Hi Leute,

Ich weiss was ihr gleich denken werdet: Wie kann man nur so nachlässig sein!!! Das lag einfach daran, das ich bisher nur ein lächerliches kleines Modem hatte, mit dem man auf Windows Update Jahre braucht um irgendwas downzuloaden. Kann mir trotzdem jemand bitte kurz helfen? Ich hab mein System jetzt ein wenig durchforstet auf Viren +Co, bin bisher auf 3 Trojaner, einen Wurm und mehrere Adwares gestossen, von denen ich 2Tr. und den Wurm hoffentlich mit Symantec Antivirus entfernt hab. Beim dritten Trojaner (war glaub ich einer soweit ich gelesen hab) bin ich mir nicht sicher, da ich den manuell versucht habe als erstes zu löschen. Durch den bin ich auch erst mal darauf gekommen, doch mal nachzusehn, was hier läuft, da der ständig am uploaden war; hiess host32.exe. Hab in der Registry alle Einträge von host32 gelöscht und auf den Festplatten auch soweit das ging, der Virenscanner findet ihn zumindest nicht mehr. Hab mich jetzt auch mittlerweile einigermassen schlau gemacht, was die einzelnen Prozesse sind.

Meine Frage ist jetzt: Ist der Host32 sicher weg oder sollte ich noch was beachten, da manuell gelöscht?; ist mit meinem Logfile nun alles ok?(was mich z.B. wundert ist, das es 2 rundlls sind, früher wars glaube ich nur eine); und wenn ich schon dabei bin, dachte ich, wäre es net wenn ihr mir Tips geben könntet wie ich mein System schneller machen kann; sprich: ich will alles, was nicht unbedingt zum zocken nötig ist aus dem Startup weghaben, da ich jedes % Prozessor und jedes MB Ram brauch, um online zu zocken:-)


Logfile of HijackThis v1.99.0
Scan saved at 20:17:39, on 05.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.1und1.com
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://internet.1und1.com
O16 - DPF: load - http://download.payone.de/install/load.CAB
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/game...ts/y/jt0_x.cab
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/game...ts/y/yt1_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/game...ts/y/kt3_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab
O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/game...s/y/cct0_x.cab
O16 - DPF: Yahoo! Go - http://download.games.yahoo.com/game...ts/y/gt2_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/game...ts/y/ht1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/game...ts/y/pt0_x.cab
O16 - DPF: Yahoo! Sheepshead - http://download.games.yahoo.com/game...ts/y/dt0_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {22222222-2222-2222-4444-566661888858} - file://c:\x.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{872D2CD7-B9AF-48EA-9388-3922AB54D9E3}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe




MfG

NEXUS

@NEXUS7
lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

fixe danach mit HJT
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O16 - DPF: load - http://download.payone.de/install/load.CAB
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {22222222-2222-2222-4444-566661888858} - file://c:\x.cab
lösche danach manuell
C:\Programme\MyWay
neu booten neues HJT logfile posten
chaosman

Hi chaosman,

danke schon mal so weit; wurde doch noch einiges gefunden:

Sun Feb 06 03:00:20 2005 => File C:\WINDOWS\system32\c.bat infected by "Trojan-Downloader.BAT.Ftp.h" Virus. Action Taken: No Action Taken.
Sun Feb 06 03:29:32 2005 => Scanning File C:\Dokumente und Einstellungen\Nexus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E34TY1EL\infected6xz[1].gif
Sun Feb 06 06:08:35 2005 => File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus. Action Taken: No Action Taken.
Sun Feb 06 06:08:35 2005 => File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken.
Sun Feb 06 06:08:51 2005 => File C:\Programme\Norton AntiVirus\Quarantine\056C4ABA.exe infected by "Trojan-Downloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken.
Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP399\A0144570.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Sun Feb 06 06:50:07 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP399\A0144572.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:17:13 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154260.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:17:14 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154261.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154264.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154265.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154267.dll infected by "not-a-virus:AdWare.Perfnav.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:17:18 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154272.dll infected by "not-a-virus:AdWare.Altnet.e" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:17:23 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154286.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154287.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:17:23 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP453\A0154288.exe infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:20:17 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP460\A0155035.exe infected by "not-a-virus:AdWare.Gator.4104" Virus. Action Taken: No Action Taken.
Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP460\A0155036.exe infected by "not-a-virus:AdWare.Perfnav.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:20:22 2005 => File C:\System Volume Information\_restore{DE2487F4-1721-4422-A073-31AA1F67CC37}\RP461\A0155052.exe infected by "Trojan-Downloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:50:22 2005 => File C:\WINDOWS\system32\c.bat infected by "Trojan-Downloader.BAT.Ftp.h" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:55:57 2005 => File C:\WINDOWS\Temp\Altnet\adm.exe infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:55:57 2005 => Scanning File C:\WINDOWS\Temp\Altnet\adm25.dll
Sun Feb 06 07:55:57 2005 => File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:55:57 2005 => Scanning File C:\WINDOWS\Temp\Altnet\adm4.dll
Sun Feb 06 07:55:57 2005 => File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:55:58 2005 => File C:\WINDOWS\Temp\Altnet\admprog.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:55:59 2005 => File C:\WINDOWS\Temp\Altnet\mysearch.cab infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:56:00 2005 => File C:\WINDOWS\Temp\Altnet\pmfiles.cab infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:56:00 2005 => File C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Sun Feb 06 07:56:50 2005 => Scanning File F:\Manuels Music\Hardcore\Bad Religion\Bad Religion - Infected.mp3 <---(infizierte mp3...pfui)
Sun Feb 06 07:58:25 2005 => Total Virus(es) Found: 33


Ist das normal das so ein scan 5 Stunden dauert? Ich hoffe ich hab jetzt alles kopiert. Das Fixen und das neue HJLogfile, wie du gepostet hast, mach ich später, muss jetzt nochn bischen was arbeiten zuerst.

Cya und schonmal vielen dank für die bisherige Hilfe.

Hier das neue Logfile und was ich noch sagen wollte, ich weiss nicht ob das wichtig ist: Ich hab einige Programme im Startup unter msconfig weggeklickt, damit nicht so viel beim Systemstart geladen wird; da sind auch Sachen dabei von denen ich nicht immer genau weiss was es ist.


Logfile of HijackThis v1.99.0
Scan saved at 13:33:40, on 06.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\MouseWare\system\em_exec.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.1und1.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://internet.1und1.com
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/game...ts/y/jt0_x.cab
O16 - DPF: Yahoo! Canasta - http://download.games.yahoo.com/game...ts/y/yt1_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/game...ts/y/kt3_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab
O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/game...s/y/cct0_x.cab
O16 - DPF: Yahoo! Go - http://download.games.yahoo.com/game...ts/y/gt2_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/game...ts/y/ht1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/game...ts/y/pt0_x.cab
O16 - DPF: Yahoo! Sheepshead - http://download.games.yahoo.com/game...ts/y/dt0_x.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

@NEXUS7
systemwiederherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren

lade clearprog bei www.clearprog.de
alle häkchen bei IE und windows setzen, löschen


jetzt sind alle Temp files weg, und auch die C:\System Volume Information\_restore sind weg.

die übrige dateien in der abgesicherten modus manuel löschen.
neu booten, neues HJT logfile posten
chaosman

Hi chaosman,

Hab Systemwiederherstellung deaktiviert und wieder aktiviert nach neuboot, die restores müssten also jetzt weg sein. Aber: ist es wirklich nötig, alle meine Temp-files u.ä. mit clearprog zu löschen? Meine Auto-Text-Einträge, den Verlauf in IE, sowie z.B. Ausführen-Einträge in Windows würd ich z.B. gerne behalten. Was ist ausserdem die index.dat? Was meinst du mit übrige Dateien manuell löschen/welche sollen das sein? Mein Hauptproblem ist grade fast nur noch
Sun Feb 06 03:00:20 2005 => File C:\WINDOWS\system32\c.bat infected by "Trojan-Downloader.BAT.Ftp.h" Virus. Action Taken: No Action Taken aus dem e-scan.
Konnte dazu nichts konkretes finden in Virenlexika und Suchmaschinen. Was ist das und wie kriege ich das eventuell los. Mein Virenscanner konnte das nicht finden, der findet zum Glück nichts mehr jetzt. Ist die c.bat wichtig?

@NEXUS7

Zitat:

Konnte dazu nichts konkretes finden in Virenlexika und Suchmaschinen.

http://securityresponse.symantec.com...rsaw.b@mm.html