Virus, Trojaner, oder was auch immer
 

Hallo
Ich habe mit unserem PC seit Gestern große Probleme und ich komme einfach nicht weiter....

entschuldigt bitte wenn ich mich event. unklar ausdrücke oder so, aber ich bin in Sachen PC eher eine blutige Anfängerin...

Also,

gestern Morgen war plötzlich der Windowshintergrund verschwunden, nur noch blau und ein Warnfenster teilte mir irgendetwas von spyware oder so mit und ich solle ein Virenprogramm drüber laufen lassen (mein Englisch ist leider sehr schlecht *zugeb)
ich hab Antivir laufen lassen.....zig Funde...
danach noch Adaware und auch Spybot....

online zur Sicherheit noch Panda und Bitdefender....

danach schien der PC wieder sauber zu sein....

aber leider tauchten dann immer wieder Fenster auf....

"Windows security" mit Meldungen von wegen spyware, ect....
wenn ich auf ok drückte kamen immer Seiten die mir irgendwelche Virenprogramme verkaufen wollen...

auch waren heute Morgen nach dem Hochfahren auch wieder zig Trojaner auf dem Rechner (hatte sofort Antivir upgedatet und laufen lassen)

jetzt weiß ich nicht recht weiter, ich fürchte ich hab mir da was übles eingefangen...

ich hab auch brav die Suchfunktion bemüht, nur bringt mich das einfach nicht weiter

Das Betriebssystem ist übrigens Windows XP

Ich wäre für Tips und Hinweise sehr dankbar

Gruß
Mondstein

Edith: Ups, sorry, ich hab im falschen Bereich gepostet....kann man das vielleicht verschieben? Tut mir leid

Lade dir mal Tuneup runter!
und räume dein Cache Internet Chache leer!
www.tuneup.de

vielleicht hilft das!
räume mal alles damit mal auf!

Oder lass mal in dem abgesicherten Modus laufen !
und lass mal antiVir6 laufen !
:dummguck:

@ Bodi

der Rat ist zwar gut gemeint aber IMHO hilft er hier nicht weiter, es handelt sich vermutlich um eine Version die hier beschrieben steht

@ Mondstein

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Hallo

@Bodi vielen Dank für die Tips

@Gigamail

So, ich hoffe ich hab es so richtig gemacht und nichts übersehen das ich ändern müßte:


Logfile of HijackThis v1.99.1
Scan saved at 12:49:55, on 22.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\system32\ADIMonEx.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINDOWS\system32\ADIMonEx.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]h**p://aolcc.aol.de/computercheckup/qdiagcc.cab[/***
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game13.zylomgames.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61460AFF-64E5-4059-B0C8-E5C5F0837D94}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\HANS-H~1.RIT\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das sind für mich "böhmische Dörfer" *zugeb, aber vielleicht kannst du ja was damit anfangen.

Gruß
Mondstein

beende die Prozesse im Taskmanager und lasse mal die Dateien hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

C:\WINDOWS\system32\ADIMonEx.exe
C:\WINDOWS\System32\msole32.exe

Hallo Gigamail

Ok, hier die Ergebnisse:

Datei: msole32.exe
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.g gefunden
NOD32 probably a variant of Win32/TrojanClicker.Agent.CR gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Clicker.Agent.1 gefunden (mögliche Variante)



Datei: ADIMonEx.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Und was mach ich jetzt?

Vielen Dank auf alle Fälle für deine Mühe :)

Gruß
Mondstein

also, erstes Problem was du hast ist ein veraltetes System
Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2

Lade dir eScan und lese gleich die Anleitung mit, aber noch nicht scannen (siehe meine Signatur)

da nicht alle Virenscanner die Datei erkannt haben solltest du die folgende Datei: msole32.exe bei Malewareupload hochladen (siehe meine Signatur), du bekommst dann eine eMail mit dem Ergebnis und in Zukunft wird sie dann mit eingebunden (hoffen wir :crazy: )

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

lösche von Hand:

msole32.exe

scanne jetzt dein System mit eScan, boote danach neu und teile uns das Ergebnis mit Hilfe der Find.bat mit und poste auch ein neues HJT

*schwitz....

ich hoff ich bekomme das Alles hin

wenn ich mich nicht mehr melde hab ich den PC gekillt *zwinker

Gruß
Mondstein

die jetzt mal brav alle Anweisungen befolgt :)

Hallo
Edith : Hat sich erledigt :o
Bin doch noch fündig geworden :) , also weiter die Punkte "abarbeiten"

Ich fürchte ich blamiere mich jetzt gänzlich :o ....

aber, ich habe jetzt das Update von Windows XP runtergeladen und da heißt es so schön "eine Sicherung des Systems durchführen".....

und jetzt die super doofe Frage....wie geht das denn, sowas hab ich ja noch nie gemacht und die Suchfunktion hat mir auch keine Antworten geliefert.

