@ ron_64,

Du meinst, ob es reicht, das System zurück zu setzen auf den Zeitpunkt bevor Du Dir den Trojaner zugezogen hast? Es müsste eigentlich reichen. Versuch's mal, aber erstelle und poste danach trotzdem ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

@Shadowdance

Hier meine aktuelle Einstellungen, danke im voraus.

Logfile of HijackThis v1.98.2
Scan saved at 18:06:57, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Tools\HijackThis\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.the-arena.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll

@ron-64

Fixe dies:

O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)

Anschließend lasse deine LSP reparieren: http://www.cexx.org/lspfix.htm

So meine Lieben. Aus absoluter Verzweiflung hab ich mich jetzt hier angemeldet um dieses ganzen Wirwar nochmal erklärt zubekommen. Auch ich "leide" unter dem Backdoor BDS/Agent.AY

Datei und Verlauf lauten:

C:\PROGRAMME\GEMEINSAMEDATEIEN\PENJNPHP\PPCNRBLRAN\PHBPPRADL.EXE

ich hab mir bestimmt schon 19373912 Beispiele von anderen angesehen und muss leider sagen, dass ich immer noch mit großen "Kinderaugen" vor meinem geliebten PC sitz und "Bahnhof" verstehe.

Hab mir schon dieses HiJack-dings geladen, konnt aber keinen Sinn erkennen, bzw mir fehlte eine Hand, die mich leitet. Genauso läuft grade dieser Escan, aber was ich dann mit dem Ergebnis anfangen soll ist mir ebenso leicht unklar. Wär´s möglich, dass sich nochmal jemand die Mühe macht und versucht ein wenig Licht ins Dunkel zu bringen???

Ich wäre äußerst dankbar...

Anne

Hallo NightyBaby,

Du hast Hijack This also bereits runtergeladen? Dann brauche ich Dir diese URL eigentlich garnicht mehr geben: http://www.trojaner-board.de/51130-a...ijackthis.html. Den eScan hast Du ja auch bereits auf dem System. Erstelle nun bitte ein Hijack This Logfile und poste es mittels copy&paste hier ins Forum. Wir schauen uns die Einträge auf Deinem System gemeinsam an und beraten Dich, was zu tun ist.

SD

So hier also meine Info´s und danke schonmal überhaupt für´s helfen...

Wed Nov 03 02:00:47 2004 => Total Files Scanned: 46716
Wed Nov 03 02:00:47 2004 => Total Virus(es) Found: 41
Wed Nov 03 02:00:47 2004 => Total Disinfected Files: 0
Wed Nov 03 02:00:47 2004 => Total Files Renamed: 0
Wed Nov 03 02:00:47 2004 => Total Deleted Files: 0
Wed Nov 03 02:00:47 2004 => Total Errors: 2
Wed Nov 03 02:00:47 2004 => Time Elapsed: 00:57:43
Wed Nov 03 02:00:47 2004 => Virus Database Date: 2004/11/02
Wed Nov 03 02:00:47 2004 => Virus Database Count: 108037

Wed Nov 03 02:00:47 2004 => Scan Completed.



Logfile of HijackThis v1.97.7
Scan saved at 02:19:18, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://files.cc.cometsystems.com/ass...tml?src_id=312
O2 - BHO: (no name) - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll
O3 - Toolbar: Starware - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\PROGRA~1\Comet\Bin\csietb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {197AB1D7-A7DD-4C86-A938-1FCC0DB21B85} (DMProxyCtl Class) - http://dm.cometsystems.com/dm/dm_286.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx



Hoffe Ihr könnt damit was anfangen

Zitat:

Wed Nov 03 02:00:47 2004 => Total Virus(es) Found: 41

Teile uns mit welche Viren gefunden wurden.
mach dazu folgendes:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Ich raff das nisch :/

Geh in den Ordner C:\bases suche die Datei mwav.log, öffne sie mit dem Editor, suche in der Datei nach dem Wort "Infected" und kopiere dieses Zeilen ins Forum.

Hum, also des hab ich gefunden, bin mir aber net sicher, ob es das is was rauskommen sollte:

C:\Programme\AVPersonal\INFECTED\*.*

C:\Programme\AVPersonal\INFECTED\A0016723.EXE.VIR
C:\Programme\AVPersonal\INFECTED\A0016723.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0016724.EXE.VIR
C:\Programme\AVPersonal\INFECTED\A0016724.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0018078.EXE.VIR
C:\Programme\AVPersonal\INFECTED\A0018078.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0018080.EXE.VIR
C:\Programme\AVPersonal\INFECTED\A0018080.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.001
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.001 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.002
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.002 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.003
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.003 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.004
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.004 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.005
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.005 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.006
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.006 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.007
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.007 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.008
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.008 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.009
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.009 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.010
C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.010 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.VIR C:\Programme\AVPersonal\INFECTED\HNBNPJCH.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\PHBPPRADL.EXE.001
C:\Programme\AVPersonal\INFECTED\PHBPPRADL.EXE.001 tagged as not-a-virus:AdWare.Gator. No Action Taken.

