@ raddy,

wieviel Viren hast Du denn insgesamt auf dem System? Das sollte so aussehen:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

Leere mit dem ClearProg die Ordner C:\DOKUME~1\Marc\LOKALE~1\Temp und andere, siehe obiges Posting.

--> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Erstelle ein weiteres Hijack This Logfile und poste es, aber erst, wenn Du alles gefixed hast, was ich Dir in meinem letzten Posting durchgegeben habe ...

SD

@shadowdance

Na dann versuch´ ich das mal.
Vom Virenscan hab´ ich nur die komplette Auswertung bekommen (gleich anhängend). Allerdings steht da zwar, wieviele Viren gefunden wurden, aber nicht welche und wo. Deswegen hatte ich mir (bitte jetzt nicht laut los lachen) das gesamte Protokoll zu Gemüte geführt und jede einzelne Warnung rauskopiert (oh Gott, muss ich heute früh verzwiefelt gewesen sein).

Und auf www.windowsupdate.com komme ich leider nicht drauf. Ist so, wie ein Pop-Up-Blocker.Die Seite wird gesucht und dann geht irgendeine "Such-Seite" auf, die auch bei sonst alltäglichen Internetbesuchen anderer Seiten aufgeht. Mist!

Sat Nov 20 01:04:01 2004 => Total Files Scanned: 84067
Sat Nov 20 01:04:01 2004 => Total Virus(es) Found: 27
Sat Nov 20 01:04:01 2004 => Total Disinfected Files: 0
Sat Nov 20 01:04:01 2004 => Total Files Renamed: 0
Sat Nov 20 01:04:01 2004 => Total Deleted Files: 0
Sat Nov 20 01:04:01 2004 => Total Errors: 5
Sat Nov 20 01:04:01 2004 => Time Elapsed: 01:14:21
Sat Nov 20 01:04:01 2004 => Virus Database Date: 2004/11/19
Sat Nov 20 01:04:01 2004 => Virus Database Count: 110056

Sat Nov 20 01:04:01 2004 => Scan Completed.


So, hoffe, dass das der Problembehandlung dienlich sein wird.

Grüße!

Hallo raddy,

damit bin ich nicht zufrieden und damit kann ich auch nichts anfangen ;-( Du hast 9 Viren angegeben und insgesamt gibt es 27 Viren auf Deinem Computer. Wir sollten Dir ja irgendeinen Rat geben, das geht aber nicht, weil wir nicht wissen, was sich noch auf Deinem System befindet.

Mach bitte Folgendes:

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

C:\bases\mwXface.log: -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.[/i]" (Zitat Cidre)

SD

Zitat:

Zitat von Shadowdance

Hallo raddy,

damit bin ich nicht zufrieden und damit kann ich auch nichts anfangen ;-( Du hast 9 Viren angegeben und insgesamt gibt es 27 Viren auf Deinem Computer. Wir sollten Dir ja irgendeinen Rat geben, das geht aber nicht, weil wir nicht wissen, was sich noch auf Deinem System befindet.

Mach bitte Folgendes:

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

C:\bases\mwXface.log: -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.[/i]" (Zitat Cidre)

SD

Hi Shadowdance,
das Problem dabei war, dass ich die Viren nicht mehr gefunden hab´ unter den vielen Files.
Ich habe aber eben den Rat befolgt und die angegebenen Einträge gefixt.
Danach auch nochmal ein HiJack-Logfile erstellt und gesehen, dass, trotz Ausschaltens der Systemwiederherstellung im abgesicherten Modus und anschließender Aktivierung im "Normal-Modus" diese Einträge immer noch drin sind. Oder hätte ich nach dem fixen noch etwas beachten müssen, so dass das nicht gespeichert wurde?


Logfile of HijackThis v1.98.2
Scan saved at 18:19:20, on 20.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CAPM2RSK.EXE
C:\Programme\Eicon\Diva\DiTask.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\Eicon\Diva\watch.exe
C:\Programme\Eicon\Diva\cgserver.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Eicon\Diva\diinfo.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\BusinessOnline\bolog.exe
C:\Programme\BusinessOnline\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LAK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPM2SWK.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B063CFC-1FBC-4385-B3FC-1457D9A8E9D3} - C:\WINDOWS\System32\ehhjaic.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programme\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\BusinessOnline\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\BusinessOnline\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Statusfenster für Canon iR1200-1300.LNK = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM2LAK.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...special_de.php
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ABB53A1-251E-4AC9-9DEA-305F3857BB67}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8A8E808-A4AE-4C6D-8803-438CE57545F4}: NameServer = 217.237.150.225 217.237.150.141
O18 - Filter: text/html - {EB2E8B83-7C01-43E8-B633-6012BBBE3436} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/plain - {EB2E8B83-7C01-43E8-B633-6012BBBE3436} - C:\WINDOWS\System32\ehhjaic.dll

Wie, bzw. wo gebe ich denn C:\bases\mwXface.log ein? Ich bin so ahnungslos.

Fixe nochmals diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0B063CFC-1FBC-4385-B3FC-1457D9A8E9D3} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/html - {EB2E8B83-7C01-43E8-B633-6012BBBE3436} - C:\WINDOWS\System32\ehhjaic.dll
O18 - Filter: text/plain - {EB2E8B83-7C01-43E8-B633-6012BBBE3436} - C:\WINDOWS\System32\ehhjaic.dll

Lösche:
C:\WINDOWS\System32\ehhjaic.dll

Zitat:

Wie, bzw. wo gebe ich denn C:\bases\mwXface.log ein

Taste F1 drücken und danach "Öffnen einer Datei oder eines Ordners" eingeben und lesen!

@Cidre:

Hi Cidre, danke für Deine Hilfe.

Fixen wieder im abgesicherten Modus? Ja, oder?

Und zu der F1-Taste: klicke ich hier auf einen link öffnet er zwar ein Pop-Up, aber sagt, dass es eine falsche Adresse ist, die ich eingegeben habe.

Löschen konnte ich dieses C\:WINDOWS...-Ding auch nicht, weil sie "voll oder schreibgeschützt ist oder gerade verwendet wird".

Zitat:

Fixen wieder im abgesicherten Modus? Ja, oder?

Ja, logisch.

Zitat:

Und zu der F1-Taste: klicke ich hier auf einen link öffnet er zwar ein Pop-Up, aber sagt, dass es eine falsche Adresse ist, die ich eingegeben habe.

Was hat dies mit dem Hilfe und Supportcenter zu tun?

Zitat:

Löschen konnte ich dieses C\:WINDOWS...-Ding auch nicht

Ebenso abg. Modus, ansonsten HJT öffnen -> Config -> Misc Tools -> Delete a File on reboot -> navigiere dann zur betroffenen Datei -> Öffnen -> nächste Frage mit JA beantworten.