Hilfe *ganz kleinlaut

Gruß
Mondstein

scheint so als sollten gewisse Frauen lieber die Finger von PC's lassen :o

das wird schon nur Mut,
bei dem Hinweis eine Sicherung des Systems erstellen, ist ein Backup/Image deiner Platte gemeint, falls beim Update etwas schief läuft damit der Urzustand wieder hergestellt werden kann.
Aber ich meine es reicht wenn du dir deine persönlichen Daten (Bilder, Musik, Dokumente usw.) auf Cd oder DVD, oder USB Stick sicherst, für alle Fälle.
Danach das Update durchführenBTW es gibt keine doofen Fragen http://www.mainzelahr.de/smile/party/trink4.gif

Hallo

Hier ist jetzt erstmal der neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 19:54:32, on 22.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\system32\ADIMonEx.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\******\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\*******\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\*******\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]h**p://www.msn.de/[/**]
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINDOWS\system32\ADIMonEx.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]h**p://aolcc.aol.de/computercheckup/qdiagcc.cab[/**]
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - [url]h**p://www.pandasoftware.com/activescan/as5/asinst.cab[/**l]
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - [url]h**p://game13.zylomgames.com/activex/zylomgamesplayer.cab[/**]
O17 - HKLM\System\CCS\Services\Tcpip\..\{61460AFF-64E5-4059-B0C8-E5C5F0837D94}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\HANS-H~1.RIT\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

dann die Ergebnisse von escan....da hab ich wohl irgendwie Mist gebaut :confused:
....ich find einfach das Scanergebnis nicht, bzw es gibt beim mir auf dem PC kein "mwav.log"......ich find nur ein "MWAVL" und das läßt sich nicht öffnen. Irgendwelche Ideen was ich falsch gemacht habe?
Gefunden hat escan 20 Viren,bzw Trojaner und 30 Errors

Ich habe übrigens soeben auch eine Antwort von Malewareupload bekommen:

" Wir haben Ihre Datei msole32.exe überprüft und kamen zu folgendem Ergebnis:
TrojanClicker.Agent.CR "

Inzwischen recht entnervte Grüße (wegen dem PC, nicht wegen der Hilfe hier ;) )

Mondstein

also mal keine Panik wir werden das schon hinbekommen
Wichtig beim eScan ist das Verzeichnis C:\Bases_X dorthin muss er entpackt werden,und nicht in das Verzeichnis dann updaten wie in der Anleitung beschrieben, scannen im abgesicherten Modus, dann befindet sich im Ordner Bases_X auch eine mwav.log.
Normalerweise brauchst du die garnicht suchen wenn du nähmlich die Find.rar runtergeladen und z.B. nach Desktop entpackt hast. Einfach einen doppelklick auf die bat und der sucht den ganzen Kram selbst (Dank Haui45, einem Boardmitglied).Du findest danach auf C:\
einen neue Datei mit Namen eScan_neu.txt den Inhalt posten. Wenn das so nicht funktioniert ist in der Anleitung auch eine Alternative angeboten

Du kannst auch nochmal nachlesen unter Punkt [5]

BTW: das Logfile sieht jetzt mal unauffällig aus :kloppen:

Hallo

Nene, in Panik gerate ich noch nicht ;)

Ich hab aber vielleicht schon eine Lösung für meinen "Mist" gefunden....
ich hab mir den Log anzeigen lassen und die Funde rauskopiert....
sieht vielleicht ein wenig schlimm aus :dummguck: , aber vielleicht kann man damit was anfangen....

Fri Jul 22 18:08:05 2005 => ERROR!!! Invalid Entry winlogon.exe = msole32.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). No Action Taken.

Result: ERROR!!! File C:\Dokumente und Einstellungen\******\Desktop\virenschutz\adawarese.exe is Not Scanned
Fri Jul 22 18:20:42 2005 => C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe not Scanned. Possibly password protected...

