Verdacht, daß ich mir etwas eingefangen habe...
 

Hallo,

ich bin neu hier und hoffe, daß ich hier Infos und Hilfe zu meinem PC bekomme
Gleich vorweg - ich bin kein Computerfreak, habt also bitte etwas Nachsicht mit mir :dummguck:
Ich hatte gestern Schwierigkeiten, in meinen E-Mail-Account (freenet) zu kommen (hatte plötzlich "0" Einträge und es wurde immer eine Warnmeldung angezeigt, daß alle Einträge bereits "verschickt/gesendet" wurden (auch "Thunderbird" funktionierte nicht mehr). Ich hatte zuvor wiederholt E-Mails mit dem Betreff "Lieferungs-Bescheid" erhalten, deren Anhang ich aber nicht geöffnet habe, weil es sich dabei um den neuen Sober-Wurm handeln soll? Ich habe dann ein, seit längerer Zeit anstehendes, Update von ZoneAlarm heruntergeladen. Heute sieht die Sache so aus, daß, wenn ich über freenet ins Internet gehe, mein Browser "Mozilla Firefox" nicht gefunden werden kann, ebenso sämtliche eingegeben Web-Adressen und google. In der Informationsübersicht von ZoneAlarm wird unter "Programme" (oben rechts) auch ein "-dialer" angezeigt, der sich aber nicht entfernen läßt. Bin dann wieder raus und hab's mit Tiscali versucht- hatte keine Probleme damit. Auch bei ZoneAlarm wird der "-dialer" dann nicht mehr angezeigt. Mein E-Mail-Account funktioniert heute wieder normal und die zuvor verschwunden Einträge sind auch wieder vorhanden :confused:
Könnte jemand bitte mal mein HiJackThis Log ansehen, ob alles in Ordnung ist?
Bedanke mich schon mal
VG Juli75


Logfile of HijackThis v1.97.7
Scan saved at 15:54:37, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\TISCALI_ANONYM_PLUS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hi,

das solltest du schon mal fixen.

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

Poste dann bitte nochmal ein Log mit der aktuellen HijackThis Version. Die bekommst du hier: HijackThis

Hallo Steve,

habe die aktuelle Version heruntergeladen und ein neues Logfile erstellt.
VG Juli75


Logfile of HijackThis v1.98.2
Scan saved at 17:00:17, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\TISCALI_ANONYM_PLUS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ZIPCENTRAL\ZCENTRAL.EXE
C:\WINDOWS\TEMP\_ZCTMP.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

Ok

das kannst du noch fixen:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Lass diese Dateien hier untersuchen und poste das Ergebnis hier rein.

C:\WINDOWS\DESKTOP\TISCALI_ANONYM_PLUS.EXE

C:\PROGRAMME\ZIPCENTRAL\ZCENTRAL.EXE

Hi Steve,

hier die Ergebnisse der Überprüfung. War mir jetzt nicht sicher, ob ich alles einstellen soll, hab's jetzt einfach mal so gemacht.
Danke u. VG
Juli75


Service load:
0% 100%
File: Tiscali_Anonym_plus.exe
Status:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected:
UPX

AntiVir
No viruses found (0.16 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.67 seconds taken)
ClamAV
No viruses found (0.35 seconds taken)
Dr.Web
No viruses found (0.52 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.63 seconds taken)
mks_vir
No viruses found (0.58 seconds taken)
NOD32
No viruses found (0.53 seconds taken)
Norman Virus Control
No viruses found (1.01 seconds taken)

Statistics
Last piece of malware found was probably unknown NewHeur_PE in ForBot-NoSSL2.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.16 seconds
Avast X 1.53 seconds
BitDefender Backdoor.Agobot.3.Gen 0.95 seconds
ClamAV Trojan.Forbot-2 0.33 seconds
Dr.Web Win32.HLLW.ForBot.based 0.61 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Backdoor.Win32.Wootbot.gen 0.73 seconds
mks_vir Win32 0.20 seconds
NOD32 probably unknown NewHeur_PE 0.57 seconds
Norman Virus Control X 16.64 seconds

___________________________________________________________________


Service load:
0% 100%
File: ZCENTRAL.EXE
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.84 seconds taken)
ClamAV
No viruses found (1.05 seconds taken)
Dr.Web
No viruses found (1.19 seconds taken)
F-Prot Antivirus
No viruses found (0.11 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.16 seconds taken)
mks_vir
No viruses found (0.49 seconds taken)
NOD32
No viruses found (0.94 seconds taken)
Norman Virus Control
No viruses found (0.28 seconds taken)

