Hallo! Zunächst: Dies ist das beste Forum der Welt! Habe bereits öfters hier gelurkt und muss jetzt selbst mal posten...leider!!!

Mein Rechner läuft scheinbar perfekt: Ich habe absolut keine Symptome von Virusbefall. Ich benutze Avira (ja, weiß dass das net so toll ist), habe Ad-Aware und Spybot und HijackThis druff, hatte bis vor kurzem außerdem A-squared druff. Bis jetzt: Null Problemo mit Viren.

Angeregt durch dieses Forum habe ich e-scan installiert und nach der hier vorhandenen Anleitung durchgeführt (allerdings mit deutschen Settings) - es wurde fündig und fand zwei "virulente" Einträge im Dateisystem

Hier die Einträge aus meiner mwav.log, die auf eventuell auf eine Infektion schließen lassen:

Sun Jun 03 20:38:05 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sun Jun 03 20:38:05 2007 => Loading Spyware Signatures from new External Database [Name: C:\bases_x\spydb.avs, Size: 229674].
Sun Jun 03 20:38:05 2007 => Indexed Spyware Databases Successfully Created...

Sun Jun 03 20:38:46 2007 => Offending file found: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\anwendungsdaten\abelssoft\washandgo\updater.exe
Sun Jun 03 20:38:46 2007 => System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.

Sun Jun 03 20:38:47 2007 => Offending file found: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\abelssoft\washandgo\updater.exe
Sun Jun 03 20:38:47 2007 => System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.


der hier ist wohl irrelevant, oder?
Sun Jun 03 20:54:51 2007 => [Scanne Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED



Sagt das irgendjemandem etwas?? Ist das schlimm???
Ich habe Wash & Go spontan deninstalliert und danach e-scan kurz anstarten lassen: Es kam keine Virusmeldung - dafür eine Error-Meldung. Aufgrund der fortgeschritten Uhrzeit kann ich jetzt nicht weiter forschen...werde mich aber morgen wieder ransetzen.

Ich wäre wirklich froh, wenn mir hier jemand helfen könnte. Keines meiner Programme schlägt ansonsten Alarm und ich habe auch absolut keine auffälligen Probleme mit meinem PC.

F*ck the Virus!

Zusätzlich hier mein HJT-Log - sieht doch sauber aus, oder?:

Logfile of HijackThis v1.99.1
Scan saved at 02:40:29, on 04.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\*****\Desktop\jacker.exe (Anmerkung: =Hijackthis.exe)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.freenet.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDC41535-E436-46E3-990F-876E34A7A48C}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ok...habe mich nochmal etwas schlau gemacht: http://www.symantec.com/de/de/enterprise/security_response/writeup.jsp?docid=2005-120121-2151-99

Das war wenn wohl Bestandteil von Wash&Go. Sauerei! Die sollte man

Allerdings hatte ich nie irgendwelche Probleme mit Popups oder übertriebenen Warnmeldungen. Ist es möglich das Escan hier einfach irgendwas falsch interpretiert hat?