***** Scanning Registry and File system for Adware/Spyware *****
Fri Jul 22 18:21:49 2005 => Loading Spyware Signatures from External Database...
Fri Jul 22 18:21:50 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Fri Jul 22 18:21:54 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jul 22 18:22:01 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Fri Jul 22 18:22:06 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\dot.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\will.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\genius.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:24 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:25 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:26 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:26 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:28 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Fri Jul 22 18:22:40 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Fri Jul 22 18:22:40 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Fri Jul 22 18:22:55 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Fri Jul 22 18:22:55 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Fri Jul 22 18:22:56 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Fri Jul 22 18:22:56 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Fri Jul 22 18:23:01 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Fri Jul 22 18:23:01 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Result: ERROR!!! File C:\DOKUME~1\****\LOKALE~1\Temp\PSGuardInstall.exe is Not Scanned
Fri Jul 22 18:26:06 2005 => C:\DOKUME~1\*****\LOKALE~1\Temp\PSGuardInstall.exe not Scanned. Possibly password protected...

File C:\DOKUME~1\****\LOKALE~1\TEMPOR~1\Content.IE5\X77ZL5GE\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Fri Jul 22 18:28:28 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AVGold.zip is Not Scanned
Fri Jul 22 18:28:28 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AVGold.zip not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Dokumente und Einstellungen\******\Desktop\virenschutz\adawarese.exe is Not Scanned
Fri Jul 22 18:43:27 2005 => C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\PSGuardInstall.exe is Not Scanned
Fri Jul 22 18:45:05 2005 => C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\PSGuardInstall.exe not Scanned. Possibly password protected...

File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1RZXBXRC\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

 File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7G55J08O\dia148[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A7M7YDQN\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CJ2RA5EP\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ8DUHKZ\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X77ZL5GE\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Fri Jul 22 18:46:49 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys

File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\AOL 9.0a\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\AOL 9.0b\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.001 infected by "Trojan-Downloader.Win32.Agent.le" Virus! Action Taken: No Action Taken.

Fri Jul 22 18:54:32 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR
Fri Jul 22 18:54:32 2005 => File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.le" Virus! Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot.

Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned
Fri Jul 22 19:02:35 2005 => C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask not Scanned. Possibly password protected...

22 19:34:04 2005 => Total Objects Scanned: 86497
Fri Jul 22 19:34:04 2005 => Total Virus(es) Found: 20
Fri Jul 22 19:34:04 2005 => Total Disinfected Files: 0
Fri Jul 22 19:34:04 2005 => Total Files Renamed: 0
Fri Jul 22 19:34:04 2005 => Total Deleted Objects: 0
Fri Jul 22 19:34:04 2005 => Total Errors: 30
Fri Jul 22 19:34:04 2005 => Time Elapsed: 01:26:20
Fri Jul 22 19:34:04 2005 => Virus Database Date: 2005/06/28
Fri Jul 22 19:34:04 2005 => Virus Database Count: 136804

wenn das nix taugt mach ich den ganzen Kram morgen Abend nochmal :crazy: :headbang:

Gruß
Mondstein

Hallo

Jetzt hab ich auch noch zusätzliche Probleme/Merkwürdigkeiten *grummel

Ich kann über den IE nicht mehr surfen :-(....

wahrscheinlich (Vermutung ins Blaue) hab ich wohl gestern bei den ganzen Aktionen irgendetwas gelöscht was der IE braucht....

kann ich das irgendwie wieder beheben???

Naja, wichtiger ist wohl aber erstmal dass ich den Rest wieder auf die Reihe bekomme.

Gruß
Mondstein

Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
Lade dir Regseeker und säubere damit deine Registry, achte darauf damit unten links der Haken drin ist, da wird ein Backup zur Wiederherstellung gemacht!!
Da eScan nicht richtig upgedatet wurde solltest du Ihn nochmal laufen lassen,Update folgendermassen durchführen, bei laufender Internetverbindung im Ordner C:\Bases_X

die Datei KavUpd.exe ausführen und escan updaten.
--> boote in den abgesicherten Modus und deaktiviere die Systemwiederherstellung und lösche noch folgendes:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AVGold.zip
C:\Programme\AVPersonal\INFECTED\WLDR.DLL.001


lösche die Logdatei von eScan im Verzeichnis C:\Bases_X
und scanne jetzt nochmal mit eScan, teile danach das Ergebnis mit. Entweder du kopierst es wieder von Hand raus oder machst es dir leichter mit der Find.bat (siehe Anleitung)

Das Prblem mit dem IE müssen wir getrennt behandel, du solltest in Zukunft sowieso auf einen anderen Browser/Mailprogramm umsteigen. IE und Outlook sind als unsicher einzustufen. Sichere Browser siehe hier
http://filepony.de/download-opera/
http://www.mozilla.org/
http://www.thunderbird-mail.de/thunderbird/

Hallo Gigamail

Ich hab jetzt Alles gemacht.....

allerdings hab ich ein kleines Prob....

"mwav.log" finde ich zwar, aber ich kann die Datei nicht öffnen...es erscheint nur für einen ganz kurzen Moment ein Fenster, das aber sofort wieder verschwindet...

daher hab ich wieder den "Umstandsweg" gewählt...

hier das Ergebnis:

Sat Jul 23 20:57:52 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
ul 23 20:57:57 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Sat Jul 23 20:58:02 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\dot.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\will.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\genius.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:20 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Sat Jul 23 20:58:35 2005 => Entry "HKCR\AOLBrand_Client.AOLBrand_Client" refers to invalid object "{79498D83-FEFE-4e36-8B7E-E9CF79F010B0}". Action Taken: No Action Taken.

Sat Jul 23 20:58:35 2005 => Entry "HKCR\AOLBrand_Client.AOLBrand_Client.1" refers to invalid object "{752B9690-7A0B-4c67-8A09-AE3885CFCDF4}". Action Taken: No Action Taken.

Sat Jul 23 20:58:35 2005 => Entry "HKCR\AOLBrand_Client.AOLBrand_Client.2" refers to invalid object "{79498D83-FEFE-4e36-8B7E-E9CF79F010B0}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\Aolprefs.AolPreferences" refers to invalid object "{BBDA76FB-B05C-4A30-8E75-A96499A840D1}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\Aolprefs.AolPreferences.1" refers to invalid object "{BBDA76FB-B05C-4A30-8E75-A96499A840D1}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_AddressBook.AOL_AddressBook.1" refers to invalid object "{602DB47D-DFE2-4553-8C54-0522A9DC74AC}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_BuddyManager.AOL_BuddyManager.1" refers to invalid object "{19038319-D799-4819-94C0-1A115A590BF8}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client" refers to invalid object "{8FC6A820-6BFC-11d6-A10D-0010A49A288A}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client.1" refers to invalid object "{225789FB-CCA8-11D2-A719-0060B0B41584}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client.2" refers to invalid object "{AC44023F-D183-4397-9D02-27D34F120CB2}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client.3" refers to invalid object "{8FC6A820-6BFC-11d6-A10D-0010A49A288A}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_ClientCommands.AOL_ClientCommands.1" refers to invalid object "{BB4AEB43-D0AB-11D2-A719-0060B0B41584}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Communications.AOL_Communications.1" refers to invalid object "{00e0313F-8627-45db-863d-fd41083c3d32}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Favorites.AOL_Favorites.1" refers to invalid object "{C8A7FDAD-94D1-4da6-8D95-75888FB12DD4}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_IMManager.AOL_IMManager.1" refers to invalid object "{E3393F8F-B0C2-4103-A9E6-E0EB74645770}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_MailInfo.AOL_MailInfo.1" refers to invalid object "{7BD901A3-39BA-419b-AF57-EAA3145420DF}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_MailInfo2.AOL_MailInfo2.1" refers to invalid object "{14DB4DBD-FB4A-458e-8699-F9EB4BDAFEBC}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Publish.AOL_Publish.1" refers to invalid object "{C689CA08-726F-4676-8876-99F163685B32}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_SAPMoniker.AOL_SAPMoniker.1" refers to invalid object "{9482BC28-EAA5-4b6e-82E9-C6832320936E}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.License" refers to invalid object "{187A8428-BD94-470D-A178-A2347F940519}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.License.1" refers to invalid object "{187A8428-BD94-470D-A178-A2347F940519}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Quarantine" refers to invalid object "{B60A0E56-548D-40AE-9383-D752531F653F}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Quarantine.1" refers to invalid object "{B60A0E56-548D-40AE-9383-D752531F653F}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.RealTime" refers to invalid object "{04F3168F-5AFC-4531-B3B4-16CA93720415}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.RealTime.1" refers to invalid object "{04F3168F-5AFC-4531-B3B4-16CA93720415}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.SafeMode" refers to invalid object "{6AE3ACA6-1BE3-4443-98DD-EFFCFA793D35}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.SafeMode.1" refers to invalid object "{6AE3ACA6-1BE3-4443-98DD-EFFCFA793D35}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Scaner" refers to invalid object "{49B72A72-01F5-4AE8-BBD7-DAA67F1E303B}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Scaner.1" refers to invalid object "{49B72A72-01F5-4AE8-BBD7-DAA67F1E303B}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Update" refers to invalid object "{3A3A8C24-8FF0-4140-9731-54D9483EA70B}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Update.1" refers to invalid object "{3A3A8C24-8FF0-4140-9731-54D9483EA70B}". Action Taken: No Action Taken.
Sat Jul 23 21:04:13 2005 => ERROR!!! Invalid Entry winlogon.exe = msole32.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). No Action Taken.
Sat Jul 23 21:16:32 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe is Not Scanned
Sat Jul 23 21:16:32 2005 => C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe not Scanned. Possibly password protected...
Sat Jul 23 21:17:24 2005 => Loading Spyware Signatures from External Database...
Sat Jul 23 21:17:24 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sat Jul 23 21:17:24 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jul 23 21:17:28 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

ich habe auch das Update gemacht, dennoch steht da "Virus Database Date: 2005/06/28"....das versteh ich nicht, ich bin ja gefragt worden ob die vorhandenen Daten ersetzt werden sollen....Gestern hatte meine bessere Hälfte (er hat mir mal kurz geholfen) den Update gemacht....
anscheinend sind wir beide zu blond für sowas *schäm

Ob ich Escan nochmal ganz vom PC löschen sollte und dann nochmal von vorne anfange????

Das kostet echt Nerven *zwinker....und dabei darf ich den PC ja nur zeitweise nutzen *grummel

Vielen Dank auf jeden Fall für die Mühe die du mit mir hast

Gruß
Mondstein

also nach dem Scann ist erst mal nichts mehr drauf was Sorgen bereiten könnte, dei vielen Registryeinträge hätte ich gemeint sind nach der Anwendung von Regseeker verschwunden, na ja ist aber nicht ganz so schlimm
Führe auch mal das Tool aus(Seite ganz unten), obwohl ich eigentlich sicher bin damit da nichts gefunden wird

das ist eigentlich normal, danach ist eine neu Datei mit Namen eScan_neu.txt auf C:\
zu finden, da befindet sich der Inhalt den wir hier brauchen.

Frage was ist jetzt mit dem IE ?

hast du das alte Logfile gelöscht? Die Frage ob die Dateien ersetzt werden sollen ist mir auch neu
ich würde das auch vorschlagen, lösche alles nochmal runter, lese die Anleitung und entpacke eScan wie beschrieben ins Verzeichnis C:\Bases_X
danach bei laufender I-Net verbindung updaten, dann im abgesicherten Modus scannen, dann neu booten und die Find.at ausführen, dann die neue Datei (eScan_neu.txt) öffnen und den Inhalt ins Forum kopieren. Ist eigentlich ganz einfach :)
Virenbeseitigen kann echt nervig sein, deshalb sollte man das System auch entsprechend absichern

Poste mit dem Ergebnis auch noch ein HJT
Also auf gehts :kloppen:

Hallo

So, ich hoffe jetzt hab ich alles richtig gemacht *Schweiß von der Stirn wischt

hier der Escan:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 13:42:02 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun Jul 24 13:43:08 2005 => File C:\WINDOWS\popuper.exe infected by "Trojan.Win32.Puper.ag" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:43:09 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:43:58 2005 => File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.af" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:44:40 2005 => File C:\WINDOWS\system32\ole32vbs.exe infected by "Trojan-Clicker.Win32.Agent.eg" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:44:40 2005 => File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:13:35 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Jul 24 14:13:35 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\intel32.VIR
Sun Jul 24 14:13:35 2005 => File C:\Programme\AVPersonal\INFECTED\intel32.VIR infected by "Trojan.Win32.Small.eu" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:13:35 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR
Sun Jul 24 14:13:35 2005 => File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.le" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:44:25 2005 => File C:\WINDOWS\popuper.exe infected by "Trojan.Win32.Puper.ag" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:50:59 2005 => File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.af" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:51:11 2005 => File C:\WINDOWS\system32\LogFiles\K7182200.so infected by "Trojan-Downloader.Win32.Small.bdw" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:51:47 2005 => File C:\WINDOWS\system32\ole32vbs.exe infected by "Trojan-Clicker.Win32.Agent.eg" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:51:48 2005 => File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:53:22 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:53:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 14:53:34 2005 => Total Virus(es) Found: 15
Sun Jul 24 14:53:34 2005 => Total Errors: 49
Sun Jul 24 14:53:34 2005 => Time Elapsed: 01:26:10
Sun Jul 24 14:53:34 2005 => Total Objects Scanned: 85645
Sun Jul 24 13:26:58 2005 => Virus Database Date: 2005/07/24
Sun Jul 24 14:53:34 2005 => Virus Database Date: 2005/07/24
Sun Jul 24 14:53:41 2005 => Virus Database Date: 2005/07/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

und hier noch der neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 15:01:11, on 24.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\WINDOWS\system32\ADIMonEx.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]h**p://www.msn.de/[/**
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINDOWS\system32\ADIMonEx.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]h**p://aolcc.aol.de/computercheckup/qdiagcc.cab[/**l]
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - [url]h**p://www.pandasoftware.com/activescan/as5/asinst.cab[/**]
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - [url]h**p://game13.zylomgames.com/activex/zylomgamesplayer.cab[/**]
O17 - HKLM\System\CCS\Services\Tcpip\..\{61460AFF-64E5-4059-B0C8-E5C5F0837D94}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Fehlt jetzt noch was????
Ich hoffe nicht ;)
Ich hatte übrigens vor der erneuten Aktion Spybot gelöscht, irgendwie hat mir Spybot immer wieder Meldungen "dazwischen gefunkt", dürfte ja aber kein Problem sein, kanns ja jederzeit wieder runterladen.

Gruß
Mondstein

na bravo das hat ja jetzt geklappt :huepp:

Lade dir das Tool und installiere es
http://amok.am/index.php?page=progr&sub=descr&id=6
du findest jetzt ein neuen Icon auf dem Desktop. Jetzt nur noch die besagten Dateien per Dag&Drop auf das Icon ziehen los lassen. Wenn alle Dateien so bearbeitet wurden, Computer neu starten. Die Dateien sollten jetzt gelöscht sein. Bitte prüf das nach!!

C:\WINDOWS\popuper.exe
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\LogFiles\K7182200.so

wenn du neugebootet hast führe jetzt folgendes aus:

Start--> Ausführen--> cmd

einzeln reinkopieren:--> (nur die Eintraege der letzten 30 Tage rauskopieren und ins Forum posten)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
------------------------------------------------
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
--------------------------------------------------
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
--------------------------------------------------
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
-------------------------------------------------

Auftrag ausgeführt :)
Die Datein waren nach dem Neustart nicht mehr zu finden :)

hier die Ergebnisse:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\WINDOWS\system32

24.07.2005 16:17 889 vsconfig.xml
22.07.2005 16:18 380.350 perfh009.dat
22.07.2005 16:18 391.000 perfh007.dat
22.07.2005 16:18 52.764 perfc009.dat
22.07.2005 16:18 63.580 perfc007.dat
22.07.2005 16:18 897.954 PerfStringBackup.INI
22.07.2005 16:14 2.422 wpa.dbl
22.07.2005 16:13 90 spupdwxp.log
22.07.2005 16:12 125.320 FNTCACHE.DAT
21.07.2005 07:47 6.144 hhk.dll
21.07.2005 07:35 766 spyware.ico
21.07.2005 07:35 4.286 spam.ico
21.07.2005 07:35 2.238 pharm.ico
21.07.2005 07:35 2.238 network.ico
21.07.2005 07:35 2.238 Date.ico
21.07.2005 07:20 99.678 wp.bmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

