Hallo

die Geschichte mit dem CCleaner vergiss mal, einen Versuch sollten wir aber noch starten.

lade dir bitte Vundofix runter

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren und CCleaner laufen lassen dann anschließend eScan nach Anleitung mit einer Ausnahme, das häckchen bei - Nur Scannen - rausnehmen eScananleitung
poste das Log von eScan mittels der Find.bat

MFG

okay, hier das Logfile von eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\DOKUME~1\J******\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gator-gain-claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gator-gain-claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\J******\Eigene Dateien\J******\Anwendungsdaten\Mozilla\Firefox\Profiles\default.7xt\Cache\F50AEE77d01 infiziert von "Trojan-Downloader.JS.Agent.em" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\J******\Eigene Dateien\J******\Lokale Einstellungen\Temp\gain_trickler_3202.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\J******\Eigene Dateien\LAN\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\J******\Eigene Dateien\LAN\Spiele + Programme\Screensavers\Matrix3DSetup.exe//WISE0011.BIN markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\J******\Eigene Dateien\LAN\Spiele + Programme\vnc-4.0b4-x86_win32.exe//data0004 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\J******\Eigene Dateien\LAN\Updates\DivXPro511Adware.exe//stream//data0019 markiert als "not-a-virus:AdWare.Win32.Gator.3202". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP49\A0021523.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP50\A0021557.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP50\A0021576.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP50\A0021593.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP50\A0021612.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP51\A0021671.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP51\A0021703.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP51\A0021723.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021763.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021801.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021802.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021828.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021882.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021897.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021905.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021938.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0021994.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022003.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022004.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022005.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022006.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022007.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022048.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022132.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022146.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022148.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022149.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022150.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022155.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022156.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP53\A0022157.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\ddaba.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\ejsdofwp.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\hdwdrqgo.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\heshddpd.dll.bad//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\sngemvym.dll.bad//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\vfgjrovj.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\yaywwtt.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\lan\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\J******\lokale einstellungen\temp\fsg_tmp
Offending Folder found: C:\Dokumente und Einstellungen\J******\Eigene Dateien\J******\lokale einstellungen\temp\fsg_tmp
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\trickler !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\trickler !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\J******\Eigene Dateien\games\GTA San Andreas User Files\pztrain.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\J******\Eigene Dateien\sport\gothic\pc_gta_sa_tr.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\J******\Eigene Dateien\sport\gothic\pztrain.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP46\A0015055.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP46\A0015056.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP47\A0017215.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{45B4590D-410F-4CE5-9B01-A17FC6A9D916}\RP47\A0017216.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\xProgramme\Alcohol Soft\Alcohol 120\Alcohol.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 7360
Gescannte Dateien: 143591
Gefundene Viren: 4
Gefundene Viren: 60
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 7
Anzahl Fehler: 30
Dauer des Scans bisher: 00:00:49
Dauer des Scans bisher: 01:40:56
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:22:42,25
Batchende: 16:22:46,85

Hallo

deaktiviere bitte zuerst die Systemwiederherstellung.
Lösche SmitraudFix von der Platte und leere den Backupordner von VundoFix (C:\VundoFix Backups\).
Lade dir mal ClearProg und lasse es dein System bereinigen (hake an --> alles löschen) lass alles löschen.
Mich selbst zitier

Zitat:

dann anschließend eScan nach Anleitung mit einer Ausnahme, das häckchen bei - Nur Scannen - rausnehmen

soweit klar ?

Mit Trainern und Keksen solltest du vorsichtig sein, diese sind sehr häufig für eine unschöne Begegnung mit Schädlingen verantwortlich...
C:\Dokumente und Einstellungen\J******\Eigene Dateien\games\GTA San Andreas User Files\pztrain.exe
C:\Dokumente und Einstellungen\J******\Eigene Dateien\sport\gothic\pc_gta_sa_tr.zip
C:\Dokumente und Einstellungen\J******\Eigene Dateien\sport\gothic\pztrain.exe

Nach dem eScan lass den Rechner bitte eine kleine Weile aus ca. 2-3min, dann starte das System in den normalen Modus und die Systemwiederherstellung kann wieder aktiviert werden, anschließend würde ich gerne nochmal ein HijackThis Log sehen und berichte bitte ob du noch Probleme mit Popups hast.

