschnelle Updateservice.Nebenbei habe ich immer Spybot am laufen was ich für ein ganz genjales Programm halte.

Panda hat bis jetzt nur 3 mal angezeigt das Lsass Exploit versuchte auf den PC zuzugreifen und geblockt wurde. ansonsten läuft alles rund und auch der PC fährt wieder normal runter ohne Programm sofort beenden benützen zu müssen.

Werde die Dateien im Hijacklog noch fixen und hoffe nun ruhe von den Plagegeistern zu haben.
Nochmals Merci, habe wieder etwas dazugelernt.

Gruss Andy

 

Denke daran das Panda nur eine 30 Tage Testversion ist und sich nur einmal updaten lässt.
Deshalb ist der PC vor neuer Malware nur noch beschränkt geschützt!