C:\Programme\AVPersonal\INFECTED\PHBPPRADL.EXE.VIR
C:\Programme\AVPersonal\INFECTED\PHBPPRADL.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

Leere deinen Quarantäne-Ordner von AntiVir.

Hallo erstmal, bin neu und weiß noch nicht so recht wie das hier funktioniert......

Habe dasselbe Problem:

BDS/Agent.AY wird von AVP gefunden und kann nicht gelöscht werden, weil die Dateien, die sich im c:\_restore\temp befinden gelockt sind.
Wie werde ich den los?

Habe auch schon HijackThis laufen lassen und auch escan, weiß aber nicht wie das posten geht.
Also kopier ichs einfach mal hier rein:
escan (in den relevanten Auszügen):
Mi Nov 03 20:45:19 2004 => Scanning File C:\_RESTORE\TEMP\A0076767.CPY
Mi Nov 03 20:45:19 2004 => Scanning File C:\_RESTORE\TEMP\A0076769.CPY
Mi Nov 03 20:45:19 2004 => Scanning File C:\_RESTORE\TEMP\A0076770.CPY
Mi Nov 03 20:45:19 2004 => Scanning File C:\_RESTORE\TEMP\A0076771.CPY
Mi Nov 03 20:45:19 2004 => Scanning File C:\_RESTORE\TEMP\A0076772.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076773.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076774.1
Mi Nov 03 20:45:20 2004 => File Infected with "Backdoor.Agent.ay". (Zugriff wurde verweigert)Unable to rename infected file. Virus could not be removed!
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076775.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076776.1
Mi Nov 03 20:45:20 2004 => File Infected with "Backdoor.Agent.ay". (Zugriff wurde verweigert)Unable to rename infected file. Virus could not be removed!
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076777.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076778.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076779.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076780.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076782.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076783.CPY
Mi Nov 03 20:45:20 2004 => Scanning File C:\_RESTORE\TEMP\A0076788.CPY
2004 => Scanning File C:\_RESTORE\TEMP\A0078979.CPY
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078980.CPY
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078981.CPY
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078982.CPY
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078983.CPY
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078984.CPY
Mi Nov 03 20:45:46 2004 => Result: File C:\_RESTORE\TEMP\A0078984.CPY with not-a-virus:AdvWare.NewDotNet No Action Taken!
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078985.CPY
Mi Nov 03 20:45:46 2004 => File Infected with "TrojanDownloader.Win32.Harnig.gen". (Zugriff wurde verweigert)Unable to delete infected file. Virus could not be removed!
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078986.CPY
Mi Nov 03 20:45:46 2004 => Result: File C:\_RESTORE\TEMP\A0078986.CPY with not-a-virus:AdvWare.Cydoor No Action Taken!
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078987.CPY
Mi Nov 03 20:45:46 2004 => Scanning File C:\_RESTORE\TEMP\A0078988.CPY

Hijack This:
Logfile of HijackThis v1.97.7
Scan saved at 19:12:57, on 04.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\GEIZKRAGEN\_GEIZKRAGEN.EXE
C:\PROGRAMME\MOZILLA\MOZILLA\MOZILLA.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000



Hilfe!

@ Polster

Zitat:

die sich im c:\_restore\temp befinden gelockt sind.

Deaktiviere die Systemwiederherstellung, danach Neustart und aktiviere diese wieder.

Zitat:

nternet Explorer v5.50 (5.50.4134.0100)

Auch wenn du den IE nicht mehr verwendest, sollte er aber trotzdem aktuell gehalten werden. Installiere IE 6 SP1 und nachfolgende Patches.

@ cidre

Vielen, vielen Dank!!

Das mit der Systemwiederherstellung hat geklappt und die Dateien sind inzwischen gelöscht!!

Was den IE angeht so bin ich grade dabei ihn zu updaten allerdings benutze ich in der Tat Mozilla......aber wenn Du sagst man sollte IE trotzdem aktualisieren dann OK.

Nochmals vielen Dank & viele Grüße

@ NightyBaby,

lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

Teile uns mit, ob das Problem damit behoben ist.

Zitat:

Logfile of HijackThis v1.97.7

--> erstelle bitte ein aktuelles (v1.98.2) Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD