Säuberungsaktion

Adriana

Hi,

habe ich mich an eine "Säuberungsaktion" nach Anweisung gemacht. Da mir ein paar Punkte noch nicht klar sind, freu ich mich über Tipps, wie ich meinen Rechner völlig sauber bekomme.

Kaspersky:
Überprüfe ich C:\Dokumente und Einstellungen\NN.NN-KPV3FB6CBDB9\Anwendungsdaten\toau.exe mit Kaspersky, bekomme ich folgende Info:
toau.exe - packed with UPX
toau.exe Infiziert: not-a-virus:AdWare.PurityScan.w

Im Taskmanger taucht der Prozess zwar nach dem Beenden nicht mehr auf, bleibt aber unter "Dokumente und Einstellungen" weiter bestehen.

Für C:\WINDOWS\system32\??oolsv.exe bekomme ich gar kein Ergebnis. Konnte die Datei unter "Dokumente und Einstellungen" auch nicht mehr finden. Was hat es denn mit den Fragezeichen auf sich? Ich kenne nur spoolsv.exe.

Folgendes habe ich vor den Scans gemacht:

Im Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Soll ich die Veränderungen im Windows Explorer ->"Extras/Ordner... eigentlich wieder rückgängig machen?

Als ich

c:\Doku...und Eins...\...\Anwendungsdaten\soht.exe löschen wollte, bekam ich die Info, dass dieser Vorgang problematisch sei, da es sich um eine Systemdatei handelt. Also was tun?


eScan
Mit eScan habe ich ein Problem mit dem update. Ich bekomme die Info, dass das Archiv veraltet ist und dass ich über www.mwti.net einen Update machen soll. Da finde ich mich aber nicht so zurecht. Das automatische Update findet nicht statt, obwohl ich den Ordner brav wie vorgegeben angelegt habe. Es hätte ja beim Download von eScan auch noch c:\bases\mwav.exe entstehen sollen, der dann den Update auslöst. Oder habe ich da etwas falsch verstanden?

Mach ich den Scan ohne das Update bekomme ich folgendes Ergebnis:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:7
c:\windows\system32\mqexdlm.srg tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\javexulm.vxd tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exdl0.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exdl1.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\exul1.exe tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\netut80ex.vxd tagged as not a virus:AdWare Bargain Buddy.s. No action taken.
c:\windows\system32\instsrv.exe tagged as not a virus:RiskWare Tool Service Runner.f.No
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Errors: 2

c:\windows\system32\angelex.exe Error invalid entry
c:\windows\system32\??oolsv.exe Scanning failure

Was ist hier zu tun? Können diese Einträge von Hand gelöscht werden?

Hier noch mein aktuelles Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:00:30, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\hijackthis_198\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099599755087
O17 - HKLM\System\CCS\Services\Tcpip\..\{678BD7E9-B413-4041-A010-A32434B56A5E}: NameServer = 217.237.151.161 217.237.151.33

Vielleicht kann man mir auch noch erklären, wieso die verschiedenen Tools zu unterschiedlichen Ergebnissen kommen? Mein Rechner läuft jetzt wieder besser, aber ich bin trotzdem irritiert über die o.a. Ergebnisse.

Vielen Dank

Adriana