Von einem Backdoor ist nichts in deinen Log zu sehen.

Gator sowie die andere Adware hast du wahrscheinlich durch andere Software "mitinstalliert".

Hallo an alle,
und noch einer, den es erwischt hat.
ich hab mich auch schon mal durch die beiträge durchgewühlt und die empfohlenen scans gemacht. hier sind die daten:

hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 03:20:05, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\kurt\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19840c0b819db31...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A37DCA96-588E-4CB0-B7FB-2A2C34BA5971}: NameServer = 62.104.191.241 62.104.196.134


escan viruslog:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\WINDOWS\System32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0000816.EXE.VIR infected by "TrojanDownloader.Win32.Femad.j" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008214.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008215.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\updmgr.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\winlogon.VIR infected by "TrojanClicker.Win32.XMedia.g" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\Programme\PerfectNav\BHO\PerfectNav150c.dll tagged as not-a-virus:AdWare.Perfnav.a. No Action Taken.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.

anscheinend hat sich der trojaner auch auf meinem Antivir eingenistet?
Ich hoffe, Ihr könnt mir helfen und mir sagen, was ich nun machen muss, um meinen rechner wieder sauber zu kriegen.

vielen dank schon mal im voraus und sowieso ein großen dank an alle erfahrenen leute, die solchen computernichtsnutzen wie mir weiterhelfen.

hamstone

achso, wollte noch erwähnen, dass ich mit mozilla firefox ins netz gehe.

@ hamstone

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer)

Lösche:
Ordner C:\Programme\MyWay
Ordner C:\WINDOWS\System32\P2P Networking
Ordner C:\Programme\Gemeinsame Dateien\CMEII
Ordner C:\Programme\Gemeinsame Dateien\GMT
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
+ die von eScan beanstandeten Dateien

- Neustart
- dein System updaten (SP2) http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis posten

hallo cidre,

danke für die hilfe.
habe deine anweisungen hoffentlich richtig befolgt und auch sp2 runtergeladen und installiert.
hab den neuen log von HijackThis im nicht abgesicherten modus gemacht, und hier kommt er:

Logfile of HijackThis v1.98.2
Scan saved at 01:52:54, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\DOKUME~1\kurt\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19840c0b819db31...dxIE601_de.cab

hoffentlich ist alles wieder sauber....
was ist eigentlich mit antivir? ich müßte es jetzt eigentlich updaten. ist es noch safe oder muss ich auf was anderes umsteigen?

vielen dank schon mal,
hamstone

@ hamstone,

wir müssen Dir noch helfen, Deine Virensammlung los zu werden ...

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Zitat:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\WINDOWS\System32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.

Den Ordner "C:\Programme\AVPersonal\INFECTED" leeren und das ClearProg runterladen. Leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf:

Zitat:

File C:\Programme\AVPersonal\INFECTED\A0000816.EXE.VIR infected by "TrojanDownloader.Win32.Femad.j" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008214.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008215.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\updmgr.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\winlogon.VIR infected by "TrojanClicker.Win32.XMedia.g" Virus. Action Taken: No Action Taken.

diese Malware-Einträge bitte von Hand löschen (siehe oben):

Zitat:

File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
File C:\Programme\PerfectNav\BHO\PerfectNav150c.dll tagged as not-a-virus:AdWare.Perfnav.a. No Action Taken.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.

Mit dem ClearProg leeren:

Zitat:

File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.

--> Teile uns bitte mit, ob alle Dateien gelöscht werden konnten.

Logfile-Auswertung:

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This, wenn Du folgenden Eintrag nicht kennst/brauchst: (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/19840c0b819db3...RdxIE601_de.cab

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

--> Besuche diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Beide Programme ergänzen einander und können auf einem System angewendet werden. Update beide Programme online und scanne mit ihnen offline Deinen Rechner (nacheinander). Lass bestehende Probleme beheben.

--> Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

SD

hallo shadowdance,

habe jetzt brav deine anweisungen befolgt (hoffentlich nicht nur brav, sondern auch richtig...) ich habe hinter die einzelnen dinge jetzt in rot immer meine aktion daneben geschrieben, hoffentlich hilft dir das weiter.

wir müssen Dir noch helfen, Deine Virensammlung los zu werden ...

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.
Zitat:
File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken. wurde nicht gefunden
File C:\WINDOWS\System32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken. gefunden und gelöscht
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken. gefunden (auch in windows/temp/altnet gefunden und gelöscht)
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken. gefunden (auch in windows/temp/altnet gefunden und gelöscht)
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken. gefunden und gelöscht, aber: sysdetect.dll in windows/temp/altnet/pmfiles.cab konnte nicht gelöscht werden.

