Forum
Tipps
News
Menu-Icon

twain tech entfernen

Hallo!

No Adware findet bei mir Twain Tech. Wie kann ich dieses Problem loswerden?

Ich hab's mal mit Hijack this versucht. Das logfile sieht so aus:

Logfile of HijackThis v1.98.2
Scan saved at 11:15:55, on 13.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\philipp.nicole\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.yahoo.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094298168388
O17 - HKLM\System\CCS\Services\Tcpip\..\{277BAC9D-5232-4FEC-947F-4435BD0C4888}: NameServer = 172.27.1.1

Das letzte (O17 ...) habe ich schon zu fixen versucht, kommte aber wieder, wenn ich den PC neu starte.

Ich weiß nicht, ob es damit zusammenhängt, aber nach dem Hochfahren kommt neuerdings auch immer eine Meldung der Firewall (ZoneAlarm):

Spooler SubSystem App is trying to access the Internet.
Drunter steht noch: Application: spoolsv.exe

Ich habe immer deny gewählt, da ich dieses Programm nicht kenne.

Heute hat mir auch der AntiVir schon etliche Warnungen geschrieben. Immer wieder zeigt er an, dass irgendwelche Dateien das Trojanische Pferd TR/Small.AC oder TR/Agent.V.2 seien. Ich lasse die dann immer überschreiben und löschen.

Was soll ich denn jetzt am besten machen?

Danke für jede Hilfe!
lg, Nicole



Antworten zu twain tech entfernen:

Welche Dateien sind denn das die infiziert sind?

Ansonsten scann mit Antivir im abges.-Modus(F8 beim booten)

Gruß

NoAdware schreibt bei Twain Tech
Location: HKEY_LOCAL_MACHINE\software\mRegKey

Zone Alarm schreibt bei dieser Meldung außerdem noch
DestinationIP: 0.0.0.0:DNS

Welche Dateien das waren, die AntiVir gemeldet hat, weiß ich leider nicht, weil ich es mir nicht aufgeschrieben habe und jetzt kommen diese Meldungen nicht mehr. Auch bei scannen im abgesicherten Modus findet AntiVir gar nichts.

Danke! lg, Nicole

Müsste ja im Antivir-Log stehen welche Dateien das sind/waren.

Ansonsten wenn er nicht mehr schreit hat er sie wohl entfernt

Gruß

oh, ich wusste nicht, dass es da ein logfile gibt. hab's aber gefunden. das sind die sachen, die da gekommen sind:

13.11.2004,10:36:03 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP1\A0000027.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:36:17 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP15\A0001130.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:36:24 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP16\A0001233.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:36:29 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP17\A0001281.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:36:36 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP2\A0000068.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:37:44 [WARNUNG]  Ist das Trojanische Pferd TR/Small.AX!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP39\A0007652.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:39:00 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP4\A0000376.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:39:20 [WARNUNG]  Ist das Trojanische Pferd TR/Agent.V.2!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP40\A0007654.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!
13.11.2004,10:39:24 [WARNUNG]  Ist das Trojanische Pferd TR/Small.AX!
  C:\SYSTEM VOLUME INFORMATION\_RESTORE{F1F3EA01-32E9-445B-895A-2D5985E7D7C0}\RP40\A0007657.EXE
      [INFO]  Die Datei wurde überschrieben und gelöscht!

Auf jeden Fall findet NoAdware aber noch immer Twain Tech und diese Meldung der Firewall kommt beim Hochfahren auch immer noch. Alle Probleme sind also scheinbar noch nicht behoben. Was kann ich denn noch machen, um dieses twain tech loszuwerden?

Danke! lg, Nicole
 

Deaktivier mal die Systemwiederherstellung und aktivier sie dann wieder:
Systemwiederherstellung deaktivieren(ME/XP)

Dann sollte auch Twaintech weg sein.

Gruß

habe ich jetzt gemacht, aber leider ist twain tech noch immer da.

lg, nicole

Schau mal nochmal ins Log welche Dateien es jetzt sind.

