Blockierte Bedrohungen werden unwirksam

[Dorni]

Hallo,
Win32.Agent-gen.cws kann ich nicht beständig entfernen!

Bei der Suche nach möglichen Ursachen, musste ich feststellen, dass die Immunisierung bedrohlicher Produkte nicht erhalten bleibt.

Das heißt: wenn ich nach einigen Minuten im linken Feld das „Schutzschild“ Immunisieren betätige kommt die Meldung „x bedrohliche Produkte sind bereits blockiert, x zusätzliche Blockierungen sind möglich“.
Eine sofortige Abfrage nach dem Immunisieren bringt die Meldung „alle bekannten bedrohlichen Produkte sind schon blockiert.“

Was läuft hier ab?
Wer kann mir weiterhelfen.
Besten Dank im Voraus.

 

[raman]

Hier waere das Spybotergebniss wichtig(nach dem Scan aufs weisse Ergebnisfeld mit der rechten Maustaste druecken und das Ergebniss hier in eine Antwort von dir einfuegen).

Sowie ein comboscan report: http://virus-protect.org/artikel/tools/comboscan.html

 

[Dorni]

Danke für die Rückmeldung.
Anbei die gewünschten Infos im Dateianhang.
Gruß Werner

 

[Dorni]

Anbei noch der Spybot-Report.

Sehr störend sind noch die Spybot-Meldungen "'Spybot ... hat festgestellt ..."
Wenn ein Fenster schließe kommt auch schon das Nächste (Siehe Dateianhang".

MfG Werner

 

[raman]

Da ist wirklich eine CWS Variante, die du aber schon einige Zeit mit dir "rumschleppst".

Bitte einmal About:Buster nutzen(im abgesicherten Modus) http://www.malwarebytes.org/aboutbuster.php

Danach Drweb.Cureit(infizierte Dateien bitte in Quarantäne schieben, auch im abgesicherten Modus) http://freedrweb.com/?lng=de

Danach bitte die Reporte dieser 2 incl. eines neuen Comboscan Reports hier anhaengen.

abgesicherten Modus= http://www.bsi.bund.de/av/texte/wiederher.htm

 

[Dorni]

Hallo raman,
vorab vielen Dank für die Hilfe. Bin wohl schon etwas weiter gekommen (siehe Dateianhang).

Wenn ich als Werner eingeloggt bin, gibt es jedoch noch einen Unterschied:
Im linken Feld das "Schutzschild" Immunisieren betätigt bringt die Meldung
"xxx bedrohliche Produkte sind bereits blockiert, 12 zusätzliche Blockierungen sind noch möglich"
Nach dem Immunisieren wird "nochmals Prüfen" durchgeführt und vorheriges Ergebnis wird wieder gemeldet!
Heißt dies, dass die Immunisierung nicht funktioniert?

Gruß Werner

 

[raman]

Hat Drweb nichts gefunden? auch about buster nicht? Denn reichtig weiter bist du noch nicht...?

 

[Dorni]

Hallo raman,
anbei die Reports.
Dr. Web: keine Viren gefunden.
Gruß Werner

 

[raman]

Da hat about buster ja schon einiges geloescht.

Lade diese Dateien bitte bei VT hoch: http://www.virustotal.com/en/indexf.html und sag, was gefunden wurde.

C:\WINNT\applp32.exe
C:\WINNT\system32\netmm.exe

Dann hake folgende Dinge in deinem Hijackthis an und druecke "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wnyyg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wnyyg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\wnyyg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wnyyg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wnyyg.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wnyyg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.69.10:3128
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {679D544A-C3AF-7D80-F4AA-FF481A150634} - C:\WINNT\d3da.dll (file missing)
O2 - BHO: (no name) - {D7E959AD-10C0-A8C5-C66D-D0313DFE13A4} - (no file)
O4 - HKLM\..\Run: [netmm.exe] C:\WINNT\system32\netmm.exe


und starte dann neu

Nachtrag: Du muesstest Spybots Teatimer dabei deaktivieren, da er die Aenderungen unter Umstaenden unterbinden koennte.

 

[Dorni]

Hallo Ralf,

a) Datei c:\WINNT\system32\netmm.exe kann ich nicht finden!
b) Virustotal hat beim Scan der Datei applp32.exe das Ergebnis "no virus found"

Im Dateianhang die Log-Datei nach "fix checked" Hijackthis.log.

Danke für den Hinweis, Teatimer mußte noch deaktiviert werden!

Leider ist das Problem noch nicht behoben!

Gruß Werner

 

[raman]

Es sieht schon um einiges besser aus. Aber das in der Datei nichts gefunden wird, ist mehr als sonderbar. SChicke die Datei bitte an virus at protecus de und an detections(at)spybot.info

 

[Dorni]

Hallo raman,

vielen Dank für die bisherige Hilfe.
Ich habe alle Scans nochmals nachvollzogen. In der Anwendung Dr.Web hatte ich wohl einen Bedienfehler gemacht - hatte die Laufweke nicht selektiert. Es wurden nun auch Probleme erkannt!

Die Problematik bleibt jedoch nach wie vor.
Wenn ich als Werner eingeloggt bin, gibt es einen Unterschied:
Im linken Feld das "Schutzschild" Immunisieren betätigt bringt die Meldung
"xxx bedrohliche Produkte sind bereits blockiert, 12 zusätzliche Blockierungen sind noch möglich"
Nach dem Immunisieren wird "nochmals Prüfen" durchgeführt und vorheriges Ergebnis wird wieder gemeldet!

Im Dateianhang die entsprechendes Reports.

Gruß Werner

 

[raman]

Es steht noch die Pruefung der Datei C:\WINNT\system32\addqg.exe
aus, bzw einer anderen Datei mit der Groesse von 22975 Bytes.

Das mit dem Imunisieren koennte man mit Hilfe einer sauberen Deinstallation beseitigen. Das Bedrohungen und engeschraenkten Benutzer und Admin unterschiedlich gemeldet werden ist wohl normal.