MFG

hm, ich habe mich schon gewundert, was es bringen soll, wenn man das Programm laufen lässt, dann aber nicht die infizierten Daten löscht - aber ich habe eScan deshalb mit "nur scannen" laufen lassen, weil bei der Freeware die Auswahl gar nicht besteht (nur wenn man sich das Programm kauft).
Da ich auch keinen Registrierungskey gefunden habe hab lasse ich jetzt einfach Ad-Aware und vielleicht AntiVir drüber laufen(im sicheren Modus).

ich hoffe, dass ist in deinem Sinn.

Das Hijack-log reicht ich später noch nach.

Achja, seit ich "Vundofix" angewandt habe, treten keine Popups mehr auf und auch mein AntiVir gibt endlich Ruhe - ich will nur nicht, dass irgendwo noch nen Virus steckt, der dann wider ausbrechen könnte.

Moin

Zitat:

Mich selbst zitier

Zitat:

soweit klar ?

Ich nehme alles zurück und behaupte das Gegenteil

Zitat:

lasse ich jetzt einfach Ad-Aware und vielleicht AntiVir drüber laufen(im sicheren Modus).

gut, dann nimm noch SpyBot S&D dazu --> Die Seite von Spybot-S&D!
Programm update durchführen sowie immunisieren.

MFG

Okay, ich hab gestern im Abgesicherten Modus AntiVir, Ad-Aware und Spybot laufen lassen. AdAware und Spybot haben je 2 Viren gefunden und liquidiert, als ich es heute noch mal gemacht habe, sind keine Viren mehr gefunden worden.

es folgt mal wieder das HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:54:12, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\xProgramme\Spybot - Search & Destroy\TeaTimer.exe
C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\J \Eigene Dateien\LAN\JackASnack.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {51EFBDFE-8D7C-4A0A-B2CF-F130BDFE45E0} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\XPROGR~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E54AF11B-CB56-4655-AF32-169068EC61C2} - (no file)
O2 - BHO: (no name) - {F36CCFBD-8FAA-4872-8576-15C88BC7B319} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\xProgramme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\xProgramme\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

bin ich sie jetzt losgeworden? Und wenn, wie kann ich verhindern, dass sie wieder ne Invasion starten ?

Moin

was hat Antivir den da noch wo gefunden?
Ich denke AdAware und Spybot haben auch noch einiges gefunden, gelle!?

Dein Log sieht nun unauffällig aus.
Starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :
O2 - BHO: (no name) - {51EFBDFE-8D7C-4A0A-B2CF-F130BDFE45E0} - (no file)
O2 - BHO: (no name) - {E54AF11B-CB56-4655-AF32-169068EC61C2} - (no file)
O2 - BHO: (no name) - {F36CCFBD-8FAA-4872-8576-15C88BC7B319} - (no file)

klicke nun auf - fix checked - und beende Hijackthis.

Zitat:

bin ich sie jetzt losgeworden?

das wird sich bald herausstellen



MFG

okay, hab ich so weit gemacht
- nee, Antivir hat nix gefunden
- aber Spybot hat : Smitfraud-C.Toolbar888(HKEY_USERS\S-1-5-21-311096782-2805799533-3739325187-1005\Software\Microsoft\aldd) und Virtumonde(HKEY_USERS\S-1-5-21-311096782-2805799533-3739325187-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09F1ADAC-76D8-4D0F-99A5-5C907DADB988}) gefunden
- und was Adaware gefunden hat, habe ich mir nicht gemerkt und ich steig im logfile nicht durch, aber jetzt findet er nichts mehr

okay, ich gehe jetzt davon aus, dass ich wirklich Viren frei bin.
Auf jeden Fall mal vielen Dank für deine Hilfe ich meine, dass hat ja schon einige mühe gekostet ...
Ist auf jeden Fall super, dass es Leute wie dich gibt, die solchen PC-Trotteln wie mir helfen :aplaus:

mfg und bis zu meinem nächsten Virus...