Statistics
Last piece of malware found was Win32/Padodor.AG in extracted_from_dump.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.50 seconds
Avast X 1.74 seconds
BitDefender X 1.34 seconds
ClamAV X 0.52 seconds
Dr.Web BackDoor.HangUp.6657 0.83 seconds
F-Prot Antivirus W32/Padodor.F 0.05 seconds
Kaspersky Anti-Virus Backdoor.Win32.Padodor.gen 0.55 seconds
mks_vir X 0.40 seconds
NOD32 Win32/Padodor.AG 0.66 seconds
Norman Virus Control X 0.27 seconds

@ Juli75

scanne Deinen Rechner mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Anleitung bitte genau durchlesen! Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Hi,

habe eScan nach Anweisung heruntergeladen, bin mir aber nicht ganz sicher ob ich das mit dem Anlegen des Ordners richtig verstanden habe. Wenn ich den Ordner c:\bases anklicke, zeigt er mir eine "Verknüpfung mit mwav.exe" an?
Habe den Scan im abgesicherten Modus 2x nacheinander laufen lassen, beides mal negativ. Der Eingangs erwähnte "-dialer" in ZoneAlarm ist inzwischen verschwunden. Als ich damals "Tiscaly Anonym plus" heruntergeladen hatte, tauchte nach kurzer Zeit auch ein "Vernüpfungsfolder " davon auf dem Desktop auf. Ich habe ihn schon zig mal gelöscht, aber er taucht kurze Zeit später immer wieder auf, obwohl er auch im Papierkorb zu finden ist. Ist das normal?

Vielen Dank nochmal für Eure Hilfe:daumenhoc
VG Juli75

@ Juli75,

Du solltest die mwav.exe in den Ordner c:\bases hinein kopieren, dann dort im Ordner c:\bases die mwav.exe ausführen, Doppelklick auf die "kavupd.exe" und sie öffnet sich in einem DOS-Fenster. Nun kannst Du den eScan online updaten und dann per Klick auf die Datei "mwavscan.com" den Scan starten .. steht alles in der Anleitung ... lesen sollte man können ;-)

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein neues Hijack This Logfile und poste es.

SD

:o ....so, bin nun dahintergestiegen, wie es genau funktioniert.
Hier mein Ergebnis:

Mon Dec 06 20:54:40 2004 => Total Files Scanned: 16311
Mon Dec 06 20:54:40 2004 => Total Virus(es) Found: 0
Mon Dec 06 20:54:40 2004 => Total Disinfected Files: 0
Mon Dec 06 20:54:40 2004 => Total Files Renamed: 0
Mon Dec 06 20:54:40 2004 => Total Deleted Files: 0
Mon Dec 06 20:54:40 2004 => Total Errors: 55
Mon Dec 06 20:54:40 2004 => Time Elapsed: 01:42:23
Mon Dec 06 20:54:40 2004 => Virus Database Date: 2004/12/03
Mon Dec 06 20:54:40 2004 => Virus Database Count: 111264

Mon Dec 06 20:54:40 2004 => Scan Completed


Markierte Treffer :
Mon Dec 06 19:52:48 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

VG Juli75

@ Juli75

sende bitte diese Dateien

C:\WINDOWS\DESKTOP\TISCALI_ANONYM_PLUS.EXE

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de mit Hinweis auf diesen Thread - zu Forschungszwecken.

Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

Pflichtlektüre:

- Vorbeugende Maßnahmen
- Entfernungs-Tools
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de
- faq.underflow.de

Erstelle ein neues Hijack This Logfile und poste es.

SD

Ja, ja. Lesen sollte man (respektive Frau) können!! :mad:

Es bringt überhaupt nichts, die Datei mwav.exe in den Ordner C:\bases zu kopieren und dann dort (per Doppelklick) auszuführen. Das Ergebnis ist nämlich, dass sich eScan nach wie vor in den Temp-Ordner im Profil des angemeldeten Users entpackt. Ein Update erfolgt so weiterhin nicht. Wie man (Frau) in diesem Beispiel auch wunderbar erkennen kann, wenn man denn hinschaut...
Nochmal zum Verstehen:
Es muss ein Packprogramm wie z.B. Winzip, Winrar, IZArc,... auf dem Rechner installiert sein.
Die Datei mwav.exe muss (wo immer sie sich auch gerade befindet!) mit der rechten Maustaste angeklickt werden. Im (durch das Packprogramm erweiterten) Kontextmenü wählt man unter dem jeweiligen Packprogramm den Punkt 'Extrahieren nach' aus und gibt dort den Pfad C:\bases an.

