Trojaner-Board - Adware geht nicht weg

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Adware geht nicht weg (https://www.trojaner-board.de/19317-adware-geht-weg.html)

Adware geht nicht weg

Hallo!

Und zwar findet Norton die Datei

sp2protect.exe

als (Enzuela) Adware unter C:WINDOW/system32!
Ich kann sie aber nicht mir Norton löschen! Unter dem Verzeichnis ist sie auch nicht zu finden!

Hier HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 16:16:44, on 27.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\Stephan\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Temp\soundman.exe
C:\t-online\Browser\browser.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Name\Eigene Dateien\HIJACKTHIS\HijackThis.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dada] C:\Programme\dada\dada\dada.exe -t
O4 - HKLM\..\Run: [I downloaded pirated Software I post my Hijack Log] C:\WINDOWS\system32\_.gof
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\system32\sp2protect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Name\Eigene Dateien\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Stephan\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Stephan\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?323
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEF44B14-8101-4440-B765-F881B4342DFC}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

so und wie muss ich jetzt weiter vorgehen?

Lade dir Escan runter und scanne dein System wie beschrieben im abgesicherten Modus.
Beachte die Anleitung bitte genau und teile uns die Ergebnisse mit.

ich hab nochmal schnell ne andere Frage (Escan lädt gerade)
und zwar wie kann ich herausfinden ob ein fremder auf meinen Computer zugreift?

ok ich escan gemacht und nun?

Du sollst uns die Funde mitteilen, wie das steht in der Anleitung.

Sry aber ich versteh das nicht!
ich hab das runtergeladen in Find.bat entpackt und durchlaufen lassen! aba wo is die datei?

Du solltest nun eine Datei mit folgendem Namen finden:

C:\eScan_neu.txt

Den Inhalt dieser überträgst du hier ins Forum.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jun 27 17:43:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62473E66 infected by "Trojan-Dropper.Win32.Mudrop.y" Virus! Action Taken: No Action Taken.
Mon Jun 27 17:54:25 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023244.exe infected by "Trojan-Dropper.Win32.Mudrop.y" Virus! Action Taken: No Action Taken.
Mon Jun 27 17:54:25 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023245.exe infected by "Trojan.Win32.Pakes" Virus! Action Taken: No Action Taken.
Mon Jun 27 18:02:43 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP121\A0026006.exe infected by "Trojan-Dropper.Win32.Mudrop.y" Virus! Action Taken: No Action Taken.
Mon Jun 27 18:28:11 2005 => File C:\WINDOWS\system32\wudupdate.exe infected by "Trojan.Win32.Pakes" Virus! Action Taken: No Action Taken.
Mon Jun 27 18:28:38 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jun 27 16:47:58 2005 => Scanning File C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\GUITaggedContainer.class-43739d78-7cf09987.class
Mon Jun 27 16:47:58 2005 => Scanning File C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\GUITaggedContainer.class-43739d78-7cf09987.idx
Mon Jun 27 16:51:34 2005 => File C:\Dokumente und Einstellungen\Name\Eigene Dateien\ICQ\ICQLite\Unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:53:20 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\bye72.tmp\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:53:48 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\bye76.tmp\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:54:04 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\bye78.tmp\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:54:34 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\bye7A.tmp\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:55:04 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\bye93.tmp\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:55:33 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\bye9F.tmp\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:55:36 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\GLB1A2B.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:57:08 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\pft38.tmp\gamespy\arcadeinstall108g.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:59:06 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\pft38.tmp\pftw1.pkg tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 16:59:09 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\shutdown.exe tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
Mon Jun 27 16:59:10 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\upd.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 16:59:16 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\~setuptmp0\shutdown.exe tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
Mon Jun 27 16:59:17 2005 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\~setuptmp0\upd.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:07:56 2005 => File C:\Programme\Demos\Battlefield 2 Modern Combat\Redist\ArcadeInstallBATTLEFIELD2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:09:00 2005 => File C:\Programme\emule\Incoming tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:10:48 2005 => File C:\Programme\Games\Shooter\America's Army\ArcadeInstallARMYGAME14d.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:10:55 2005 => File C:\Programme\Games\Shooter\America's Army\SeeMePlayMe.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:14:12 2005 => File C:\Programme\Games\Shooter\Call of Duty\Uninstall\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:21:05 2005 => File C:\Programme\Games\Shooter\ET\ET_Patch_2_60.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:21:12 2005 => File C:\Programme\Games\Shooter\ET\Uninstall\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:21:13 2005 => File C:\Programme\Games\Shooter\ET\WolfET.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:22:17 2005 => File C:\Programme\Games\Strategie\Empire Earth II\ArcadeInstallEEARTH2_20.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:43:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\07410473 tagged as "not-a-virus:Porn-Dialer.Win32.Star". Action Taken: No Action Taken.
Mon Jun 27 17:43:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1C9321BF tagged as "not-a-virus:AdWare.WinAD.t". Action Taken: No Action Taken.
Mon Jun 27 17:43:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1E0E76BB tagged as "not-a-virus:AdWare.ToolBar.EliteBar.z". Action Taken: No Action Taken.
Mon Jun 27 17:43:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\26630C6F tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
Mon Jun 27 17:43:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\314E36F7 tagged as "not-a-virus:AdWare.ToolBar.EliteBar.z". Action Taken: No Action Taken.
Mon Jun 27 17:43:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3C446884 tagged as "not-a-virus:AdWare.ToolBar.EliteBar.z". Action Taken: No Action Taken.
Mon Jun 27 17:43:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\60C52AA0 tagged as "not-a-virus:AdWare.ToolBar.EliteBar.z". Action Taken: No Action Taken.
Mon Jun 27 17:43:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6244146A tagged as "not-a-virus:AdWare.WinAD.ag". Action Taken: No Action Taken.
Mon Jun 27 17:46:29 2005 => File C:\Programme\Pinnacle\MP20\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:47:24 2005 => File C:\Programme\Pinnacle\Studio 9\drivers\DC10plusHardwareInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:47:24 2005 => File C:\Programme\Pinnacle\Studio 9\drivers\DC10plusHardwareInstall_East.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:47:25 2005 => File C:\Programme\Pinnacle\Studio 9\drivers\MP20HardwareInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:47:27 2005 => File C:\Programme\Pinnacle\Studio 9\drivers\MP20HardwareInstall_East.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:47:27 2005 => File C:\Programme\Pinnacle\Studio 9\drivers\StudioAVDVHardwareInstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:47:28 2005 => File C:\Programme\Pinnacle\Studio 9\drivers\StudioAVDVHardwareInstall_East.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:52:41 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP100\A0022730.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:53:09 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP101\A0022759.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 17:54:15 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023129.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:17 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023130.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:17 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023131.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:18 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023132.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:19 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023133.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:21 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023163.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:21 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023164.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:22 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023165.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 17:54:22 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023168.dll tagged as "not-a-virus:AdWare.ToolBar.EliteBar.z". Action Taken: No Action Taken.
Mon Jun 27 17:54:25 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP104\A0023243.exe tagged as "not-a-virus:AdWare.WinAD.ag". Action Taken: No Action Taken.
Mon Jun 27 17:54:29 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP105\A0023254.dll tagged as "not-a-virus:AdWare.ToolBar.EliteBar.z". Action Taken: No Action Taken.
Mon Jun 27 17:57:34 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP115\A0025028.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:00:35 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP119\A0025059.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:01:40 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP119\A0025064.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:01:43 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP119\A0025071.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:01:44 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP119\A0025072.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:02:13 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP120\A0025478.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:02:43 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP121\A0026005.exe tagged as "not-a-virus:AdWare.WinAD.ag". Action Taken: No Action Taken.
Mon Jun 27 18:03:26 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP134\A0029596.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:04:13 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP164\A0029840.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:05:06 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030632.exe tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
Mon Jun 27 18:05:06 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030633.exe tagged as not-a-virus:Tool.Win32.PsKill.110. No Action Taken.
Mon Jun 27 18:05:21 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030695.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:06:05 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030707.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:06:25 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030719.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:06:38 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030731.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:06:58 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030737.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:07:22 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030749.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:07:34 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030815.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:07:34 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP167\A0030820.exe tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
Mon Jun 27 18:10:41 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP96\A0021328.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:10:44 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP96\A0021333.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:10:58 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP96\A0021334.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:10:59 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP96\A0021335.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:12:48 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP99\A0022501.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:12:55 2005 => File C:\System Volume Information\_restore{19258466-7042-4008-AB28-5040E7356FBA}\RP99\A0022596.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:13:24 2005 => File C:\t-online\CoPaS\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:13:27 2005 => File C:\t-online\EMAIL4\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:13:32 2005 => File C:\t-online\Messenger\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:13:39 2005 => File C:\t-online\OB4HBCI\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:26:56 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:26:58 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 8\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:28:17 2005 => File C:\WINDOWS\Temp\MSW12.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jun 27 18:28:18 2005 => File C:\WINDOWS\Temp\MSW59.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jun 27 18:28:38 2005 => Total Virus(es) Found: 90
Mon Jun 27 18:28:38 2005 => Total Errors: 1503
Mon Jun 27 18:28:38 2005 => Time Elapsed: 01:50:33
Mon Jun 27 18:28:38 2005 => Total Objects Scanned: 99688
Mon Jun 27 16:37:16 2005 => Virus Database Date: 2005/06/24
Mon Jun 27 18:28:38 2005 => Virus Database Date: 2005/06/24
Mon Jun 27 18:30:12 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