Die alten dürftens jetzt nicht mehr sein, weil bei deaktivierunge der Sysremwiederherstellung alles gelöscht wurde, und die Files lagen in der systemwiederherstellung.

Gruß

antivir hat sich ja nicht mehr gemeldet. nur noadware findet noch immer twaintech. und schreibt:
Location: HKEY_LOCAL_MACHINE\software\mRegKey

und die firewall meldet sich nach dem hochfahren auch immer noch mit der selben meldung.

lg, nicole

Dann scann die spoolsv.exe Online hier Kaspersky-Online Virentest

Und wenn er nix schädliches anzeigt einfach in der Firewall blocken/deny und Häkchen für immer/remember

Dann lad dir mal AdawareSE oder spybot search&destroy und ->installieren->updaten und dann scannen lassen.

Ansonsten wenn spybot/adaware nix hilft kannste mal schauen was in dem Schlüssel steht:
Start->ausführen->Eingabe: regedit

Dann navigierste zu dem Schlüssel :
HKEY_LOCAL_MACHINE\software\mRegKey,linke Spalte muss dan mregkey markiert sein

Dann oben auf Registrierung->Registrierungsdatei exportieren->Dateinamen angaben zb mregkey und unten Exportbereich: ausgewählte Teilstruktur->OK/speichern.

Dann öffnest die .reg-Datei und postest den INhalt hier.

Gruß

« Letzte Änderung: 15.11.04, 00:13:49 von Nighty »

Danke für die Hilfe! Ich bin momentan leider so im Stress, dass ich noch nicht dazu gekommen bin, alles auszuprobieren. Ich denke, am Wochenende sollte ich es schaffen. Dann melde ich mich wieder.

lg, Nicole

So, leider hat es etwas gedauert, aber dafür habe ich nun alles mögliche ausprobiert.

Obwohl ich erstmal gar nichts gemacht hatte, findet NoAdware nun nichts mehr.

Zone Alarm schreibt kurz nach dem Hochfahren noch immer die selbe Meldung an. Ich habe versucht, spoolsv.exe bei bei Kaspersky zu scannen, habe es aber nicht geschafft. Vielleicht mache ich irgendwas falsch. Wenn ich spoolsv.exe eingebe und dann auf durchsuchen klicke, dann auf öffnen, dann steht da: "Datei konnte nicht gefunden werden. Überprüfen Sie, ob der Dateiname richtig ist." Wahrscheinlich sollte ich wissen, wo diese Datei ist, aber ich weiß es nicht und kann sie auch nicht suchen, weil meine Suchfunktion nicht funktioniert.

AdAware SE findet bei mir nur 26 negligible objects. Sollte ich mit denen irgendetwas machen oder sind die einfach zu vernachlässigen?

SpyBot findet DSO Exploit, 5 entries. Diese lassen sich aber nicht beheben. Mir ist aber schon gesagt worden, dass das kein Problem ist, sondern ein Fehler des Programms.

Den Schlüssel HKEY_LOCAL_MACHINE\software\mRegKey kann ich nicht finden. Bis zu software komme ich, aber dort gibt es kein mRegKey.

Mittlerweile habe ich den PC auch mit PestScan gescannt und der findet gleich vier Pests:

SystemSpy - KeyLogger
Fake CD.99 - * bitte keine illegalen Tipps *ing Tool
Ezula TopText - Adware
Ezula - Adware


Hat noch irgendwer Tipps, was ich jetzt machen soll?

Danke! lg, Nicole

Gar niemand, der eine Idee hat?

Bin für jede Hilfe dankbar! lg, Nicole

Hi ich hatte das Problem auch mal und hab dann einfach das neuste adaware mit der neusten Ad-Aware 6 Build 181 noch mit und dann durchlaufenlaufen lassen und fertig...

ad aware git auf www.lavasoft.de, falls dus net weißt


« NORTON ANTI VIRUSSpyware finden und entfernen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
TWAIN
TWAIN ist eine Abkürzung und steht für Technology without an interesting Name. Das ist eine standardisierte Softwareschnittstelle für Scanner und anderen B...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...