Zunächst einmal:
Sollte ich hier etwas posten, zu dem es bereits einen Thread gibt, bitte ich um Entschuldigung. Ich habe einfach nichts dementsprechendes gefunden, möchte mich meines Problems aber dennoch annehmen :-)

Also...
Ich habe folgendes Problem:
Wenn ich mit dem Internetexplorer irgendwas im Internet suche (ich benutze wie der Großteil aller anderen Leute fast ausschließlich Google zum suchen), und irgendeine der Seiten, die bei der Suche herausgekommen sind anklicke, werde ich jedes mal zunächst auf eine andere Seite weitergeleitet, die definitv nicht die Seiten sind, die ich eigentlich vor hatte anzuklicken.

Noch mal genau:

Ich öffne den IE (Startseite Google),
Ich gebe einen Suchbegriff ein (zB. Trojaner-Board)
Ich klicke auf den Link
Ich werde auf irgendeine andere Seite weitergeleitet (meist irgendeine, die auch etwas mit Trojanern zu tun, aber nicht die war, die ich eigentlich anklicken wollte. Neben irgendwelchen "Casino-Seiten auch völlig seriöse Seiten wie Ebay, oder Douglas.de).
Wegklicken hilft zwar, aber es nervt erlesen doll und es geht einfach ums Prinzip.
Das Überprüfen mit HJT und CWshredder hat auch nichts gebracht, da mir bei der Auswertung immer gesagt wirde, dass alles in Ordnung sei und ich selbst auch nichts Ungewöhnliches erkennen kann.

Nichts desto Trotz hier mal mein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:46, on 01.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
D:\emule\eMule\emule.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\backup\Technik Shit\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NWEReboot] C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero\Uninstall\Unnero.exe /REMOVE="C:\DOKUME~1\Hanno\LOKALE~1\Temp\RarSFX0"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero 6.0\Nero.6.06\Nero BackItUp\NBJ.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\BenQ\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Allehol120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

So... Weiter weiß ich auch nicht, denn ich will nicht jedes einzelne Element meiner Systemdateien erst bei Google nachschlagen müssen und schon gar nicht will ich irgendetwas nur auf Verdacht löschen, denn dabei hab ich mir schon mal meine Betriebssystem ruiniert und das soll mir nicht noch einmal passieren :-)

Naja, ich hoffe, dass mir hier irgendeiner der klugen Köppe helfen kann und ich den Kampf gegen die Konsumindustrie gewinnen werde :-)

Vielen Dank im Voraus!

Zitat:

Zitat von beowoelfi

Sollte ich hier etwas posten, zu dem es bereits einen Thread gibt, bitte ich um Entschuldigung. Ich habe einfach nichts dementsprechendes gefunden, möchte mich meines Problems aber dennoch annehmen :-)

Es ist schon ziemlich schwer diesen Thread zu verfehlen...

http://www.trojaner-board.de/showthread.php?t=25916

Mach gleich bei eScan weiter. Aber les Dir die Anleitung von Cidre genau und vollständig und aufmerksam durch!

Jo, danke für die Weiterleitung. War ja klar, dass ich wieder mal einen Unsinns-Thread ins Leben rufe. Tschuldigung!

Hallo,
Unsinns-Thread ist es nicht. Mach halt mal Escan. Danach auch Blacklight (Log wird nach dem Scan automatisch im selben Pfad erstellt) und Silentrunners.


Grüße Wildone

Ich würde gerne erst einmal versuchen das ganze nur mit escan bzw. Killbox zu versuchen, um nicht unnötig hohen Aufwand betreiben zu müssen (ja, ich weiß ich bin faul )

Ich hab meine ganze IE Cache usw noch mal mit Clearprog gelehrt, was zur Folge hatte, dass ich jetzt statt 18 "gefährlichen" Einträgen nur noch 15 habe (diese 15 hocken allesamt in der Registry) und mein Scan nur 5 Minuten statt ner Stunde gedauert hat. Das ist ja schon mal erfreulich. Weniger erfreulich ist aber nach wie vor, dass ich nicht genau weiß, wo sie sich nun eingenistet haben, denn ein Virus-Log file hab ich nach wie vor nicht in meinem Bases_X Ordner.
Alles was ich nach gründlichem Gucken sehen kann ist folgendes:

b 02 11:52:21 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Feb 02 11:52:21 2006 => Loading Spyware Signatures from new External Database (Size: 152294).
Thu Feb 02 11:52:21 2006 => Indexed Spyware Databases Successfully Created...

