180AX.exe
 

Hallo zusammen,

ich benötige dringend detailierte Hilfe. Ich habe seit ein paar Tagen diverse Probleme. Meine Firewall meldet dauernd Zugriffversuche von EXE-DATEIEN
(Rundll32, byykzo,180ax, inetfuel, wrapperouter, tetap, usw.) Außerdem haben sich auch Sowtware wie Bulls Eye Network, Cashback und Top Conventing unter C:Programme breit gemacht. Des Weiteren springt nach dem PC Start auch immer gleich die DFÜ Verbindung auf obwohl ich noch gar nicht mit dem Net verbunden werden möchte. Mit dem Programm Spybot habe ich schon einiges entfernen können und mit Registry Wizard habe ich die 180AX Software deinstaliert, welche sich beim Neustart aber immer wieder instaliert. Nun habe ich mir das Hijackthis geladen (wurde hier empfohlen). Dort sind aber so viele Hinweise aufgelistet mit denen ich gar nichts anfangen kann bzw. unsicher geworden bin was ich löschen soll.
Kann mir hier jemand bitte weiterhelfen (wenns geht unmissverständlich, da nur gemeiner user ;) ) Anbei die Logdatei von Hijackthis:

hi
bitte poste das logfile wie alle anderen auch!
ich lade mir nichts auf meinen rechner :nixda:

Hallo Passat2002,

alles klar, kann ich verstehen und hoffe das du mir nun helfen kannst.

Gruß
Jeronimo


Logfile of HijackThis v1.98.2
Scan saved at 12:22:00, on 04.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TWINK64.EXE
C:\PROGRAMME\BABYLON\BABYLON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ACUO.EXE
C:\WINDOWS\SYSTEM\BYYKZO.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT NACHSCHLAGEWERKE\LEXIROM 3.0\QS97D.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BABYLON\utils\shlhook.exe
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\TEMP\RAR$EX00.952\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [tetap] C:\WINDOWS\tetap.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt0_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/game...ts/y/ot0_x.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot2_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt0_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Freecell Solitaire - http://yog55.games.scd.yahoo.com/yog/y/fs9_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt4_x.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

@Jeronimo
lade dir bitte escan
http://www.mwti.net/antivirus/free_utilities.asp

lese die anleitung
http://www.trojaner-board.de/42731-escan-anleitung.html

mache es genauso wie beschrieben wird.

Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.


poste danach ein neues HJT logfile
ein escan dauert 1 stunde mindestens
chaosman

Hallo Chaosman,

habe nun alles entsprechend deinen Anweisungen durchgeführt und habe auch schon nicht mehr den Dfü-Verbindungs pop up nach dem boot und das System scheint mir auch wieder mit normaler Geschwindigkeit zu arbeiten.
Trotzdem verstehe ich nicht warum ich nach dem eScan 39 total viruses und 42 total errors hatte und bei der Suche über das logfile nur 3 infected files aufgeführt wurden und davon wiederum nur 2 Stück über die Windows Suche
finden/löschen konnte. (nr.3 sollte unter Downloaded Program Files sein und heißt loader2.ocx). Außerdem finde ich immer noch den 180 ax unter Windows. Das neue HJT logfile nach den eScan sende ich gleich noch separat, weil ich mehr als die erlaubten 10000 Zeichen habe.

Im voraus schon mal vielen Dank für die Unterstützung.
Gruß
Jeronimo

Hier das HJT logfile nach dem eScan:
Logfile of HijackThis v1.98.2
Scan saved at 12:07:24, on 05.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\BABYLON\BABYLON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ACUO.EXE
C:\WINDOWS\SYSTEM\BYYKZO.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MICROSOFT NACHSCHLAGEWERKE\LEXIROM 3.0\QS97D.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BABYLON\utils\shlhook.exe
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\TEMP\RAR$EX00.558\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt0_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/game...ts/y/ot0_x.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot2_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt0_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Freecell Solitaire - http://yog55.games.scd.yahoo.com/yog/y/fs9_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt4_x.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

Die Virus Log Information von eScan AntiVirus steht noch aus!

Installiere IE 6 SP1 und weitere Sicherheitspatches.
http://www.microsoft.com/downloads/d...displaylang=de

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Fixe diese Einträge im abgesicherten Modus (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Alle O15
Alle O16

Lösche diese und die von eScan gefundenen Dateien:
C:\WINDOWS\Anwendungsdaten\acuo.exe
C:\WINDOWS\SYSTEM\byykzo.exe

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Hallo Cidre,

würde ja gerne den Escan posten, nur sobald ich ihn einfügen möchte hängt sich der IE auf. Im übringen hatte ich diese Ordneroptionen vor dem scan so geändert wie empfohlen. Werde jetzt erst mal wieder in den abgesicherten Modus gehen und über HJT die genannten files löschen.

Gruß
Jeronimo

Damit wir uns nicht falsch verstehen, solltest du nur dies ausführen:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!

Hallo Cidre,
ich habe nun alle Dateien die du mir aus dem HJT logfile aufgeführt hast gelöscht. Aber was ist mit
04-HKLM\\Run[Control Panel]C:\Windows\System\twink64.exeinternat.dll,LoadKeyboardProfile
und
04-HKLM\\Run[NvCplDaemon]Rundll32.exeNvQTwk,NvCplDaemon initialize ???

Soll ich die beiden nicht löschen?

Beim Escan (gefundene Viren schicke ich gleich noch) habe ich auch alles nach "infected" abgesucht und gelöscht, trotzdem wird noch einiges aufgeführt. Unter anderem der 180AX. Was mache ich damit?

