Liebe Sabina,

vielen Dank schon einmal für Deine Hilfe. Muß Dir vielleicht vorweg noch sagen, daß ein Bekannter heute schon einige Dateien gelöscht hat, die er als Viren erkannt hat - er kennt sich gut aus. Könnte also sein, daß sich Problem schon erledigt hat.

Aber vielleicht sollte ich auf Nummer sicher gehen.

Gruß Janina

Logfile of HijackThis v1.99.1
Scan saved at 22:13:40, on 12.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\drivers\IMountSRV.exe
C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\SophosNew\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\downloads\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\temp\msbb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AutoText\autotext.exe
C:\Programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SophosNew\AutoUpdate\ALMon.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\winzip\winzip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://www.ub.uni-heidelberg.de/cgi-bin/proxy.cgi:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\downloads\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AutoText] "C:\Programme\AutoText\autotext.exe" mini
O4 - HKLM\..\Run: [odatad] C:\WINDOWS\odatad.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\SophosNew\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinDVD 5.lnk = C:\Programme\InterVideo\DVD5\WinDVD.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\winzip\winzip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124221067359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126430421875
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole...rcadeRdxIE.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp04.photoprintit.de/microsi...ex/XUpload.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\System32\drivers\IMountSRV.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SavService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\SophosNew\AutoUpdate\ALsvc.exe

der PC scheint weiterhin verseucht zu sein:

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [odatad] C:\WINDOWS\odatad.exe

PC neustarten

loeschen:
c:\temp\msbb.exe
C:\WINDOWS\odatad.exe

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

arbeite bitte L2mfix ab (alle 2 Durchgaenge und poste mir die jeweiligen logs)
http://nikita.eddys-domain.de/L2mfix.html

hallo ...
an alle lieben helfer in diesem forum ..
bin - wie solls anders sein - auch von diesem WinFixer betroffen...habe nicht wirklich viel durchblick im bezug auf seine gefahren und wirkungen !
allerdings bin ich mir bewusst dass des teil nichts "positives" sein kann ... *clever,oder?? * *löl*

na nun...mal...

1.) wäre klasse wenn ihr mir mal nen bissi von dem "ding" erzählen könntet..(z.B. gefahren, mögliche eigenschaften ..usw)

2.) wäre noch viel "klasser" *g* wenn ihr mir erklären könnt WIE ich des teil VOLLSTÄNDIG weg bekomme !!!

vielen dank im vorraus...
PS - poste hier mal auf verdacht meine HiThis-Logfile !!
PS2 - hab nicht die geringste ahnung wie ich daraus etwas lesen soll ! *schäm*


DANKE !!

Logfile of HijackThis v1.99.1
Scan saved at 00:11:55, on 13.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\LVComS.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\AtzeMarcelHeidi\Eigene Dateien\Meine empfangenen Dateien\Install.Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadr...qId=1838943554
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\System32\ddaby.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Verbindung.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://data.flatcast.com/NpFp415.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http://www.flatcast.com/objects/NpFp412.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{00C6F81A-B9AC-4867-86D4-D98A130DE962}: NameServer = 69.50.176.198 195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B35166D-F21C-4A31-8D75-82CCCF63FF99}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD912DA3-177D-4BE7-B9A7-2FF6B3B40ED4}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CS1\Services\Tcpip\..\{00C6F81A-B9AC-4867-86D4-D98A130DE962}: NameServer = 69.50.176.198 195.225.176.153
O20 - Winlogon Notify: ddaby - C:\WINDOWS\System32\ddaby.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


PS3 -bin für jede hilfestellung enorm dankbar !!

gruss

Marcel

Liebe Sabina,

habe gerade 2 Probleme beim Abarbeiten Deiner Hilfe.

1. Ich habe beim HijackThis nicht verstanden, daß ich nur die von Dir unter den Befehlen angegebenen "Dateien" mit Häkchen makieren soll und fixen. Ich habe alle gefixt.

2. Habe nun aber trotzdem weitergemacht. Bei L2mfix kommt nun die Meldung:

C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. Die Systemdatei ist nicht geeignet, um Anwendungen für MS-DOS oder Microsoft Windows auszuführen. Klicken sie "Schließen", um die Anwendung zu beenden.

Was soll ich tun? Ich bin offensichtlich zu dumm...