Thu Feb 02 11:56:34 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:34 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:36 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 11:56:37 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Feb 02 11:56:37 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:37 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Feb 02 11:56:37 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\winstall.exe
Thu Feb 02 11:56:38 2006 => System found infected with spywareno!/spysheriff Commercial KeyLogger (winstall.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\kl.exe
Thu Feb 02 11:56:38 2006 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\secure32.html
Thu Feb 02 11:56:38 2006 => System found infected with smitfraud variant Browser Hijacker (secure32.html)! Action taken: No Action Taken.

Thu Feb 02 11:56:38 2006 => Offending file found: C:\WINNT\tool2.exe
Thu Feb 02 11:56:38 2006 => System found infected with cws.loadadv.400 Browser Hijacker (tool2.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending Folder found: C:\WINNT\DOWNLO~1\conflict.1
Thu Feb 02 11:56:39 2006 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending file found: C:\WINNT\DOWNLO~1\load.exe
Thu Feb 02 11:56:39 2006 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:39 2006 => Offending file found: C:\WINNT\system32\paytime.exe
Thu Feb 02 11:56:39 2006 => System found infected with paymite Trojan-Spy (paytime.exe)! Action taken: No Action Taken.

Thu Feb 02 11:56:40 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Anwendungsdaten\azureus\logs\save
Thu Feb 02 11:56:40 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:46 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\anwendungsdaten\google\hello\scache\1024
Thu Feb 02 11:56:46 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:47 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\Anwendungsdaten\google\hello\scache\1024
Thu Feb 02 11:56:47 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.


Was soll ich nun also tun? Ich lad mir erstmal Killbox runter und guck mal, ob ich so irgendwas erreiche

Hallo,
also du kannst da jetzt manuell rangehen, im Prinzip auch kein Fehler, aber das gröbste solltest du erstmal hiermit beseitigen. Und den Rest dann mit killbox, aber ich befürchte einfach das das nicht alles ist, da normalerweise Spysheriff nicht die Suchergebnisse bei google ändert.



Grüße Wildone

Also das Problem, dass mich dazu verleitet hat hier überhaupt etwas zu posten ist mittlerweile gelöst. Die Umleitungen auf andere Websites haben aufgehört, nachdem ich n bisschen was mit Killbox gelöscht habe.
Sechs böse Einträge habe ich aber nach wie vor und das sind eben die, die in der Regestry hocken.

Zwar steht in meinem eScan Log-file, dass da noch spyware ist (zB. alexa spyware/adware), doch leider steht nicht genau wo es sich befindet.
Für die drei alexa Dinger steht sogar der Regestry-Key dahinter, aber wenn ich die Regestry durchsuche wird dieser nichts gefunden.
Angeblich soll sich das irgenwo hier befinden:

Offending Key found: HKLM\Software\kazaa !!!

Weiterhin steht dann da:

Offending Key found: HKCU\Software\kazaa !!!

Naja und der gute alte spysherrif steht (wobei Ihr das ja ohnehin alles in meinem Log oben gesehen haben dürftet) hier:

Offending file found: C:\winstall.exe

Der spysherrif eintrag konnte mit Killbox nicht delated werden. Wenn ich es versucht habe stand da immer nur, dass die File wohl nicht zu existieren scheint. Mh... keine Ahnug. Ich werds jetzt erstmal nochmal mit diesen Franzosen Ding versuchen, dass Du hier grade gepostet hast und dann mal weiter gucken.

Danke auf jeden Fall erstmal!

Wenn ich in der Regestry unter HKLM \ Software \ Kazaa gucke steht da folgendes (warum kann man einträger namentlich aus der Regestry eigentlich nicht kopieren? So muss ich alles abschreiben )

(Standart)
DisablePort80Listen
FirewallStatus
InstallDir
ListenPort
my_ip_address
network_config
UDP_probe_success
UDP_receive_status

Und das wars. Natürlich steht da noch was hinter, aber ich denke nicht, dass das so ausschlaggebend ist.

Aber was soll denn daran so schlimm sein???

Sowohl in der HKCU, als auch in der HKLM steht unter Software\Kazaa niemals etwas mit dem gleichen Namen, jedoch wird beim eScan ja dreimal die gleiche, oder ein ähnlicher Spyware namens Alexa soundso gefunden. Warum?

Ich denke Du solltest wie von Wildone vorgeschlagen Blacklight und Silentrunners laufen lassen. AFAIK hat er einen sehr guten Riecher.

Ich habe mir jetzt mal das Programm runtergeladen (SmitfraudFix).
Auf der Seite, auf der ich das runtergeladen habe (Dein Link), sind noch weitere Links. Den Link, der auf die HijackThis Seite verweist habe ich angeklickt. Da steht was davon, dass ich mir, bevor ich die "wininet.dll" fixen lasse n Patch mit der neuen dll datei runterladen soll, weil sonst nix mehr gehen würde. Ich soll mir das auf der Microsoft seite runterladen, aber der Link dahin funktioniert nich. Kann ich mir die datei auch bei www.dll-files.com runterladen??

Hallo,
brauchst du eigentlich nicht machen, denn du hast ja bei einem NT System den Ersatz normalerweise im dll-cache und in diesem Pfad: C:\WINNT\ServicePackFiles\i386 (glaube das ist bei Win2000 auch so, kannst aber nochmal nachschauen).
Außerdem habe ich in letzter Zeit eigentlich nicht mehr gehört das die Tools bei der Bereinigung etwas zerschoßen hätten. Du hast außerdem eine Spysheriff Version bei dem die wininet nicht betroffen ist.



Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
brauchst du eigentlich nicht machen, denn du hast ja bei einem NT System den Ersatz normalerweise im dll-cache und in diesem Pfad: C:\WINNT\ServicePackFiles\i386 (glaube das ist bei Win2000 auch so, kannst aber nochmal nachschauen).
Außerdem habe ich in letzter Zeit eigentlich nicht mehr gehört das die Tools bei der Bereinigung etwas zerschoßen hätten. Du hast außerdem eine Spysheriff Version bei dem die wininet nicht betroffen ist.



Grüße Wildone

Ich hab mich auch vertan.
Es gibt unterschiedliche Remover für diese Sachen und der, bei dem man erstmal die .dll file runterladen musste, ist ein anderer.

Ich denke ich habs gleich (nach einem aufwendigen Weg).
Ganz herzlichen Dank für Eure Hilfe!!!

Zitat:

Zitat von beowoelfi

Ich hab mich auch vertan.
Es gibt unterschiedliche Remover für diese Sachen und der, bei dem man erstmal die .dll file runterladen musste, ist ein anderer.

Ich denke ich habs gleich (nach einem aufwendigen Weg).
Ganz herzlichen Dank für Eure Hilfe!!!

Entgegen meiner vorherigen Vermutung hat sich rein gar nichts verändert.
Auch nachdem ich SmitFraudFix habe durchlaufen lassen (alles genau wie beschrieben) findet eScan sie immer noch und auch das mit den ungewollten Seiten hat sich leider nicht geändert.

Was soll ich jetzt noch machen?

Was genau findet eScan immer noch? Das hier?

Thu Feb 02 11:56:46 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\anwendungsdaten\google\hello\scache\ 1024
Thu Feb 02 11:56:46 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Thu Feb 02 11:56:47 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Hanno\Lokale Einstellungen\Anwendungsdaten\google\hello\scache\ 1024
Thu Feb 02 11:56:47 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: No Action Taken.

Oder ist das Log identisch mit dem ersten?

€dit: ich bin jetzt dann beim Friseur. Wünscht mir Glück!

Nein!
Die Einträge, die immer noch da sind, sind die hier:

Thu Feb 02 16:47:42 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 16:47:42 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 16:47:44 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Feb 02 16:47:46 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Feb 02 16:47:46 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Feb 02 16:47:46 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Feb 02 16:47:46 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.


Ich hab jetzt auch mal Blacklight durchlaufen lassen.
Das erzählt mir ich hätte folgendes drauf:

csocm.exe
dmgbc.exe
favset.exe
filesafer23.exe
howiper.exe
pppcgm.exe
wbemtest.exe

Fixen kann ich damit, wie es scheint gar nichts.
Soll ich das dann Manuell machen?

Ähm.. Wenn ich die Option "Rename" anklicke, wird mir gesagt, dass das lediglich für Experten sei und ich mein System damit beschädigen könnte, wenn ich es einfach so mache, ohne darüber bescheid zu wissen... Wat nu?

Hallo,
hat ja auch lang genug gedauert bis du es mal ausgeführt hast. Du hast ein ausgewachsenes Rootkit auf deinem Rechner, dieses gräbt sich so tief in das System ein das es quasi nicht mehr zu beseitigen ist. Du solltest das System neu aufsetzen und wie hier beschrieben absichern. Außerdem solltest du keine unseriösen Programme mehr installieren (Cracks usw.) und keine Webseiten mehr besuchen die soetwas anbieten.


Grüße Wildone