Dann klappt es auch mit dem Nachbarn - äh mit dem Update....


Ja wunderbar. Somit ist dann eScan bei Deiner vorgehensweise auch wieder von der Platte...

@lutz

gleiches problem mit hijackthis und dem backupordner, sollte man ihn brauchen

anleitungen sind dazuda, um nicht gelesen zu werden.

es würde weniger malware geben, wenn der rechte zeigefinger nicht schneller als brain sein würde. :lach: :lach:

Bitte auch auf die Windowsversionen achten, bei Win98 ist die Systray.exe im richtigen Systemordner kein Schädling, das wird bei der automatischen Auswerung offenbar noch nicht berücksichtigt.

Immerhin war HijackThis im konkreten Fall nicht im TEMP-Ordner.
Na ja, mir 'dreht sich jedenfalls immer der Magen zu Berge' ;), wenn ich solche schlichten Fehler von einem 'erfahrenen Benutzer' lese. Wenn ich schon eine Anleitung zitiere, sollte ich es wenigstens richtig machen. Ich weiß wahrlich auch nicht alles, aber ich frage nach, wenn ich etwas nicht verstehe. Bspw. bei dieser 015-Trusted-Zone-Geschichte habe ich auch ein paar mal bei raman nachgefragt, bis ich das Thema verstanden habe.

Ich halte grundsätzlich sehr viel von der automatischen Auswertung bei hijackthis.de. Nur sollte man sich immer im klaren sein, dass auch die beste Datenbank der Welt nicht fehlerfrei sein kann. Wobei imho die false positive dort immer weniger werden...

Hallo,

tut mir leid, wenn nicht alles auf Anhieb klappt, aber lesen, richtig verstehen und das ganze dann auch richtig umsetzen ist für einen PC-Neuling nicht immer einfach.

Hatte ja schon ZipCentral auf meinem PC, der aber von der Menueführung her anders aufgebaut ist als IZArc, den ich jetzt auch heruntergeladen habe, um genau nach Anweisung vorzugehen und eScan gestartet.

Ergebnis:
Fri Dec 10 17:03:01 2004 => Total Files Scanned: 16028
Fri Dec 10 17:03:01 2004 => Total Virus(es) Found: 0
Fri Dec 10 17:03:01 2004 => Total Disinfected Files: 0
Fri Dec 10 17:03:01 2004 => Total Files Renamed: 0
Fri Dec 10 17:03:01 2004 => Total Deleted Files: 0
Fri Dec 10 17:03:01 2004 => Total Errors: 55
Fri Dec 10 17:03:01 2004 => Time Elapsed: 01:41:24
Fri Dec 10 17:03:01 2004 => Virus Database Date: 2004/12/10
Fri Dec 10 17:03:01 2004 => Virus Database Count: 112066

Fri Dec 10 17:03:01 2004 => Scan Completed.

Markierter "Treffer":
Fri Dec 10 16:00:51 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

@Lutz
ich kann jetzt keine Veränderung zum vorherigen Ergebnis erkennen?
Total files scanned sind etwas weniger, weil ich zuvor Temorary Internet Filses geleert habe (4 St. ließen sich nicht entfernen?)

Habe die Datei passwortgeschützt versendet. Soll ich nun, bevor ich SpywareBlaster 3.2 ausführe, "ClearProg" herunterladen und ausführen?

VG Juli75

Mein 'Kritik' ging absolut nicht in Deine Richtung! Ganz im Gegenteil. Einem -wie Du es nennst- PC-Neuling etwas falsch zu erklären, war der Auslöser meines Postings...

Nun aber zur Sache:
Jetzt, wo sich eScan bei Dir offensichtlich im richtigen Ordner befindet, kannst Du ClearProgr ausführen. Im Grunde ist es auch relativ egal, ob Du das vor oder nach SpywareBlaster machst. Der SpywareBlaster ist innerhalb seiner Grenzen ein recht gutes Tool, aber auch keine Wunderwaffe. Du solltest davon auch nicht zu viel erwarten.

Diese Zeile irritiert mich ein bisschen:
Kann es sein, dass Du eScan evtl. nicht im abgesicherten Modus ausgeführt hast. Mir kommt die Zahl der Errors (nicht scanbaren Dateien) etwas hoch vor. Wenn Du im normalen Modus gescannt hast, hole bitte einen Scan im abgesicherten Modus deines Betriebssystems nach.

Das ist der Quarantäne-Ordner von AntiVir. Den solltest Du -am besten direkt in AntiVir einmal leeren.

Von "partytime-germany" habe ich jetzt Bescheid bekommen, daß die Datei sauber ist. Habe jetzt ClearProg und SpywareBlaster 3.2 ausgeführt.
Muß ich noch irgendwas beachten?
@ Lutz Den eScan habe ich auf jeden Fall im abgesicherten Modus ausgeführt.

VG Juli75

Hier mein neues Logfile von HiJackThis:

C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\TISCALI_ANONYM_PLUS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ZIPCENTRAL\ZCENTRAL.EXE
C:\WINDOWS\TEMP\_ZCTMP.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\.\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

@Juli75
kann es sein daß dein logfile von HJT in den abgesicherten modus erstellt würde?
wenn ja, dann bitte ein HJTlogfile vom normalen modus erstellen und hier posten

chaosman

Hallo Chaosman,

ich hatte das Logfile von HijackThis im normalen Modus durchgeführt, es kam aber zuerst die Meldung, daß es scheint, daß HijackThis zuvor von einem Temorary Ordner ausgeführt wurde, der inzwischen regulär geleert wurde und HijackThis deshalb in einen eigenen Ordner kopiert werden soll, weil sonst angefixte Programme nicht mehr zurückgeholt werden können (falls falsch entfernt). Das hab ich dann gemacht, aber die Meldung kam trotzdem wieder - hab dann auf OK geklickt und das Logfile trotzdem erstellt.
Habe mir heute gedacht, ich lösche alle HJT-Dateien (weil auch noch ältere Versionen vorhanden waren), lade die neue Version neu herunter um sie nochmal auszuführen, weil dann die Meldung vielleicht nicht mehr erscheint.
Das Problem ist nun, daß es 2 HijackThis-Dateien gibt, die sich nicht entfernen lassen. Es erscheint dann die Meldung: "Hijack This kann nicht gelöscht werden: Der Zugriff wurde verweigert." Habe die neue HJT-Version dann trotzdem heruntergeladen, kann sie aber nicht ausführen, weil dann die Meldung kommt: "HiJack This is running already!".
Ich habe auch versucht, die beiden Dateien mit "DelinvFile 1.01-Delete Invalid File" zu entfernen, hat aber auch nicht geklappt.
Hier die beiden Dateien:

HijackThis.exe C:\WINDOWS\T... 184 KB Anwendung Geändert am: 07.08.04 15:15
HijackThis.exe C:\Eigene Dateien 157 KB Anwendung Geändert am: 18.11.03 15.00

Noch was anderes - weiß jetzt nicht, ob das wichtig ist, aber als ich gestern SpywareBlaster 3.2 das erste mal ausgeführt habe, brachte er mir die Meldung, daß er Mozilla Firefox nicht dursuchen kann, weil nicht installiert. Fand ich etwas merkwürdig, weil ich ihn schon seit ca. 1/2 Jahr als ständigen Browser benutze. Habe Mozilla Firefox dann nochmal neu heruntergeladen und diesmal hat hat er ihn erkannt.?

Was mir noch aufgefallen ist, war, als ich die Datei "TISCALI_ANONYM_PLUS.EXE" mit WinZip verschlüsselt nach "Thunderbird" gesendet habe, um sie zu verschicken, hatte sie das "WinZip-Symbol" davor. Leider konnte ich die ZIP-Datei nicht gleich an "partytime-germany" senden, weil freenet seinen SMTP-Server geändert hatte. Weil ich nicht gleich klar damit kam, hatte ich die ZIP-Datei als Entwurf gespeichert. Als ich sie am nächsten Tag versenden wollte, hatte sie nicht mehr das "WinZip"- sondern das "ZipCentral-Symbol davor. Ist das normal?

Ich hoffe, mein Geschreibsel ist einigermaßen verständlich und daß ich keinen Pfusch gebaut habe (besser gesagt, daß mein rechter Finger nicht schneller war als mein.....:kloppen:
VG
Juli75

Nochmal ich,

mir ist es jetzt gelungen, die beiden HJT-Dateien über WinZip zu entfernen. Habe HJK nochmal neu heruntergeladen, funktioniert jetzt alles normal, außer daß die Meldung mit dem Hinweis, daß HJK in einen eigenen Ordner kopiert werden soll, immer noch auftaucht und auch nach dem Kopieren weiterhin erscheint.

Hier das neue HJT-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:21:02, on 12.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\FREENET\FREENET.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

VG Juli75