Grüße Janina

1. log-datei

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"="Sophos Anti-Virus Shell Extension"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: ECAE-D346

Verzeichnis von C:\WINDOWS\System32

13.09.2005 00:08 <DIR> dllcache
17.09.2002 06:38 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.685.086.208 Bytes frei

2. log-Datei

Setting Directory
C:\
C:\
System Rebooted!

Running From:
C:\

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2004 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 176 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
adding: clear.reg (188 bytes security) (deflated 2%)
adding: DownloadLog.txt (188 bytes security) (deflated 9%)
adding: Lang.txt (188 bytes security) (deflated 47%)
adding: lo2.txt (188 bytes security) (deflated 54%)
adding: SCAN.TXT (148 bytes security) (deflated 57%)
adding: test.txt (188 bytes security) (stored 0%)
adding: test2.txt (188 bytes security) (stored 0%)
adding: test3.txt (188 bytes security) (stored 0%)
adding: test5.txt (188 bytes security) (stored 0%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

Restoring Windows Update Certificates.:


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************


HijackThis 1


Logfile of HijackThis v1.99.1
Scan saved at 00:42:49, on 13.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AutoText] "C:\Programme\AutoText\autotext.exe" mini
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SavService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Hijack This 2

Logfile of HijackThis v1.99.1
Scan saved at 00:44:49, on 13.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AutoText] "C:\Programme\AutoText\autotext.exe" mini
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SavService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



So, ich hoffe, daß ich nun alles einigermaßen richtig gemacht habe. Da im Moment noch alles funktioniert habe ich mit meinem "fixen" von allen Elementen vielleicht doch keinen allzu großen Schaden angerichtet.

Ich bin leider vollkommen hilflos. Doch solange hier noch alles läuft...

Grüße Janina

Hallo@pinkj

wenn du in die Datei gehst, wo der HijackThis ist, findest du ein BackUp.
so kann man alles, was gefixt wurde wiederherstellen

suche (in der mitte ungefaehr VundoFix.exe und lade
http://www.geekstogo.com/forum/index...howtopic=61817

Zitat:

Please download VundoFix.exe to your desktop.

Lade und auf dem Desktop entpacken
* boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt
* Double-click VundoFix.exe
* Klicke KillVundo.bat
* nun wird folgendes angezeigt:



-kopiere rein:

C:\WINDOWS\System32\ddaby.dll

-druecke Enter, und dann die F6 Taste, dann wieder Enter

* dann wird sich HijackThis oeffnen:
nun...da musst du nun nichts mehr fixen

* danach starte den PC neu
* es wird ein "Blue Screen of Death" sein, das ist normal ......

---------------------------------------------------------------------

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern --> dann erscheint eine vundo.reg auf dem Desktop
http://nikita.eddys-domain.de/reg/vundo.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "vundo.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird


installiere CleanUp!
CleanUp40.exe
http://www.zdnet.de/downloads/prg/i/9/de000NI9-wc.html

-Click "Options..."
-Custom CleanUp!

* Empty Recycle Bins
* Delete Cookies
* Delete Prefetch files
* Cleanup! All Users

- Click OK
- Press the CleanUp!
- nicht neustarten

CWShredder
http://www.trendmicro.com/ftp/produc...ols/cwshredder

scanne mit ewido und poste mir den scanreport
http://nikita.eddys-domain.de/Ewido.html
+
das neue Log vom HijackThis

Hallo@pinkj

vergiss alles, was ich geschrieben habe, es waren nicht deine Dateien, die ich da bearbeitet habe und ich kann nicht mehr editieren, das ist, wenn man nicht aufpasst und ein anderer dazwischenpostet.

mache nur das:
scanne mit ewido und poste mir den scanreport
http://nikita.eddys-domain.de/Ewido.html

Hallo Sabina,

nachdem ich das letzte Mal einfach Schritt für Schritt vorgegangen bin, statt alles erst einmal durchzulesen und ich dann ja zur "Massenfixerin" wurde, habe ich gerade Deine Hilfe gelesen. AUßerdem habe ich keinen Drucker und schreibe fleißig ab.
Bei einem Punkt bin ich nicht sicher, ob ich Dich richtig verstehe.

Du schreibst, daß ich in Browser -> Datei ->Seite speichern usw. machen soll. Mir ist nicht klar, welche Seite ich da speichern soll. Du hast doch davor geschrieben, daß nach Neustart ein "Blue Death Screen" auftaucht.

Vielen Dank für Deine Geduld mit mir.

Gruß Janina

Alles zurück. Habe es verstanden!

Hallo@pinkj
ja, ich hab nicht aufgepasst....

Hallo@DaCore
die Reinigung von deinem PC wird sehr lange und aufwendig, denn es sind zwei verschiedene Viren drauf und beide sehr recent , daher muss ich viele Erkennungstools empfehlen und abarbeiten, die Reinigung wird sich lange hinziehen.
was haelst du von formatieren?????

Hallo Sabina,

das ewido-Scannen läuft, aber dauert ganz schön lange. Ich nehme an, daß ich nichts groß falsch machen kann, wenn ich die gefundenen Viren gleich lösche - so wie mir das ewido vorschlägt.

AUßerdem ist es doch nicht schlimm, daß Du mal kurz nicht aufgepaßt hast. Immerhin hast Du es noch bemerkt, während andere einfach fleißig löschen als seien sie

Noch eine andere Frage: Habe bis jetzt noch keine dramatischen Probleme wegen der großen "Fix-Aktion" bei HijackThis festgestellt. Mußte zwar mein Virenprogramm neu installieren und einige Programme wieder in den Autostart holen, aber ansonsten keine Riesen-GAUs.
Denkst Du ich kann das nun so lassen?

Danke und Gruß Janina

PS: ewido ist grad mal bei 25%.

Hallo Sabina,

hier der Scan-Bericht von ewido.

Gruß und Dank Janina

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:55:37, 13.09.2005
+ Report-Checksumme: 2636526B

+ Scanergebnis:

HKLM\SOFTWARE\180solutions -> Spyware.180Solutions : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\IELoaderCtl.IELoaderCtl -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\IELoaderCtl.IELoaderCtl\CurVer -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{0F4A7B40-A295-11CF-A3A9-00A0C9034920} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{C60BC918-ABBA-0704-0B53-2C8830E9FAEC} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{000000AA-ABBA-0704-0B53-2C8830E9FAEC} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb -> Spyware.180Solutions : Gesäubert mit Backup
HKLM\SOFTWARE\msbb -> Spyware.180Solutions : Gesäubert mit Backup
HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\180solutions -> Spyware.180Solutions : Gesäubert mit Backup
HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\localNRD -> Spyware.BetterInternet : Gesäubert mit Backup
HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} -> Spyware.BlazeFind : Gesäubert mit Backup
HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\msbb -> Spyware.180Solutions : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.25:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.32:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.34:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.35:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.40:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup
:mozilla.52:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.53:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@weborama[1].txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\backups\backup-20050913-000743-691.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\TEMP\msbbhook.dll -> Spyware.180Solutions : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\IELoader.0ll -> TrojanDownloader.Ladder.a : Gesäubert mit Backup


::Report Ende

hallöööchen Sabrina *g*

ja ans formatieren hab ich schon gedacht...*g*
und dass es nun 2 sind ...hab ich vorhin auch festellen müssen ...*g*

unter anderem issas ne "yaemu.exe" welche sich ewig wieder erneuert !! ganz egal was ich mache *argh*

selbst wenn diese weg ist...wird die "yaemu.exe" zu ner "hgqhp.exe" und umgekehrt ...dolle wurscht....könnt kotzen !! *Gg*

naja...weiss mir auch net anders zu helfen als zu formatieren !!
;(;(;(

werds wohl auch tun...!! besser ist !!
nun noch ne frage ...
WO hab ich des teil her ???
über den Internet Explorer ,wa??

mit anderen worten nachm formatieren ...wäre es klüger und sinniger ..des MozillaFirefox zu verwenden,wa?? oder is des egal ..mit welchem Browser ich im netz rum-mach ?!?!?!?!

PS - dank dir mal dafür dass de geantwortet hast ..*G*


greetz Marcel

naja...

Hallo@pinkj

nun poste das neue Log vom HijackThis, vorher loesche noch alle temp-Dateien
CCleaner--> loesche alle *temp-Datein --> alles anhaken
http://nikita.eddys-domain.de/IE.html