Hallo, habe seit 2 Tagen das Problem, das ad-aware, regseeker, sd beim deepscan abstürzen. Antivir hat keine Probleme festgestellt und die Programme stürzen auch bei abgeschalteten Antivir ab.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)
kann mir jemand helfen???

Probier mal einen Onlinescan:

Panda:
http://www.pandasoftware.com/products/activescan.htm

gerade versucht, findet nichts.
habe gerade im Anwendungsprotokoll noch 2 Fehler gefunden:

Ereignis 41 Winmgmt:

WMI-ADAP konnte den Objektindex "2136" für Leistungsbibliothek "IAS" nicht erstellen, weil kein Wert im Unterschlüssel 009 ermittelt wurde.

WMI-ADAP konnte den Objektindex "2022" für Leistungsbibliothek "MSDTC" nicht erstellen, weil kein Wert im Unterschlüssel 009 ermittelt wurde.

ich schätze es hängt damit zusammen ...
habe aber dafür auch noch keine Lösung

Würde auch mal ewido durchlaufen lassen. Evtl. muss Ad-aware auch neu installiert werden.

www.ewido.net

Mfg
Humdinger

ewido hat was gefunden

doch obwohl abgesicherter Modus gibt es nen Fehler beim saübern

ewido findet :
trojandownloader.agent.uj

[460] VM_00D60000 (fehler beim säubern)
[916] ...
[212] ...
[192] ...

hab da auch schon n bißchen recherchiert, aber noch keine brauchbare Lösung

wenn also jemand was weiß kriegt nen dicken Schmatz

Hast du eigentlich viel wichtige Daten auf dem Rechner? Wie wärs mit formatieren? Vielleicht bringt und das Hjt Log weiter:

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Formatieren, na ob das sein muss.

Info:
http://www.viruslist.com/de/viruses/enc ... usid=61338

Lade dir Kaspersky:
http://www.kaspersky.com/de/downloads?chapter=154336054

Derzeitiges Antivirusprogramm jetzt deinstallieren, PC Neustart. Jetzt erst Kaspersky installieren,
Update durchführen, auf EINSTELLUNGEN gehen:

Echteitschutz ändern auf Maximale Sicherheit, unten bei Gefährliches Objekt und Verdächtiges Objekt, beide ändern auf Zugriff verbieten und Objekt löschen. OK.

Gehe auf Bedrohungen und Ausnahmen, setze den Haken bei beiden (auch bei Spyware) und OK.

Gehe auf Scan auf Befehl, da steht Arbeitsplatz untersuchen auf Eigenschaften klicken, dort auf Einstellungen klicken, Gewählte Untersuchungesstufe ändern auf: Maximale Sicherheit , Unten bei Gefähliches Objekt und verdächtiges Objekt bei beiden auf: Objekte löschen stellen. Und OK

Nochmals unter Sicherheit -->Datenbanken aktualisieren<-- drücken.

PC Neustart, F8, abgesichter Modus starten, dort Kaspersky ausführen, alles löschen.

Danach Ewido im abgesichteten Modus ebenfalls nochmal ausführen. Alles löschen.

PC Neustart.

Danach:
Reinige dann deinen PC mit C-Cleaner.
http://www.zdnet.de/downloads/prg/g/p/deRBGP-wc.html

lösche auch den Inhalt von:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files> Inhalt löschen
C:\WINDOWS\temp > Inhalt löschen
C:\WINDOWS\Prefetch > Inhalt löschen

Windows Taste plus R drücken, gebe dort %temp% ein, Enter, alles löschen was geht.


Dann sicherheitshalber Hijackthislog hier vollständig posten.
http://www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html
Hier noch ein Anleitung dazu
http://www.cidres-security.de/hijackthis.html

Mfg
Humdinger

versuche jetzt erstmal die "humdinger_ Methode" und hoffe das klappt.
das hjack log sieht eigentlich gar nicht schlecht aus, aber ich poste es mal, falls noch jemand was entdeckt:

Logfile of HijackThis v1.99.1
Scan saved at 08:13:29, on 27.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINNT\System32\svchost.exe
D:\Programme\test\Ewido.Security.Suite.3.5\prog\security suite\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Mozilla\firefox.exe
D:\download\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - Global Startup: ColorVisionStartup.lnk = D:\Programme\Startup\ColorVisionStartup.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A252A182-68AD-42A3-94EE-CE3419C0F5A3}: NameServer = 217.237.151.161 217.237.150.188
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\test\Ewido.Security.Suite.3.5\prog\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

so, jetzt gehts an die Humdinger - Methode

Na dann mach das mal.