IE 6 SP1 und patches muß ich noch laden.

Gruß
Jeronimo

Escan gefundene Viren:

File C:\WINDOWS\180axhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl0.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exul.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\javexulm.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\exozont.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl1.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl0.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exul.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\javexulm.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\exozont.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl1.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\WINDOWS\180axhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.
File C:\Programme\Yahoo!\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Yahoo!\yahootools\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

HJT Logfile nach fix checked:

Logfile of HijackThis v1.98.2
Scan saved at 21:08:03, on 05.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\RAR$EX01.137\HIJACKTHIS.EXE

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de

@Jeronimo
gebe HJT bitte einen eigenen ordner
alle von escan aufgeführte adware einträge kannst du abgesichert manuell löschen.
neu starten
update dann bitte dein IE.
dein logfile schaut ansonsten unauffällig aus.
kannst danach z.Sicherheit ein neues HJT logfile posten
chaosman

Hallo Chaosman,

danke für den Tipp. Mache drei kreuzer wenn ich das alles hinter mir habe.
Gruß
Jeronimo
PS:
HJT hat doch einen eigenen Ordner unter C:Programme

Hallo noch mal,

nach meiner letzten Meldung habe ich fast den Glauben verloren, denn ich hatte wieder alle Bugs wie am Anfang (warum auch immer). Nun habe ich die ganze Prozedur mit HJT u. Escan wieder hinter mich gebracht und mir Firefox als Browser installiert. Kann hier noch mal jemand über letzte logfile vom Escan schauen, denn da ist eine Adware file, dass ich nicht finden kann auf meinem PC und von meiner Firewall bekommen ich weiterhin eine Warnung über C:Windows\Rundll.exe :
Danke und Gruß

File C:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.(schon gelöscht)
File C:\Programme\Yahoo!\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Yahoo!\yahootools\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

@ Jeronimo

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten:

File C:\WINDOWS\180axhook.dll tagged as not-a-virus:AdWare.180Solutions.
File C:\WINDOWS\SYSTEM\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl0.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exul.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\javexulm.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\exozont.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl1.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl0.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\exul.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\javexulm.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\msbe.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\exozont.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken.
File C:\WINDOWS\SYSTEM\exdl1.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\angelex.exe tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.
File C:\WINDOWS\SYSTEM\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
File C:\WINDOWS\SYSTEM\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\WINDOWS\180axhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf:

File C:\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.

--> nicht löschen (zeitlicher Bestand):

File C:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Yahoo!\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Yahoo!\yahootools\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

Logfile-Auswertung:

MSIE: Internet Explorer v5.00 (5.00.2919.6304) - Dein IE ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

Boote in den abgesicherten Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile

boote in den normalen Modus.

Beende:
twink64.exe

Lösche:
C:\WINDOWS\SYSTEM\twink64.exe internat.dll

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Hallo zusammen,

ich kann diese Datei nicht finden:

File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.

Und bekomme von meiner Firewall weiterhin eine Warnung über C:Windows\Rundll.exe

Die Geschchte mit der Ordneransicht habe ich schon lange erledigt.

Kann mir bitte jemand weiterhelfen?

Danke und Gruß
Jeronimo

Kann mir keiner helfen??

Hallo Jeronimo,

Lade Dir Ad-Aware 6 Personal runter, scanne damit Deinen Rechner und lass alle vorhandenen Probleme beheben.

Unter win98 kann die C:Windows\Rundll.exe normal sein. Um sicher zu gehen, dass es sich nicht um einen Virus handelt, kannst Du sie online überprüfen: virusscan.jotti.dhs.org.

Ergebnis?

SD

ordnereinstellungen

http://img4.exs.cx/my.php?loc=img4&image=ansicht5mt.gif

http://img4.exs.cx/img4/9633/ansicht5mt.th.gif

Also die Probleme nehmen kein Ende.
1. Bei meinen Ordneroptionen (98 SE) gibt es kein Feld : Geschützte Systemdateien ausblenden.
2. Mein Ad-Aware bleibt nach dem Scan stundenlang im "Bussy" hängen.
3. Obwohl ich mittlerweile Firefox als permanenten browser habe, springt immer wieder mal der Windows IE auf und möchte auf die Seite Info @ Mediabuy, oder so ähnlich. Ich schließe den IE aber immer gleich wieder mit alt F4, bevor sich die Seite ganz aufbauen kann.
Ich vermute das hängt an dem File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f.
Das wiederum kann ich aber nicht finden.
Was soll ich nun machen?

Gruß
Jeronimo

Kann keiner Helfen?

Hallo zusammen,
ich komme einfach nicht weiter.
Selbst nach mehrfachem deinstallieren und neuem Download von Ad-aware hängt sich das Ding immer wieder auf. Auch die Sache mit dem pop up der Seite "Info @ mediaticket" bzw " http 69.20.16.183" nimmt kein Ende trotz firefox.
(siehe auch meine Antwort vom 12.12.)

Hat denn keiner einen Rat?

Gruß
Jeronimo

Ich misch mich einfach mal ein:
Hast Du die Site http 69.20.16.183 evtl. im IE unter den vertrauenswürdigen Seiten? Schau mal nach.
cacatoa

@ cacatoa, bin um jede Hilfe dankbar

Wie überprüfe ich das und in welchem IE? Nutze nur noch den firefox.

Du sagtest doch, der IE springt immer wieder mal auf. Dann öffne ihn selbst mal und schau in den Internetoptionen nach den vertrauenswürdigen seiten. Nur weil Du ihn nicht mehr benutzt, heißt das nicht, daß er nicht da wäre. ;)