Den Ordner "C:\Programme\AVPersonal\INFECTED" leeren gefunden und gelöscht und das ClearProg runterladen. Leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf:
mit clearprog 1.4.0 in internet explorer, opera, netscape und windos alle beschriebenen ordner geleert.
Zitat:
File C:\Programme\AVPersonal\INFECTED\A0000816.EXE.VIR infected by "TrojanDownloader.Win32.Femad.j" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008214.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0008215.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\updmgr.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\winlogon.VIR infected by "TrojanClicker.Win32.XMedia.g" Virus. Action Taken: No Action Taken.
alle gelöscht

diese Malware-Einträge bitte von Hand löschen (siehe oben):
Zitat:
File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
der komplette ordner C:\Programme\Gemeinsame Dateien\CMEII wurde schon im letzten durchgang gelöscht.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
der komplette ordner C:\Programme\Gemeinsame Dateien\GMT wurde schon im letzten durchgang gelöscht.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as not-a-virus:AdWare.Toolbar.MyWay.b. No Action Taken.
nicht gefunden. der gesamte ordner C:\Programme\MyWay\myBar\1.bin ist wahrscheinlich gelöscht (findet sich nicht im windows explorer, auch wenn die versteckten und gesicherten dateien gezeigt werden.)
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.g. No Action Taken.
nicht gefunden. der gesamte ordner C:\Programme\MyWay\myBar\1.bin ist wahrscheinlich gelöscht (findet sich nicht im windows explorer, auch wenn die versteckten und gesicherten dateien gezeigt werden.)
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.
nicht gefunden. der gesamte ordner C:\Programme\MyWay\myBar\1.bin ist wahrscheinlich gelöscht (findet sich nicht im windows explorer, auch wenn die versteckten und gesicherten dateien gezeigt werden.)
File C:\Programme\PerfectNav\BHO\PerfectNav150c.dll tagged as not-a-virus:AdWare.Perfnav.a. No Action Taken.
der ordner BHO existiert noch, ist aber leer.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. der ordner broserextras\pn existiert noch, ist aber leer.
File C:\WINDOWS\system32\cd_clint.dll tagged as not-a-virus:AdWare.Cydoor. No Action Taken.
nicht gefunden. wahrscheinlich auch schon im ersten durchgang gelöscht.

Mit dem ClearProg leeren:
Zitat:
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
habe jetzt mit clearprog den gesamten ordner altnet geleert, also auch die anderen darin befindlichen dateien. hoffentlich war das nicht falsch.

--> Teile uns bitte mit, ob alle Dateien gelöscht werden konnten.

Die einzige nicht zu löschende datei war also
sysdetect.dll in windows/temp/altnet/pmfiles.cab


Logfile-Auswertung:

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This, wenn Du folgenden Eintrag nicht kennst/brauchst: (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/19840c0b819db3...RdxIE601_de.cab
eintrag gefixt.

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Bevor ich die unten beschriebenen Programme runterlade, würde ich gerne noch wissen, ob die sich mit meinem antivir vertragen, oder ob ich das vorher deinstallieren soll. Vielen Dank erstmal für die Mühe, und hoffentlich hat der horror bald eine ende.
lg hamstone

ach so: habe noch folgendes verstecktes auf meinem desktop entdeckt: C:\Dokumente und Einstellungen\kurt\Desktop\thumbs.db
die datenmenge beträgt 10,5 kb
ist es save, die datenbak (ich nehme an, das ist eine) mir anzuschauen, oder lieber direkt löschen?
danke

--> Besuche diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Beide Programme ergänzen einander und können auf einem System angewendet werden. Update beide Programme online und scanne mit ihnen offline Deinen Rechner (nacheinander). Lass bestehende Probleme beheben.

--> Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

Zitat:

Zitat von hamstone

Bevor ich die unten beschriebenen Programme runterlade, würde ich gerne noch wissen, ob die sich mit meinem antivir vertragen, oder ob ich das vorher deinstallieren soll.

Zitat:

Zitat von hamstone

ach so: habe noch folgendes verstecktes auf meinem desktop entdeckt: C:\Dokumente und Einstellungen\kurt\Desktop\thumbs.db
die datenmenge beträgt 10,5 kb
ist es save, die datenbak (ich nehme an, das ist eine) mir anzuschauen, oder lieber direkt löschen?
danke

-->zu Deiner ersten Frage:

Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' (1) und 'Spybot-Search & Destroy 1.3' (2), 'SpywareBlaster 3.2' (3) vertragen sich mit AntiVir und mit allen anderen bekannten AV/AT-Programmen. Die drei von mir genannten Programme sind keine AV/AT-Programme im eigentlichen Sinne, auch wenn sie manche Viren finden und löschen. Sie haben alle keinen Hintergrundwächter. Der Schutz wird durch Löschen der Malware, bei (1) und (2), auf dem System und eine Art Immunisierung des Systems, bei (1),(2),(3), erstellt. Also bitte AntiVir NICHT vom System entfernen, es wird noch gebraucht.

--> zu Deiner zweiten Frage:

ich kann sie so ohne Weiteres nicht beantworten, da ich die Datei nicht kenne. Die Bezeichnung "thumbs" steht für kleine Bilder (Daumennägel), die man macht, um beispielsweise auf dem Webspace die Ladegeschwindigkeit von Bildern auf einen Blick für Besucher zu erhöhen, der Besucher klickt dann nur auf DIE kleinen Bilder, die ihn interessieren und bekommt dann das dazugehörige grosse Bild zu sehen. Was ".db" (-> Database/Datenbank-System?) besagt, könnte ich aufsuchen, aber ich bin derzeit zu faul dazu ;-)

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Dokumente und Einstellungen\kurt\Desktop\thumbs.db

und teile uns das Ergebnis der Überprüfung mit.

Lieben Gruss
SD