Hallo,

Krepper.y hat sich bei mir eingenistet und ich werde ihn nicht los. Kasperky hat ihn gefunden, kann ihn aber nicht entfernen. Weitere laienhafte Entfernungsversuche und Recherchen waren ergebnislos. Habe mich jetzt hier umgeschaut, ein logfile mit HijackThis angefertigt und wäre sehr glücklich und dankbar, wenn mich jemand an die Hand nimmt um die notwendigen Schritte manuell abzuarbeiten.

Betriebssystem:windows ME

Pfadangaben von Kaspersky:

c:\_restore\temp\a0146847.cpy/data0027\bdeviewer.exe
c:\_restore\temp\a0146848.cpy
c:\_restore\temp\a0146847.cpy/data0027
c:\_restore\archive\fs1828.cab\a0146847.cpy/data0027\bdeviewer.exe
c:\_restore\archive\fs1828.cab\a0146848.cpy
c:\_restore\archive\fs1828.cab\a0146847.cpy/data0027


logfile von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:56:02, on 12.05.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KLSWD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\NORMAN\WIN95\CLAW95.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CREATECD\CREATE~1.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [kavsvc] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\\checker.exe /check
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab

Vielen Dank
Pascal

mOIn Gravillons,
deaktiviere mal die Systemwiederherstellung - Neustart - Systemwiederherstellung wieder aktivieren und noch mal Scannen, außerdem solltest du diesen hier :
C:\NORMAN\WIN95\CLAW95.EXE
mal bei Jotti oder Virustotal überprüfen lassen
evtl. ist auf deinem System aber noch mehr.
Warten wir mal ab was die Spezies so sagen
MFG aus HH

Hallo,

drei Av Programme auf einem Rechner braucht niemand. Entscheide Dich für eines.
C:\NORMAN\WIN95\CLAW95.EXE nicht scannen, gehört zu Noman AV.
Zur Sicherheit kannst Du
mstask.exe
suchen und bei virustotal scannen, sieht aber nach dem Original aus.
Warum aber

Zitat:

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

verweigerst Du Dich den Updates? Gradew wo Du den IE zu benutzen scheinst.
Deaktivere die Systemwiederherstellung und starte den Rechner dann neu, SW wieder aktivieren.
Jetzt Updaten, dannach ein voller OnlineScan. Log hier posten

Gruß

Schrulli

Hallo Schrulli,

bin sehr geehrt, aber ich fürchte, du überschätzt meine Fähigkeiten. Mach mich gleich an die Arbeit ! Danke für die Info und die Links, ich werde lesen...)

Gruß
Gravillons

Hallo Schrulli,

nach Deaktivierung, Aktivierung der SW, anschließendem Update zu "IE 6 Sp1" hatte ich einige Probleme den Rechner wieder hochzufahren.
Anschließend den onlinescan durchgeführt mit folgenden Ergebnis:

Spyware:spyware/new.net Nicht desinfiziert c:\windows\NDNuninstall5_64.exe
Adware:adware/downloadware Nicht desinfiziert c:\programme\MediaLoads
Adware:adware/cws Nicht desinfiziert Windows-Registry
Adware:Adware/WinTools Nicht desinfiziert C:\WINDOWS\SYSTEM\grwinsthlp.exe
Spyware:Cookie/Xiti Nicht desinfiziert C:\WINDOWS\Cookies\standard@xiti[1].txt
Spyware:Cookie/Falkag Nicht desinfiziert C:\WINDOWS\Cookies\standard@as1.falkag[1].txt
Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\WINDOWS\Cookies\standard@fe.lea.lycos[1].txt
Spyware:Cookie/Apmebf Nicht desinfiziert C:\WINDOWS\Cookies\standard@apmebf[1].txt
Spyware:Cookie/Serving-sys Nicht desinfiziert C:\WINDOWS\Cookies\standard@serving-sys[2].txt
Spyware:Cookie/Serving-sys Nicht desinfiziert C:\WINDOWS\Cookies\standard@serving-sys[1].txt
Spyware:Cookie/YieldManager Nicht desinfiziert C:\WINDOWS\Cookies\standard@ad.yieldmanager[2].txt
Spyware:Cookie/Adtech Nicht desinfiziert C:\WINDOWS\Cookies\standard@adtech[2].txt
Spyware:Cookie/Overture Nicht desinfiziert C:\WINDOWS\Cookies\standard@perf.overture[1].txt
Spyware:Cookie/Searchportal Nicht desinfiziert C:\WINDOWS\Cookies\standard@searchportal.information[1].txt
Spyware:Cookie/Atwola Nicht desinfiziert C:\WINDOWS\Cookies\standard@atwola[1].txt
Spyware:Cookie/2o7 Nicht desinfiziert C:\WINDOWS\Cookies\standard@microsofteup.112.2o7[1].txt
Spyware:Cookie/2o7

(Der Vollständigkeit halber kann ich noch erwähnen, daß auf meinem Bildschirm flackernde Streifen zu sehen sind, die manchmal für kurze Zeiträume (z.B bei Scanvorgängen mit Av-Programm) verschwinden.

Gruß
Gravillons

Hallo,

lade Dir Killbox, in meiner Signatur verlinkt, lösche folgende Dateien mit der Killbox (Option "delete on reboot", auf das weisse Kreuz mit rotem Hintergrund klicken und erst nach der letzten Datei eine Neustart bejahen

c:\windows\NDNuninstall5_64.exe
c:\programme\MediaLoads
C:\WINDOWS\SYSTEM\grwinsthlp.exe

Dannach lade cleanup und führe es aus, benutze jetzt datfind.bat und poste die vier Logs, aber nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli