hey folk

ich hab immer schlechte erfahrungen gemacht mit viren und trojaner, deshalb hab ich auf meinem neuen pc alle möglichen firewalls installiert. ich hab heute um 5 uhr morgens kurz die teilers deaktiviert für ne stunde, vergessen halt. und jetzt hab ich doch echt n paar trojaner drauf. das eine kluge ding nennt sich saishook.dll
meine spyware aber gratuliert mir zum entryfreien computer. saishook.dll lässt sich leider nicht löschen, da es schreibgeschützt ist oder gerade verwendet wird. wie es leider selbst sagt. was kann ich da tun? ich bin ziemlich frustriert. wenn ich bei den eigenschaften von saishook.dll den haken bei schreibgeschützt rausnehme, ist es beim nächsten mal wieder drinne. das teil ist anscheinend ganz klug. ich gehe so auch in der annahme, das das programm irgendwie läuft, nur finde ich halt den entry net. im task manager habe ich einige sachen laufen unter meinem benutzernamen, sprich die sachen von mir, nicht über system und lokales.
ich habe aber irgendwie hemmungen die prozesse zu beenden. vielleicht weiss jemand, wie der prozess von saishook.dll heisst? dann könnte ich es entfernen und die dateien auch. oder nutzt da gar nichts?
kann es sein, dass ich noch weiteres auf meinem pc liegen könnte? antivir 6 läuft bei mir nonstop, hat auch schon paar dinge in den letzten stunden gefunden, die ich gelöscht habe.

ich geh ab wie nix hier.

greetz, nina.

alle möglichen firewalls bringen absolut nichts, außer dass sie sich gegenseitig blockieren. wenns schon eine firewall sein muss (wo es bessere varianten zur sicherheit bei www.ntsvcfg.de und www.dingens.org gibt) dann nur eine.
die saishook.dll kannst du auch mit killbox löschen.

anleitung zum löschen:

-starte killbox
-delete file on reboot
-gebe entweder den pfad von saishook.dll ein (c:\windows\system32\saishook.dll) oder klicke auf durchsuchen und finde ihn so.

am besten führst du auchnoch HijackThis sowie eScan und postest dann hier die funde und den log.

vielen dank. die file ist weg. als wenn ich den hjt log poste, einfach reinkopieren oder gewisse dinge zensieren?
danke noch für den tip für die firewalls.

hier der log:

Logfile of HijackThis v1.99.1
Scan saved at 08:43:46, on 24.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Bluewin\Quick Help\bin\mpbtn.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll (file missing)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://h*tp://go.microsoft.com/fwlin...67&clcid=0x409
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://h*tp://www.ysbweb.com/ist/sof...sb_1002838.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://v5.windowsupdate.microsoft.com/v5c

fixe noch diese einträge:
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll (file missing)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://h*tp://www.ysbweb.com/ist/so...ysb_1002838.cab

ansonsten sieht alles OK aus. führe escan aber trotzdem aus, du willst ja ein bereinigtes system
Update aber auf SP2

okay danke, habe die zwei sachen gefixt.

wenn ich jetzt in systemsteuerung/software gehe, dann sehe ich ja da alle ausgeführten programme. zu unterst ist aber immer noch "yoursitebar" drin, welches ich rausgelöscht habe. ausserdem sind da total viele windows xp hotfix codes drin - normal?

äh escan läuft grad, schaut net toll aus. was kann ich da machen? wie löschen? müsste ja escan kaufen... werde den log danach posten. kann ich das versuchen mit killbox zu löschen? soll ich den log trotzdem posten?

das sieht schrecklich aus oder?

Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Power scan Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ToolBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltnetBDE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltnetBDE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\cddvdint.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\jvintl.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{03A421AD-E8EE-4C47-9A03-FB386747186B}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{218E03A7-D535-445A-B30F-1315F1F8FC3E}" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{254CB8BE-ABAF-4730-9955-45E33EDE625E}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3764A0A4-CCF1-4689-9AAA-25323840D450}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4296E5FA-7692-46D8-BFC8-EC3836EE1DEC}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{6815282E-3A4B-4F8C-B6CF-B2D6A8B1F857}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{7968016E-F315-4B10-8D98-A0903335C5B3}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{7E5D116F-2DB8-4F11-8BA9-175318A4D180}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}" refers to invalid object "C:\Programme\ICQToolbar\toolbaru.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}" refers to invalid object "C:\Programme\YourSiteBar\ysb.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9B1E47CD-C835-46CA-AA9A-6171E279D07A}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A84011C3-4B7D-4575-B1AE-21619AF1FA74}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BF22E664-D582-412D-B06A-DF2C6DC2FE49}" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C5CD3C28-C7C3-4E71-9D9B-9799D3A486B7}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C7B3034C-E1B5-4171-B72D-89499B566768}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{CDDCFB92-F011-45CE-B77C-9EA66736E183}" refers to invalid object "C:\Programme\Windows Journal Viewer\jvinkseg.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{EF408D7F-64E6-42AE-8D58-1967D995C316}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVNBDoc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F3682527-2997-417B-B993-5ECFAFA2EC1D}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FA866075-4B98-40EC-AAA5-136D804C4C87}" refers to invalid object "C:\Programme\Windows Journal Viewer\JVVWCTL.DLL". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\180sainstallersilsais.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\bb.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Del2F.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Del90.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\res30.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010050.dll tagged as not-a-virus:ToolBar.YourSiteBar.d. No Action Taken.
File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010051.dll tagged as "not-a-virus:AdWare.ToolBar.SideFind". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010052.exe infected by "Trojan-Downloader.Win32.IstBar.jm" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010060.exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{A2A5DA1D-757B-48E0-A186-6B8A8968610C}\RP53\A0010101.dll tagged as "not-a-virus:AdWare.180Solutions.j". Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

btw: escan läuft immer noch, wie lange dauert sowas durchschnittlich? hat aber keine weiteren files gefunden.

so schlimm wie's aussieht ist es auf jedenfall nicht.
lösch einfach so wie du normal jede datei löscht im abgesicherten modus:

lösche den ordner C:\Programme\YourSiteBar\
-deaktiviere die systemwiederherstellung über rechtsklick arbeitsplatz,eigenschaften,systemwiederherstellung, systemwiederherstellung auf allen laufwerken deaktivieren haken hin, neustart haken weg.
-starte killbox, gebe als pfad C:\WINDOWS\Downloaded Program Files\YSBactivex.dll ein, "delete a file on reboot", OK.

dann sollte das system wirklich vollständig bereinigt sein

hey, danke vielmals, echt. ich denk, dass jetzt alles okay ist.

@ ButterflyEffect

Lade ClearProg Haken setzen bei alles löschen und auf ok. Dann sollten die Temp Dateien auch weg sein, aber du hättest sie sicher von Hand auch gelöscht

ich hab windows button + R > temp gemacht und alle temporären dateien herausgelöscht.... ist das das gleiche?

das ist das gleiche
du hast bei dem Programm nur ein paar mehr Möglichkeiten zum säubern