@ Burnout

Zitat:

ich hab das runtergeladen in Find.bat entpackt und durchlaufen lassen! aba wo is die datei?

da hast du sicher etwas falsch gemacht, du musst eScan nach C:\Bases_X entpacken bei bestehender Onlineverbindung updaten und nach dem scannen die find.bat ausführen. Dann findest du auch die Datei :daumenhoc

Edit:
wahrscheinlich doch richtig :aplaus:

ich hoffe das ist die richtige!!

Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Lösche für jeden Benutzer den Inhalt dieser Ordner:

C:\Dokumente und Einstellungen\Default User\Cookies\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf

Leere deinen Java-Cache:

http://www.java.com/de/download/help/webcache.xml

Lösche den Inhalt folgenden Ordners:

C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine

Lösche weiterhin:
C:\WINDOWS\Temp
C:\WINDOWS\system32\wudupdate.exe

Poste dann einen neuen Hijackthis-Log.

hallo!
ich hoffe mal ich hab alles richtig gemacht!

Logfile of HijackThis v1.99.1
Scan saved at 18:46:43, on 28.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Name\Eigene Dateien\HIJACKTHIS\HijackThis.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dadada] C:\Programme\dadada\dadada\dadada.exe -t
O4 - HKLM\..\Run: [I downloaded pirated Software I post my Hijack Log] C:\WINDOWS\system32\_.gof
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\system32\sp2protect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Stephan\Eigene Dateien\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\NAme\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Name\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

WICHTIG:
Ist das schlimm wenn ich gleich den ganzen Ordner gelöscht habe?
Weil du hast ja geschrieben den Inhalt, ich hab gleich den ganzen Ordner :confused:

achso und die datei wudupdate konnte ich nicht finden???!!!

Ich hab nochmal mit Norton geprüft und der Virus is immer noch da
sp2protect.exe
was muss ich nun noch tun?
so viel Arbeit wegen einem Virus :heulen: :balla: :koch:

@Burnout
mache mal das hier:
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

vllt findest du den jetzt(sp2protect.exe)

chaosman

Da ist sie doch ;)

C:\WINDOWS\system32\sp2protect.exe

Diese mit Killbox im abgesicherten Modus bei deaktivierter Systemwiederherstellung "töten"(delete on reboot wählen).
Danach neuer Log.
Wo sind deine ganzen O23 Einträge geblieben?

Gruß

Cronos

Hallo ich bins nochmal!
Ich habe das Problem dank euch gelöst - die Viren ( besonders sp2.....) sind beseitigt! Ihr seid echt super! Ich war echt schon am Verzweifeln..! Danke!
Besonders an cronos der mir geholfen hat das Problem zu lösen^^
Ich werde euch weiterempfehlen!!

Vielen Dank!!!!