Noch was: bevor ich entpacke: muss ich AutoProtect von Norton deaktivieren oder spielt das hier keine Rolle?

genau !
du musst manuell einen ordner C:\Bases anlegen, und die datei mwav.exe dahin entpacken lassen.
danach online die datei kavupd.exe updaten (doppelklick), in den abgesicherten modus wechseln (neustart und mehrfach F8 druecken), und dein system mit der datei mwavscan.com scannen lassen ... (dafuer alle haekchen setzen und scan clean druecken)

viel spass
Zappel

Für die Verwendung von HJT spielt AutoProtect keine Rolle und im abgesicherten Modus wird es nicht geladen, kommt sich also mit E-Scan auch nicht ins Gehege. Falls du E-scan mal im normalen Modus durchführen willst, kannst du Autoprotect vielleicht deaktivieren, aber das musst du nicht nochmal machen.

Stimmt das, das ich das schon jetzt updaten muss? Hab ich gestern nicht gleich die aktuellste Version ge-downloaded?

Kaspersky (deren Signaturen E-Scan verwendet) aktualisieren ihre Virendefinitionen mehrmals täglich, also schadet es nichts, direkt vor dem Scan noch einmal ein Update zu machen.

Hi
also:

A) Hab nochmals HijackThis laufen lassen und die Einträge die Du mir gesagt hast gefixt.
Dazu meine Fragen:
A1. was habe ich da eigentlich gelöscht?
A2. kann man eigentlich rausfinden, wo man sich etwas eingefangen hat?

B) eScan gemacht und folgendes kam raus:
Total Number of Virus Found: 1
Total Number of Files Renamed: 1
Total Number of Errors: 3

Virus Log Information:
File C:\Programme\hijackthis 1982\backups\backup-20040912-234152-360.dll infected by "not-a-virus: AdvWare.Winad" Virus. Action Taken: File Renamed

Meine Fragen dazu:
B1. Was bedeuten diese 3 Errors?
B2. Weshalb ist dieses File ein Virus, oder eben nicht, aber weshalb dann umbenannt?

C) Hijackthis (nach eScan) gemacht, hier das Log:

Logfile of HijackThis v1.98.2
Scan saved at 01:01:17, on 13.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\IC3\IC3.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BackupNotify] C:\Programme\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Startup: Notesbrowser.lnk = C:\IC3\IC3.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp


D) Allgemeines
D1. wenn ich etwas aus dem Internet downloade das länger als ca. 20 Min. dauert, wird immer versucht, die Verbindung zu trennen, kann ich das irgendwo einstellen od. abstellen?

D2. Worin liegt der Unterschied, ob man im abgesicherten Modus scannt oder nicht.

Danke für die ganze Arbeit. Ich bin ab morgen Montag für drei Wochen in den Ferien. Schaue aber morgen früh nochmals rein. Ich wünsche Euch allen eine gute Zeit. Schaue ab dem 3. Oktober mal wieder rein, obs inzwischen was Neues gegeben hat.
Tschüss zusammen.
Marion

Das Log sieht sauber aus, allerdings kann ich damit nichts anfangen:

C:\IC3\IC3.exe

Weisst du, welches Programm das ist?

"A1. was habe ich da eigentlich gelöscht?"

Reste des Schädlings in der Registry bzw. nicht schädliche, aber überflpüssige Rückstände schon deinstallierter Programme.



"A2. kann man eigentlich rausfinden, wo man sich etwas eingefangen hat?"

Lässt sich so pauschal nicht beantworten, kommt ganz auf den Schädling an. Die Adware-Sachen sind meist mit einem anderen programm verknüpft, das man sich installiert, da lässt es sich noch am ehesten feststellen, andere Schädlinge verbreiten sich über mails, wieder andere über Webseiten, letztere sind wahrscheinlich am Schwierigsten festzustellen. Außerdem tauchen ständig neue Varianten desselben Grundtyps auf oder es werden kleine Programme vorgeschickt (die Downloader), die dann erst die richtigen Schädlinge nachladen, da wird es dann ganz schwer, festzustellen.

"B1. Was bedeuten diese 3 Errors?"

Dazu müsste man wissen, bei welchen Dateien sie aufgetreten sind, das kann bei solchen passieren, die besonders geschützt sind, wie Systemordnern, ist aber nichts Schlimmes.


"B2. Weshalb ist dieses File ein Virus, oder eben nicht, aber weshalb dann umbenannt?"