24.07.2005 16:22 4 PMShared
24.07.2005 13:19 6.129 MWAV.LOG
24.07.2005 13:19 1.929 mwXface.log
24.07.2005 12:04 350.208 viewtcp.exe
24.07.2005 12:02 1.695 ViewTcp.lan
24.07.2005 12:02 1.695 viewtcp.old
28.06.2005 17:20 11.213 avp.klb
28.06.2005 17:20 18.112 daily.avc
28.06.2005 17:20 514 daily-x.avc
28.06.2005 17:03 118.784 esupdate.exe
28.06.2005 16:46 213.568 mwavscan.com
28.06.2005 13:35 1.419 daily-ex.avc
27.06.2005 22:53 70.938 unp016.avc
27.06.2005 22:53 60.058 unp014.avc
27.06.2005 22:53 23.477 unp025.avc
27.06.2005 22:53 53.026 unp024.avc
27.06.2005 22:53 8.121 worm006.avc
27.06.2005 22:53 5.246 unp000.avc
27.06.2005 22:53 8.159 troj030.avc
27.06.2005 22:53 1.546 avp.set
27.06.2005 22:53 50.560 troj029.avc
25.06.2005 20:28 49.988 troj015.avc
25.06.2005 20:28 50.117 troj013.avc
25.06.2005 20:28 50.706 troj010.avc
25.06.2005 20:28 52.441 troj004.avc
25.06.2005 20:28 30.673 x-files.avc
25.06.2005 20:28 30.850 ext004.avc
25.06.2005 20:28 52.126 unp009.avc
25.06.2005 20:28 22.728 virus020.avc
25.06.2005 20:28 57.819 troj003.avc
25.06.2005 20:28 21.312 malw004.avc
25.06.2005 16:15 22.420 spydb.avs
24.06.2005 11:14 50.153 troj017.avc
24.06.2005 11:14 76.468 virus015.avc
24.06.2005 11:14 71.438 virus009.avc
24.06.2005 11:14 75.191 virus008.avc
24.06.2005 11:14 63.153 virus019.avc

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\WINDOWS

24.07.2005 16:22 774 win.ini
24.07.2005 16:17 0 0.log
24.07.2005 16:17 1.296.716 WindowsUpdate.log
24.07.2005 16:17 159 wiadebug.log
24.07.2005 16:17 50 wiaservc.log
24.07.2005 16:16 2.048 bootstat.dat
24.07.2005 16:16 27.790 SchedLgU.Txt
24.07.2005 13:25 550.460 ntbtlog.txt
23.07.2005 12:38 178.800 setupact.log
23.07.2005 10:20 420.921 svcpack.log
23.07.2005 10:02 6.631 iis6.log
23.07.2005 10:02 29.855 comsetup.log
23.07.2005 10:02 27.995 tsoc.log
23.07.2005 10:02 1.374 imsins.log
23.07.2005 10:02 3.527 ocmsn.log
23.07.2005 10:02 17.554 ntdtcsetup.log
23.07.2005 10:02 3.683 KB903235.log
23.07.2005 10:02 47.613 ocgen.log
23.07.2005 10:02 3.458 msgsocm.log
23.07.2005 10:02 54.093 FaxSetup.log
23.07.2005 10:02 834.693 setupapi.log
22.07.2005 16:20 1.374 imsins.BAK
22.07.2005 16:20 3.877 KB885295.log
22.07.2005 16:14 345 OEWABLog.txt
22.07.2005 16:14 29.008 spupdsvc.log
22.07.2005 16:14 360 DtcInstall.log
22.07.2005 16:14 827 wmsetup.log
22.07.2005 16:14 316.640 WMSysPr9.prx
22.07.2005 16:14 12.082 setuplog.txt
22.07.2005 16:09 200 cmsetacl.log
22.07.2005 16:08 1.330 sessmgr.setup.log
22.07.2005 16:00 557 medctroc.Log
21.07.2005 16:36 116 NeroDigital.ini
21.07.2005 13:20 32 pavsig.txt
21.07.2005 07:37 2.172 sites.ini
21.07.2005 07:35 151 PhotoSnapViewer.INI
19.07.2005 18:41 54.156 QTFont.qfn
18.07.2005 17:41 29 popcinfo.dat
16.07.2005 11:48 227 system.ini
13.07.2005 23:19 2.099 hessen02.ini
12.07.2005 22:40 177.402 DirectX.log
12.07.2005 22:39 1.442 COM+.log
04.07.2005 08:48 23.182 MDACSET.log
01.07.2005 08:35 130 EPSON Perfection 1670G.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\