Prüfe auch noch folgendes:
Drücke die Taste WIN und R oder Start --> Ausführen
regedit
eintragen
Suche den Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Dort steht Userinit
Dort sollte nur der Befehl
C:\WINDOWS\system32\userinit.exe
alle anderen Einträge sichern z.B. in eine Worddatei kopieren und dann löschen!

Sygate ist ok wenn es richtig eingestellt ist, anonsten Kerio nehmen (ist in der Handhabung etwas einfacher). Antivir würde ich nicht wieder nehmen, wenn es schon Freeware sein soll dann nehme lieber Avast Home oder AVG Home (dies ist nur in Englisch).
www.avast.at

Ich nutze seit Jahren Kaspersky und habe seither keine Viren und Co mehr gehabt.

Der Logfile ist nicht sauber, aber warten wir den nächsten erstmal ab.

Mfg
Humdinger

hab das mit kaspersky so probiert, aber der hat nur einen Punkt gefunden. Danach ewido, hatte folgende auswertung:
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:21:28, 27.04.2006
+ Report-Checksumme: 3C86477

+ Scanergebnis:

[140] VM_00B50000 -> Downloader.Agent.uj : Fehler beim Säubern
[160] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[316] VM_00820000 -> Downloader.Agent.uj : Fehler beim Säubern
[460] VM_01130000 -> Downloader.Agent.uj : Fehler beim Säubern
[96] VM_00D90000 -> Downloader.Agent.uj : Fehler beim Säubern
[440] VM_007B0000 -> Downloader.Agent.uj : Fehler beim Säubern


::Report Ende

hat also nix gebracht

neues Hjackfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:11:26, on 27.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINNT\System32\svchost.exe
D:\Programme\test\Ewido.Security.Suite.3.5\prog\security suite\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\download\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - Global Startup: ColorVisionStartup.lnk = D:\Programme\Startup\ColorVisionStartup.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\test\Ewido.Security.Suite.3.5\prog\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

das Antivir ist übrigens keine Freeware was da drauf ist, ob das allerdings was ändert weiß ich nicht.

Ich weiß auch nicht wie lang dieser Downloader.Agent.uj schon bei mir sein unwesen treibt, da ich nur zufällig durch diese Ewido software draufkam das ich ihn überhaupt habe.

Zu der Registry:
Ich habe in dem Ordner Winlogon 2 Ordner und ca 20 Einträge:
das sind die 2 Ordnernamen:
GPExtensions
Notify
weiß leider nich wie ich den kompletten Inhalt Posten kann.

Find ich übrigens echt Toll wie einem hier geholfen wird !!!

Nun gut dann hast du das probiert was man einfach so machen kann. Würde dir raten jetzt einen neuen Thread zu eröffnen unter der Rubrik
PC und Online Sicherheit. Poste dort den aktuellen Hijackthisfile u. den Ewido Report. Nikita wird dann dazu sicherlich bald melden.

Mfg
Humdinger

OK, werd ich machen und nocmal tausend dank !

hast du das gesehen was ich noch zum dem registry Eintrag gepostet habe, du hattest geschrieben alles zu löschen, bin mir aber bei der Menge der Einträge nicht sicher ob ich das tun soll.

Dort sollte nur der Befehl
C:\WINDOWS\system32\userinit.exe
alle anderen Einträge sichern z.B. in eine Worddatei kopieren und dann löschen!

Genau so vorgehen. Dann PC Neustart.

Mfg
Humdinger

also für diejenigen die es interessiert:

habe zu

"Online und PC Sicherheit"

unter dem thread

"Downloader.Agent.uj"

jetzt gepostet

Vergiss den unfug mit userinit. Das wuerde im LogFile stehen:

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe --> Scanne ==> kopiere den scanreport ab =>= fuege ihn hier ein.