Dieses File gehört ja zum Backup von Hijackthis, also das ist sozusagen der Beweis, dass du mit HJT einen Teil dieses Schädlings erwischt hast. HJT legt von allen Dingen, die du fixst, eine Sicherungskopie an, falls mal etwas dabei sein sollte, dass sich im Nachhinein als fälschlich gelöscht herausstellen sollte.
In diesem Fall alsow ohl eine *.dll-Datei, die dadurch nach wie vor die Signatur von WinAd enthält und deswegen von E-Scan angemeckert wird.Wieso da gleichzeitig virus und not a virus steht, weiss ich allerdings auch nicht. Zumindest hat er es umbenannt.


"D1. wenn ich etwas aus dem Internet downloade das länger als ca. 20 Min. dauert, wird immer versucht, die Verbindung zu trennen, kann ich das irgendwo einstellen od. abstellen?"


Hm, anscheinend wird das da nicht als Netzwerkaktivität erkannt, das sollte eigentlich nicht sein. Wenn du in den Netzwerkverbindungen auf die Verbindung rechtsklickst und dann auf Optionen gehst, siehst du die Option "Leerlaufzeit", die müsste auf 20 Minuten stehen, das ist der Standard. Soll also heißen, dass nach 20 Minuten ohne jeglichen Datenverkehr die Verbindung automatisch getrennt wird (damit es keie Kosten verursacht beispielsweise). Wenn du eine Flatrate hast, ist das ja dann sowieso unerheblich ansonsten verändere den Wert mal und schau nach, ob das immer noch passiert. Komisch trotzdem, weil bei einem Download ja Datenverkehr da ist und deswegen diese Regel nicht gelten sollte.



"D2. Worin liegt der Unterschied, ob man im abgesicherten Modus scannt oder nicht"

Der abgesicherte Modus bedeutet ja, dass Windows nur mit der absolut notwendigen Grundfunktion gestartet wird, nur mit den Treibern, die das Betriebssystem selbst bereitstellt usw. Hat den Sinn, dass alle Programme, die du selbst installiert hast und mit denen es evtl. Probleme gibt oder die gar das Booten verhindern, dort nicht mit geladen werden und du so trotzdem zur Windowsoberfläche kommst und das Programm entfernen kannst. Beispielsweise wird ja auch dein Grafikkartentreiber nicht mit geladen sondern nur der einfache VGA-Treiber genommen, deswegen die komische Auflösung. Viele der Viren oder vor allem Trojaner schreiben sich ja auch in die Starteinträge rein und werden mit geladen (das sieht man u.a. in HJT), auch die fallen im abgesicherten Modus dann weg, denn was da gestartet wird ist prinzipiell festegelegt und wird von dir nicht beeinflusst. Da manche Viren die Funktionsweise von Scannern behindern, ist das schon mal deswegen sicherer, auch kommen sich dann mehrere Scanner nicht in den Weg (hatten wir ja schon besprochen).


Schönen Urlaub dann!

Danke für die schnelle Antwort:

Also, IC3 ist Notesbrowser, ein Multifunktions-Notizblock (Freeware)

Hier die Errors, ich habe nur die jeweiligen Zeilen reinkopiert, hoffe es wäre nicht der ganze Block nötig gewesen.

Sun Sep 12 23:57:53 2004 => ERROR!!! Invalid Entry HPHUPD05 = c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe. Removing it.

Sun Sep 12 23:57:53 2004 => ERROR!!! Invalid Entry AutoTBar = C:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE. Removing it.

Sun Sep 12 23:58:01 2004 => ERROR!!! Invalid Entry \Sys in SYSTEM\CurrentControlSet\Services\OMSCAN...

Betreffend der Trennung der Verbindung:
Genau das finde ich ja auch so komisch. Ich habe nämlich in den Optionen angegeben, dass bei Leerlauf die Verbindung "niemals" getrennt werden soll. Sie wird ja auch nicht von selbst getrennt. Es erscheint ein Fenster, und dort werde ich gefragt, ob die Verbindung getrennt oder beibehalten werden soll. Es ist aber auch schon geschehen, dass dieses Fenster wohl hinter dem Downloadfenster "versteckt" war und ich es so nicht sah. Ich bin mir nicht ganz sicher, aber wenn dieses Fenster erscheint, muss ich relativ schnell antworten ob Trennen oder Beibehalten, da es sonst selbst trennt.
Auch ist mir schon passiert, dass die Meldung kam, dass die Verbindung vom Server getrennt wurde.

So, also danke und Tschüss. (Ich hoffe, wir haben schönes Wetter dort, nicht so wie hier...)