24.07.2005 16:30 0 sys.txt
24.07.2005 16:26 7.110 system.txt
24.07.2005 16:24 8.712 systemtemp.txt
24.07.2005 16:23 102.698 system32.txt
24.07.2005 16:16 805.306.368 pagefile.sys
24.07.2005 14:58 3.234 eScan_neu.txt
24.07.2005 14:53 0 23990098.$$$
24.07.2005 14:53 6 AVPCallback.log
22.07.2005 16:08 211 boot.ini
22.07.2005 16:04 47.564 NTDETECT.COM
22.07.2005 16:04 251.184 ntldr

und wenn ich jetz noch wüßte was das Alles bedeutet :crazy:

Gruß
Mondstein

das ist ein kleines Inhaltsverzeichnis von deinem System. Da der Trojaner noch verschiedene andere Dateien ablegt hat man so einen kleinen Überblick über die verschiedenen Ordner, so sehe ich z.B. auch damit eScan noch nicht komplet aus dem Tempverzeichnis raus ist und da du ja jetzt die find.bat ausgeführt hast muss eScan im richtigen Ordner (Bases_X) sein :party:

so jetzt hoffe ich machen wir noch den Rest

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
lösche zusätzlich durch Drag&Drop (ziehen der Dateien auf den Icon "Lösche Dateien bei Neustart"

C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\wp.bmp
C:\Windows\sites.ini

Papierkorb leeren
Systemwiederherstellung deaktivieren, neu booten Systemwiederherstellung wieder aktivieren und kontrollieren ob alle genannten Dateien gelöscht sind. Dann sollte eigentlich der Fisch gegessen sein :juul:

Hallo Gigamail

Ich hab das jetzt gemacht.....komischerweise tauchten dann all die Datein die ich gelöscht hatte auf dem Desktop auf....ich habe aber keine davon mehr im Ordner gefunden, hab sie jetzt einfach in den Paierkorb gelegt und gelöscht.

Gruß
Mondstein

Hallo

Erst mal nochmals vielen Dank für die tolle Hilfe :)

Ich habe meine bessere Hälfte jetzt überreden können auf den IE zu verzichten, ich habe jetzt Firefox installiert....

das Problem mit dem IE denke ich löse ich am einfachsten durch eine Neuinstallation des Selbige (ich brauch ihn ja noch für Windows-Updates)

Antivir wird jetzt jeden Morgen upgedatet, der Guard ist immer aktiv....

Zonealarm läuft auch...

und Adaware lasse ich auch regelmäßig laufen.

Sollte ich noch was vergessen haben erinnert mich bitte daran ;)

ich hab mir auch nochmal "Windows sicher einrichten" durchgelesen, einen Teil davon kann ich jetzt halt nicht mehr umsetzten, aber ich denke ich habe nichts Wichtiges vergessen.

Gruß
Mondstein

versuch es so: Start --> Eistellungen --> Systemsteuerung --> Software --> Windowskomponenten hinzufügen/entfernen
Haken entfernen bei IE --> weiter
danach das selbe nur den Haken wieder setzen
sehr gute Entscheidung
meinst du damit diesen Link
Hilfe zum Neuaufsetzen und anschließende Absicherung
Dienste abschalten wäre noch interessant, wird dort auch beschrieben.
Hier mal noch was zum Thema PersonalFirewall http://www.ntsvcfg.de/#_pfw

Das mit dem IE wie du empfohlen hast hat nicht geklappt, ich kann nach wie vor keine Seite anzeigen....
also doch Neuinstallieren ;)

trotzdem Danke für den Tip :)

die Links werde ich mir später noch in Ruhe zu Gemüte führen, jetzt ruft erstmal der Haushalt

Gruß
Mondstein

vielleicht hilft ja auch die Seite weiter http://www.misitio.ch/

hallo mondstein,
also, wie ich grade bemerkt habe, du hast AOL als Provider, anscheinend hast du die AOL 9.0 und die meldung die immer scheint ist ja vom "Sicherheitsdienst", wenn das alles was ich gescgrieben habe zustimmt, dann ist es es ganz einfach das problem los zu werden, es handelt sich um ein "spam popup".

du hast bestimmt auf dein desktop auch so ein link heisst " aol computer check", doppelt klicken --> sicherheitscheck durchlaufen lassen "wird alles online gemacht" dann bekommst du das ergebnis, irgendwo steht "online probleme oder sowas" und dann den schrauben schlüssel clicken und die Anleitung folgen.
und schon ist das problem gelöst "hoffe ich ma "