Liebes Trojaner Board Team und Trojaner Board User


Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien in den besagten Ordner installierte. Symantec Antivir findet diese löscht sie, jedoch nach wenigen Sekunden kommen neue Downloader Warnungen.

die Dateien heißen meistens C:\\Windows\temp Files\Bit... .tmp


Ich habe schon Virenchecker wie Ad Aware und eben Symantec AntiVir durchlaufen lassen, ohne Erfolg. Er hat zwar die Dateien erkantn im Temp Ordner doch auch dieses Mal warn sie nach kurzer Zeit wieder da.

Logfile of HijackThis v1.99.1
Scan saved at 11:08:43, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\T-Mobile\webnwalk Manager\webnwalkmanager.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = httpwww.hak-neusiedl.at]Handelsakademie und Handelsschule Neusiedl am See
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] D:\Spiele\Steam.exe -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: web'n'walk Manager.lnk = C:\Programme\T-Mobile\webnwalk Manager\webnwalkmanager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_httpwww.hak-neusiedl.at
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - httpwww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - httpcdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O17 - HKLM\Software\..\Telephony: DomainName = hak-neusiedl.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

Muss ich nun meinen Computer neu aufsetzen oder gibt es noch Hilfe!
Wie Edit Klinger einmal sagte: BITTE BITTE BITTE nehmt euch meines Problemes an!

Zitat:

Zitat von Zettinator

Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien in den besagten Ordner installierte. Symantec Antivir findet diese löscht sie, jedoch nach wenigen Sekunden kommen neue Downloader Warnungen.

die Dateien heißen meistens C:\\Windows\temp Files\Bit... .tmp

Schreibe Bitte den Pfad aus: C:\\Windows\temp Files\Bit... .tmp
Eig. sollte sich in WINDOWS gar kein Ordner namens "temp Files" befinden, sondern nur einer mit namen "Temp".
Kannst du die Namen der Files in C:\Windows\temp Files\ bitte hier auflisten?
Dann sehen wir weiter.

IMO sieht dein Hijackthis-log eig. sauber aus.

Noch ne Frage, die Nero Version ist legal, oder? Oder wurde ein Crack oder Keygen mitgeliefert?
Sehr oft sind solche Files infiziert!
Mfg

Zitat:

Zitat von .::|||::.

Schreibe Bitte den Pfad aus: C:\\Windows\temp
Noch ne Frage, die Nero Version ist legal, oder? Oder wurde ein Crack oder Keygen mitgeliefert?
Sehr oft sind solche Files infiziert!
Mfg

Ja, ein Freund meinte nur, er habe die neue Version und ich hab mir nichts daei gedacht und ich glaube er war gecrackt.

Und ja natürlich tut mir leid! Der Pfad:

alle 6 die er so eben gefunden hat:

C:\\Windows\TEMP\BIT7BA.tmp

C:\\Windows\TEMP\BIT7BE.tmp

C:\\Windows\TEMP\BIT7C2.tmp

C:\\Windows\TEMP\BIT7C6.tmp

C:\\Windows\TEMP\BIT7CA.tmp

C:\\Windows\TEMP\BIT7CE.tmp

Weitere 2 soeben gefundene:

C:\\Windows\TEMP\BIT7D2.tmp

C:\\Windows\TEMP\BIT7D6.tmp

Zitat:

Zitat von Zettinator

Ja, ein Freund meinte nur, er habe die neue Version und ich hab mir nichts daei gedacht und ich glaube er war gecrackt.

Spielt jetzt ja auch keine Rolle mehr... Lösch die Installationsdatei von Nero und alles andere was dazugehört (Crack/Keygen etc.)
Lade dir den CCleaner und bereinige dein System (sowohl die Temp Files, als auch die Registry), mache dann anschliessend einen eScan nach Anleitung (siehe Links in meiner Signatur) und poste das eScan-Log!
Mfg

mein e-scan Teil:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimate cleaner Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700001.VBN//CryptZ infiziert von "Trojan.Win32.Obfuscated.en" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Mozilla Firefox\keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Inject.fo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKT.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTCA.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTSI.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTSS.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKT.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTCA.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTSI.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTSS.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\ZETT~2.JIB\LOKALE~1\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700000.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700002.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700003.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700004.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700005.VBN//CryptZ markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700006.VBN//CryptZ markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\temp\nerodemo12071\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Anwendungsdaten\ultimate cleaner
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f6a3238-a78c-11db-9d59-0013a948db85} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e7198900-1c3f-11dc-9ede-0013a948db85} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {e7198900-1c3f-11dc-9ede-0013a948db85}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL webnwalkmanager.msi AUTORUN=1
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\ZETT~2.JIB\LOKALE~1\Temp\NeroDemo12071\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Zett\Lokale Einstellungen\Temp\GLBAF7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\Temp\NeroDemo12071\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\installationsdateien\cbsetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 115922
Gefundene Viren: 35
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 152
Dauer des Scans bisher: 01:10:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:04:49,01
Batchende: 17:04:59,98

Hmmm...
Dein eScan-Log weist die üblichen Fehlalarme auf, was mich stutzig macht sind jedoch files wie diese:

Zitat:

C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe

Ich weiss nicht mehr so recht wies weitergehen soll...
Kannst du Bitte noch einen Scan mit Blacklight machen und das Log posten?
Und hast du den CCleaner schon drübergelassen, mache es bitte nochmal und bereinige auch die Registry!
Ich hoffe doch, das sich noch ein Experte den Thread anschaut!
Mfg

Hallo

mach mal alle versteckten Dateien und Ordner sichtbar.

Zitat:

Zitat von .::|||::.

Und hast du den CCleaner schon drübergelassen, mache es bitte nochmal und bereinige auch die Registry!

Ja mach das mal --> Ccleaner

Zitat:

Lade dir das Tool hier herunter -> KLICK

eben so

Zitat:

Lade dir dieses Tool -> SmitfraudFix

und auch

Zitat:

Lade dir vundofix.exe

bitte die Tools noch nicht laufen lassen lass zuerst diese Dateien :

Zitat:

Zitat von .::|||::.

Zitat:

Zitat:

nochmal hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

ok jetzt ists tot, wollte mit vundo diese rq bla bla bla datei entfernen, jetzt sagta a ma immer, dass die lsass Datei ned geht...

Zitat:

Zitat von Zettinator

ok jetzt ists tot, wollte mit vundo diese rq bla bla bla datei entfernen, jetzt sagta a ma immer, dass die lsass Datei ned geht...

Was ist tot?
Poste die genaue Fehlermeldung!
Hast du den Vondofix nach Anleitung gemacht?
Mfg