Google leitet um - alles zu spät?
 

Guten Tag allerseits,

dies ist mein erster Beitrag hier, weil ich im Netz schon allerlei zu dem Thema gesucht habe, und hier die Antworten doch am nächsten zum Thema erscheinen. Obwohl ich sagen muss, dass sie Vielzahl der Programme, die bei der Rettung des Systems offensichtlich nötig sind, mich doch verwirren und abschrecken.

Aber die einzige Alternative scheint doch das Neuaufsetzen von XP zu sein. Trotzdem wäre es nett, wenn sich hier jemand findet, der mir zuvor noch einige Fragen beantwortet:

Erstmal das Problem: Ich habe XP, Servicepack 2 bin ich mir nicht sicher, meine aber, bei entsprechender Aufforderung installiert zu haben. Auch habe ich das automatische Update nicht deaktiviert, und gelegentlich kommt auch ein Update rein.
Seit etwa zwei Wochen habe ich den Verdacht, dass meine DSL-Verbindung von AOL langsamer geworden ist. Test bei Wieistmeineip ergibt auch immer allenfalls durchschnittliche, oft unterdurchschnittliche Downloadwerte. Upload ist immer optimal. Eine Bescherde bei AOL brachte einige Einstellungstips, die aber keine Verbesserung brachten. Dann ist mir aufgefallen, dass meine Google-Ergebnisse immer zu diversen anderen Zielen führten, obwohl diese einen 'seriösen' Eindruck machen (Harware-Händler etc, ich meine jetzt PC-Hardware :rolleyes: ), aber es sind eben fremde Ziele.

Ich habe ständig eine Macafee-Firewall laufen, dazu einen Avasta-Scanner, da ich trotz Firewall gelegentlich Virenprobleme hatte. Benutze den Avant-Browser. Der Scanner findet nichts.

Habe daher jetzt mal den evido-Scanner im abgesicherten Modus laufen lassen. Er findet 2 verschiedene Trojaner, davon aber etwa 20 mit hohem Risiko im Speicher, die sich aber nur kurz löschen lassen, beim nächsten Scan wieder da sind.

Ein HJT-Log habe ich gefertigt, habe aber null Ahnung, was mir diese Einträge sagen sollen. Poste es Heute Abend, bin jetzt auf einem anderen PC, auch weil gesagt wurde, man soll sofort die Netzverbindung kappen. Aber wie soll ich es dann posten? Werde wohl das Risiko nochmal eingehen müssen. Nach allem, was ich hier gelesen habe, wird es wohl diese Ukraine-Kiste sein.

Ach ja, die Fragen:

1. Ich habe gelegentlich ein Backup gemacht, auf eine externe Festplatte. Wenn ich die normale Platte formatiere, Windows neu aufsetze, dann das Backup wiederherstelle, was ist da alles mit drauf? Habe Hunderte-Programme und Datein, undendlich viele Fotoalben, auf der Festplatte, die sind doch nicht in dem kleinen Backup, oder? Was wird aus den Fotos, kann ich die nie wieder ansehen? Wenn ich formatiere sind sie weg, wenn ich sie vorher sichere, wird das System nach erneuter Ansicht wieder verseucht? Muss ich die externe Festplatte ebenfalls Formatieren? Schalte sie nur gelegentlich ein, zuletzt vielleicht vor einer Woche.

2. Hat schon mal jemand versucht, das Problem zu lösen, in dem Windows neu über das befallene System gespielt wurde, z. B. mit der Reparatur? Ich habe extreme Sorgen wg. der Datenverluste, die ich mit einer Formatierung hätte.

3. Die Meldungen über diese Umleitung in die Ukraine häufen sich doch gewaltig. Warum reagieren sie Scannerhersteller nicht? So ein Problem muss sich doch lösen lassen, ohne den ganzen PC mit allen Daten in die Tonne zu treten?

4. Meine Frau geht über WLAN über meinen PC ins Internet, ansonsten haben wir aber keine gegenseitigen Zugriffe auf die PCs. Kann auf ihrem PC ebenfalls eine Umleitung bestehen?

Alles in allem bin ich ziemlich deprimiert wg. der ganzen Sache. Außer bei Google habe ich bisher keine Nebenwirkungen gespürt, mich möchte aber auch verhindern, dass mein Konto plötzlich leergeräumt ist (Internetbanking, habe Homecash mit Disk und Passwort, kann jemand das Risiko einschätzen?)

Findet sich überhaupt jemand hier, der den beschwerlichen Weg einer Reinigung des Systems mit mir gehen würde? Und wenn ja - wie lange habe ich etwas davon, wenn meine verd.... Firewall nix dergleichen gemerkt hat?

Gruß
(ein verzweifelt-depressiver)
Krumbein

poste mal eine Hijackthis.log

Hallo,
das sind aber viele Fragen auf einmal...:)
Ich unterteile das mal ein bisserl.....
Zu 1.
Das wirst du selber beantworten müssen......Du mußt wissen was du alles "gebackupt" hast.Wie eigentlich hast du die Backup`s erstellt ?Mit einem Programm(Acronis o.Ghost) auf CD/Festplatte ?
Fotos auf externe Platte/CD kopieren ist kein Problem.Keine Verseuchung, weil keine ausführbare Datei.Externe Platte =kommt drauf an was du da rübergespielt hast.Wann und wie oft sie im Rechner hing spielt dabei keine Rolle.Wichtiger ist was ist draufgekommen.Wenn das ersetzbar sein sollte,formatieren und dann Fotos,Dokumente,Word/Exeldateien rübermachen...:Boogie:
Zu 2.
Ist keine Lösung bei Trojanerbefall.Die wissen sich dagegen zu wehren.Drüberrödeln ist niemals eine Lösung.Da kommen dann so richtig Kryptische Fehlermeldungen...:eek:
Reperaturinstallation nur bei Schwierigkeiten mit dem System selbst.Beispielsweise wenn in der Registrierung rumgepfuscht wurde....
Zu 3.
Jo läßt sich lösen...:rolleyes:
Nicht jeden Mist runterladen,auch wenn er noch so dolle /umsonst/unverzichtbar sein will...:blabla:
Zu 4.
Erstelle ein HijackThis-Log auch von diesem Rechner,mache aber bitte darauf aufmerksam,welches Log zu welchem PC gehört.

Du und deine Firewall sind die beiden Letzten die was merken...das liegt in der Natur beider Sachen..:aplaus:
Dein W-Lan Router kann/sollte als Firewall tauglich sein.Hundert mal besser als jede Desktopfirewall wie du eine benutzt.Siehe das Handbuch dazu ! hast du keins,stelle den Hersteller und Modelltyp fest,suche beim Hersteller nach der Dokumentation zum Router,läßt sich runterladen.
Irrlicht

Das kommt natürlich drauf an, was das Backup alles umfasst. Die Frage kannst du nur selbst beantworten; im Forum weiss ja keiner, mit welchem Programm und mit welchen Einstellungen du das Backup gemacht hast.

Gegenfrage: Warum bleiben die User "dumm"? Virenfrei zu bleiben ist nun wirklich nicht besonders schwer, wenn man sich an ein paar Grundregeln hält. (siehe "Pflichtlektüre" in der Signatur!)

Möchte ich nicht ausschließen, du kannst ja ein Hijackthislog von deiner Frau unter Verweis auf diesen Thread in einen neuen Thread posten (mit kurzer Situatiosnbeschreibung, bitte.)

Ich würde bei HBCI (ich nehme an, das steckt hinter deinem Zugang) das Risiko als gering einschätzen. Trotzdem solltest du, wenn möglich, das Passwort ändern mit einem sauberen Rechner. Und in der nächsten Zeit möglichst täglich deine Umsätze checken, und bei Verdacht sofort die Bank verständigen. Abgehende Überweisungen können so u.U. noch zurückgeholt werden.

Ob sich eine manuelle Reinigung lohnt, das wird das Hijackthis-Log zeigen. Wie lange du etwas davon hast? Kommt drauf an, wie sicher du dein System konfigurierst und du dich verhältst. Sicherheit ist letztendlich keine Frage von zusätzlicher "Schutzsoftware".

Hallo, irrlicht. :)

Gruß :daumenhoc
Yopie

Also gut (oder auch nicht), ich habe bisher gelernt, wer was bei 017 hat, den kannste vergessen.

Logfile of HijackThis v1.99.1
Scan saved at 19:32:31, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\csrss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNEU\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNEU\system32\wbem\wmiprvse.exe
C:\WINNEU\System32\alg.exe
C:\WINNEU\eHome\ehmsas.exe
C:\WINNEU\system32\dllhost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&LogUID=&CurrentPage=MyeBaySummary&migrateVisitor=3
R3 - URLSearchHook: (no name) - {E5CB5D6B-7129-1B7B-36C1-8CFAA75A03FE} - UserSp1.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [Shaitan1678] sysconf16.exe
O4 - HKLM\..\Run: [teqq32] MNTP.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [cmon14] TorontoMail.exe
O4 - HKCU\..\Run: [CToolBar] killall.exe
O4 - HKCU\..\Run: [ms-its] StartCpl.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06CABA3D-45B2-469C-B08B-293C7CE2AD5D}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{342908A2-7B27-4635-A434-F88EF6B77DF5}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{602FF43E-A907-4AD8-B66A-08654CEE96A8}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{9474E82A-14B5-4740-92B9-679F34FAD71E}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.28 85.255.112.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{06CABA3D-45B2-469C-B08B-293C7CE2AD5D}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.28 85.255.112.99
O17 - HKLM\System\CS2\Services\Tcpip\..\{06CABA3D-45B2-469C-B08B-293C7CE2AD5D}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.28 85.255.112.99
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

Und nu?:schmoll:
Krumbein

Das wäre zu einfach.

Fix die 017er-Einträge mit 85.255.* (Ukraine!) mit Hijackthis, und mach einen eScan nach Anleitung. Poste die Funde mit der find.bat. In der Anleitung (siehe Signatur!) ist alles beschrieben!

Gruß :daumenhoc
Yopie

Hallo Yopi,

leider habe ich es versaut. Nachdem ich escan runtergeladen habe, hat er sich selber aktualisiert. Daraufhin wollte ich das System einmal rauf und runterfahren, bin aber dann aus dem zimmer gegangen. Als ich wiederkam, hatte er bereits in Deutsch jede Menge gescannt und auch Viren gefunden, aber kein Protokoll angefertigt. Ich bin dann in den abgesicherten Modus und habe mehrere Scans durchgeführt, die alle bei ca. 20.000 untersuchten Datein abgebrochen wurden. Bis dort hat er keine Viren mehr gefunden.

Ich habe dann nochmal hijack laufen lassen, sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:46:52, on 24.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\csrss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINNEU\system32\wbem\wmiprvse.exe
C:\WINNEU\system32\dllhost.exe
C:\WINNEU\System32\alg.exe
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINNEU\eHome\ehmsas.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {E5CB5D6B-7129-1B7B-36C1-8CFAA75A03FE} - UserSp1.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Das war aber doch sicher noch nicht alles, oder? Im Browser ist meine Startseite verschwunden, sonst ist kein Unterschied. Google leitet immer noch um, und die Geschwindigkeit ist ebenfalls mäßig.

Hast Du noch eine Idee?
Gruß
Krumbein

Hallo,
die Beiden noch fixen(in Hijackthis anhaken und "fix checked" klicken)
Falsche Datei bei EScan erwischt...:(
So recht gelesen hast du die Anleitung nicht,oder ? In deinem Log fehlt nämlich ein nötiges Programm...:kloppen:
Du sollst nach der Anleitung die Datei aufzippen,daher der Link mit "Winrar".Das ist so ein Zipper.Auch der Name der EScan Datei die dafür benutzt werden muß ist wichtig,sie kommt,wenn du dem Link folgst weiter unten (letzter oder vorletzter Download).
Lösche alles was mit EScan derzeit auf deinem Rechner ist und beginne nocheinmal von vorne.Ebenfalls der rote Punkt 5 verdient deine Beachtung,ganz unten ist die Downloadmöglichkeit.

Die Anleitung ist deshalb so geschrieben,wie sie geschrieben ist, damit man sich Punktgenau daran hält....:rolleyes:
Irrlicht

Hallo Irrlicht,
nett, dass zu so später Stunde noch jemand mit Rat und Tat da ist.

Leider ist folgendes Passiert: Ich bin dem Link auf der Anleitungs-Seite gefolgt. War zunächst so wie in der Anleitung (ich wollte mich auch wirklich peinlich genau dran halten, wirklich :schmoll: ). Aber es wurde keine Zip-Datei runtergeladen, sondern eine exe-Datei. Beim installieren wurde ich nach der Sprache FÜR DIE INSTALLATION gefragt. Ich ging davon aus, dass ich später Gelegenheit hätte, die Sprache zu ändern. Da sich das Teil aber noch während der Installation von selber aktualisierte, ging ich davon aus, dass die Anleitung (von 2002?) nicht mehr aktuell ist. Zugegeben, etwas unbekümmert in meiner Situation. Ich kenne Winrar, aber die runtergeladene Datei war keine Zip oder Rar, sondern, wie gesagt, eine exe. Insofern scheint die anleitung tatsächlich nicht mehr aktuell. Sie erstellt auch keinen ordner namens c:bases_X, sondern einen namens Escan in Programme. Dort findet man dann aber, wie beschrieben, die MWAVSCAN.

Der Download lief übrigens mit ganzen 14 kb/s, so dass das 45 Minuten dauerte. Frag mich nicht, warum.

Gerne Fixe ich jetzt nochmal mit hijack, aber meinst Du wirklich, ich muss nochmal escan downloaden, wo da WIRKLICH keine Zip-Datei kommt? Ich könnte allerdings nochmal deinstallieren, und die exe-Datei nochmal ausführen, und dann 'englisch' wählen. Ist das auch ne Möglichkeit?

Gruß
krumbein

Warum entzippst du nicht einfach die Exe, wie in der Anleitung beschrieben? :confused:

Gruß :daumenhoc
Yopie

Hallo Yopi,

wenn ich die Exe in Winrar zum Entpacken auswähle, wird mir angezeigt, dass unter den ausgewählten Dateien kein Archiv gefunden werden kann. Ist ja auch logisch: Die Exe ist eine Anwendung, kein Archiv und keine gepackte Datei. Die Datei heißt es_awne.exe.

Ich kann mir das nur so erklären, dass früher eine Zip-Datei verschickt wurde, und man dieses System umgestellt hat.

Gruß
Krumbein

Hi,

Yopie meinte, du sollst die heruntergeladene mwav.exe entzippen, nicht eine einzelne *.exe des archivs. Oder du hast die falsche Datei erwischt. Der kostenlose scanner befindet sich gaaanz am Ende der Downloadseite von MW und heißt mwav.exe. Und das ist ein Archiv :daumenhoc. Gruß

Das ist die falsche Datei...
Da es anders wohl nicht zu verstehen ist, hier der Deeplink -> ftp://ftp.microworldsystems.com/download/tools/mwav.exe

Ja, da habe ich die falsche Datei runtergeladen. Wobei man sagen muss, das mwavscan auch bestandteil des escan ist. Aber werde ich gerne morgen nochmal probieren.

AVG-Spyware findet im Speicher immer noch den Downloader.agent.uj

escan findet im abgesicherten Modus nichts, soll ich das morgen nochmal wie beschrieben versuchen, oder gibt es noch etwas?

hijack aktuell:

Logfile of HijackThis v1.99.1
Scan saved at 00:47:47, on 25.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\csrss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINNEU\system32\wbem\wmiprvse.exe
C:\WINNEU\system32\dllhost.exe
C:\WINNEU\System32\alg.exe
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNEU\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINNEU\system32\ctfmon.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Avant Browser\avant.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [mwavscan] "C:\PROGRA~1\eScan\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Vielen Dank erstmal für die Unterstützung. Leider kann ich mich erst Abends wieder von meinem Rechner aus melden, stehe aber für Auskünfte auch tagsüber zur Verfügung. Ich gucke Gelegentlich mal rein.

Gute Nacht
Krumbein

Hallo,

habe jetzt alle Anweisungen befolgt, aber escan hängt sich nach knapp 20.000 durchsuchten Dateien immer auf bzw. sucht und sucht, aber es geht nicht weiter. Ein fund, dann immer nur Please Wait...Scanning file, aber es passiert nichts mehr. Das log zeigt diesen Fund:

Wed Oct 25 20:21:22 2006 => Scanning Folder: C:\123Loads\antivir\disk_1\INFECTED\*.*

Wed Oct 25 20:23:59 2006 => Please Wait... Scanning File
Wed Oct 25 20:25:33 2006 => Please Wait... Scanning File
Wed Oct 25 20:27:06 2006 => Please Wait... Scanning File
Wed Oct 25 20:28:40 2006 => Please Wait... Scanning File
Wed Oct 25 20:30:13 2006 => Please Wait... Scanning File
Wed Oct 25 20:31:47 2006 => Please Wait... Scanning File
Wed Oct 25 20:33:21 2006 => Please Wait... Scanning File
Wed Oct 25 20:34:54 2006 => Please Wait... Scanning File
Wed Oct 25 20:36:28 2006 => Please Wait... Scanning File
Wed Oct 25 20:38:01 2006 => Please Wait... Scanning File
Wed Oct 25 20:39:35 2006 => Please Wait... Scanning File
Wed Oct 25 20:41:08 2006 => Please Wait... Scanning File
Wed Oct 25 20:42:42 2006 => Please Wait... Scanning File
Wed Oct 25 20:44:16 2006 => Please Wait... Scanning File
Wed Oct 25 20:45:49 2006 => Please Wait... Scanning File
Wed Oct 25 20:47:15 2006 => Please Wait Exiting Application...
Wed Oct 25 20:47:23 2006 => Please Wait... Scanning File

Wed Oct 25 20:47:49 2006 => Requesting CancelScan...
Wed Oct 25 20:47:51 2006 => Unable to Cancel Scan Successfully!!!
Wed Oct 25 20:47:51 2006 => Scan Cancelled by User

Wed Oct 25 20:47:51 2006 => Total Objects Scanned: 19524
Wed Oct 25 20:47:51 2006 => Total Critical Objects: 1
Wed Oct 25 20:47:51 2006 => Total Disinfected Objects: 0
Wed Oct 25 20:47:51 2006 => Total Objects Renamed: 0
Wed Oct 25 20:47:51 2006 => Total Deleted Objects: 0
Wed Oct 25 20:47:51 2006 => Total Errors: 1
Wed Oct 25 20:47:51 2006 => Time Elapsed: 00:38:49
Wed Oct 25 20:47:51 2006 => ***** Scanning complete. *****
Wed Oct 25 20:47:51 2006 => Virus Database Date: 10/25/2006
Wed Oct 25 20:47:52 2006 => Virus Database Count: 234936

Wed Oct 25 20:47:52 2006 => Scan Completed.

Wed Oct 25 20:48:06 2006 => Virus Database Date: 10/25/2006
Wed Oct 25 20:48:06 2006 => Virus Database Count: 234936
Wed Oct 25 20:48:09 2006 => AV Library Unloaded (3)...

Der Rootkitrevealer sagt folgendes (im Normalmodus gescannt):

HKLM\S-1-5-21-861567501-1409082233-682003330-1004\Software\Valve\Steam\LastSteamExecutionTime 25.10.2006 21:02 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\webcal\URL Protocol 6.9.2006 19:32 13 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null \Command & Conquer Generäle Die Stunde Null .lnk 14.4.2005 00:24 1.62 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null \Command & Conquer Generäle Die Stunde Null deinstallieren.lnk 14.4.2005 00:24 1.98 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null \Command & Conquer Generäle Die Stunde Null-Readme.lnk 14.4.2005 00:24 1.69 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null \Elektronische Registrierung.lnk 14.4.2005 00:24 2.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null \System-Info.lnk 14.4.2005 00:24 1.82 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null \Technischer Kundendienst.lnk 14.4.2005 00:24 1.87 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null\Command & Conquer Generäle Die Stunde Null .lnk 14.4.2005 00:24 1.62 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null\Command & Conquer Generäle Die Stunde Null deinstallieren.lnk 14.4.2005 00:24 1.98 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null\Command & Conquer Generäle Die Stunde Null-Readme.lnk 14.4.2005 00:24 1.69 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null\Elektronische Registrierung.lnk 14.4.2005 00:24 2.08 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null\System-Info.lnk 14.4.2005 00:24 1.82 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games\Command and Conquer(TM) Generäle Die Stunde Null\Technischer Kundendienst.lnk 14.4.2005 00:24 1.87 KB Visible in Windows API, but not in MFT or directory index.

blacklight scannte im Normalmodus folgendes:

Clean hidden items

csfri.exe
dmbbl.exe
{91cd3113-e69c-4da1b57c-3a55edb7156}.exe

habe sie noch nicht gecleant, fenster ist noch offen.

Hilft euch das irgendwie weiter?
Gruß
krumbein

Hallo,

es scheint, als hätte blacklight das Problem zunächst gelöst. Die Geschwindigkeit passt wieder, und die Google-Umleitungen sind verschwunden. Warum escan immer bei 19tausendund abbricht, ist mir unverständlich. AVG Antispyware hatte ja immer diesen ominösen uj-Virus gefunden, der ist auch nicht mehr zu scannen.

Hier nochmal mein Hijack-Log. Gibt es noch etwas verdächtiges?:

Logfile of HijackThis v1.99.1
Scan saved at 01:01:01, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\system32\cisvc.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\dllhost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINNEU\eHome\ehmsas.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [dmktm.exe] C:\WINNEU\system32\dmktm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Ansonsten erstmal besten Dank, mal sehen, wie lange das System stabil arbeitet.

Gruß
krumbein

Das log ist noch nicht sauber. Installiere fixwareout und entpacke die bfu.zip nach C:\fixwareout\SUB. Starte die bfu.exe und füge in das fenster "scriptfile to execute" die C:\fixwareout\SUB\XP-2K2.bfu ein. Execute. Poste anschließend die report.txt und ein neues HJT-log. :daumenhoc

Hallo,

ich weiß zwar nicht, was ich tue, aber der Report sagt:

BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 17:08:34, on 27.10.2006

Script completed.


Logfile of HijackThis v1.99.1
Scan saved at 17:12:39, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\system32\cisvc.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\dllhost.exe
C:\WINNEU\eHome\ehmsas.exe
C:\Programme\Avant Browser\avant.exe
C:\WINNEU\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\WINNEU\system32\cidaemon.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [dmktm.exe] C:\WINNEU\system32\dmktm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Wo hängt denn noch etwas?
Gruß

Krumbein

Hallo Krummbein,
als nächstes wirst du dich von all den installierten Scannern trennen,das kann nämlich ganz schön in die Hose gehen.
Ich nehme an,du hast bisher einen bestimmten verwendet.Den läßt du selbstverständlich auf deiner Kiste.Alles andere was wie Scanner aussieht,riecht oder schmeckt,ab ins Nirwana damit.Viele Scanner helfen nicht viel,im Gegenteil,die stören sich gewaltig ,unter Umständen bis zum Systemabsturz.
Suche in "Software" nach ihnen und deinstalliere sie.
Erstelle für dich selbst ein HijackThis-Log und prüfe damit ob du die überzähligen Scanner gelöscht hast.Mache das so oft für dich selbst,ohne posten,bis nur noch dein Scanner übrig ist.....
Dann erst neues HJT.
Irrlicht

daHast du fixwareout installiert und die bfu.zip in das entsprechende Verzeichnis entpackt, dann die bfu.exe ausgeführt? Du hast das falsche log gepostet. Ich möchte die "report.txt" von fixwareout sehen, zu finden unter c:\fixwareout\report.txt. Gruß

Hallo

Ordell:

Ich hatte keine häckchen gesetzt, will hoffen, das entspricht jetzt Deiner Vorstellung:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE04F25063F3-4F8B-85A4-346C-70A7854A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mtkmd
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
C:\WINNEU\SYSTEM32\CSDMAE~1.REN
C:\WINNEU\SYSTEM32\DMKTME~1.REN
C:\WINNEU\SYSTEM32\{91CD3~1.REN

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINNEU\system32
{91CD3113-E69C-4DA1-B57C-3A55EDB71560}.exe.ren

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Und hier der anschließende Hjack:

Logfile of HijackThis v1.99.1
Scan saved at 19:17:45, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINNEU\system32\PuXpMan.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\system32\cisvc.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\dllhost.exe
C:\WINNEU\eHome\ehmsas.exe
C:\WINNEU\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINNEU\system32\cidaemon.exe
C:\Programme\Avant Browser\avant.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

@Irrlicht:

Habe den Mcafee Securitiy-Center gelöscht. Sonst habe ich nur noch den AVG Anti-Spyware drauf. Der Canon-Scanner ist ein Flachbett-Scanner. Finde sonst nichts, was noch nach Virenscanner aussieht.

Gruß
krumbein

yep, scheint funktioniert zu haben. Wie lange, wird sich zeigen. Die *.ren-Dateien kannst du löschen. Fixe noch diesen Eintrag Der MW-scanner ist noch aktiv. Runter damit. Gruß

Hi,

Mw-Scanner hört sich an nach escan. Wie lösche ich den? Kann ihn leider weder über Software noch über Programme finden.

Gruß
Krumbein

Hallo,
hier nochmal der aktualisierte report von fixwareout:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINNEU\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Und der Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 02:16:54, on 29.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINNEU\system32\PuXpMan.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\system32\cisvc.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\dllhost.exe
C:\WINNEU\eHome\ehmsas.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\WINNEU\system32\cidaemon.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Hallo Jungs und Mädels,

ich fühle mich bemüßigt, noch folgendes von mir zu geben:

Wenn es denn damit erledigt ist: Nochmals vielen Dank an die netten Helfer hier, vor allem Irrlicht und Ordell, aber auch alle anderen. Ich weiß, dass das Ergebnis mit Vorsicht zu genießen ist, aber das System läuft zumindest erstmal wieder. Und einen ganz, ganz großen Lerneffekt hat es auf mich jedenfalls gehabt. Ich denke auch, dass alle anderen interessierten Leser, und die hat es ja offensichtlich gegeben, gemerkt haben, dass ein solcher Reinigungsprozess nicht viel weniger Aufwand macht, als eine Formatierung mit Neuinstallation. Ich habe in der Vergangenheit schon mit Viren zu tun gehabt, die kaum noch einen Zugriff bzw. kaum noch eine Möglichkeit zur Datenrettung zugelassen haben. Dieser nicht, hier konnte man immer noch kopieren, brennen, etc. Trotzdem fand ich diesen Befall als besonders belastend, weil es wie ein Einbruch in das eigene Schlafzimmer ist. Man weiß nicht, was noch mit den eigenen Daten passiert bzw. schon passiert ist. Intimsphäre - gibt es das im Internet? Offensichtlich nicht.

Kleine Anektdote am Rande: Ich hatte mit dem Schlimmsten gerechnet, gerade nach den ersten Rettungsversuchen, und hatte auch nach x- Neustarts und immer wieder neuen Scannern die Nase voll. Auch die Helfer hier haben einen Abend lang wohl keine Lust mehr gehabt, oder einfach was besseres zu tun (was ich vollauf verstehen kann), jedenfalls meldete sich keiner mehr, und ich war so ganz allein auf der Welt. Und - ungelogen - ich habe mir gesagt, einmal noch rauf und runterfahren, und ich formatiere. Irgendwann merkt man, dass der Aufwand nicht schlimmer werden kann - Und dann habe ich, gerade wegen der Verzweifelung, blacklight die Umbenennung der zweifelhaften Anwendungen erlaubt, weil ich dachte, dass schlimmstenfalls das System nicht wieder anspringt, und ich eben Neuaufsetzen muss. Und gerade in diesem letzen Moment haben die Rettungsmaßnahmen gegriffen - filmreif.

Schlimmer im Sinne von Datenverlust fand ich einen Virus um die Jahreswende 2005/06. Damals hatte ich noch kein DSL, und ich denke mal, es war eine Art Dialer. Er hat mir das System im wahrsten Sinne des Wortes zerschossen. Der PC ging mitten in einer Internetsitzung aus und ließ sich nicht wieder starten, beim Hochfahren stürzte er immer wieder ab. Habe alles versucht, Reparaturkonsole, Neuinstallation etc. Widerlich, sage ich Euch. Vor allem, weil das so ohne Vorankündigung kam. Nach -zig Versuchen lies er sich wieder EINMAL starten, ich habe sofort alles auf DVD gebrannt, danach ging auch nichts mehr, aber das war mir egal, ich hatte wenigstens meine Privatfotos der letzen Jahre etc.

Vor ein, zwei Jahren hatte ich auf meinem damaligen ME-PC mal ein ähnliches Problem, ein Virus hatte alle Viren-Scanner, und vor allem alle Nebenlaufwerke geknackt. Man konnte nichts mehr brennen, man kam nicht mehr ins Internet, um nach Rat zu suchen, nix ging mehr. Habe ich dann über den PC an meinem Arbeitsplatz gerettet: Ich las von einem Virus, der mit einem ganz kleinen Programm von der Floppy aus gefunden werden konnte: Der war es dann auch. Das Programm war ungefähr 100 kb groß, fand aber tausend befallene Dateien, die meine ganzen Virenscanner vorher nicht gefunden hatten (wohl, weil die immer auf einen Windows-Start gewartet hatten).

Ich weiß nicht, ob diese Viren-Züchter wissen, was sie für einen Stress machen bei vielen Tausenden (oder Millionen) von Usern, die sie glaube ich zumindest, gar nicht treffen wollen. Das müssen Typen sein, die die Deutsche Bank oder Thyssen oder wen auch immer schädigen wollen. Oder kann es einem solchen Ar.....loch wirklich daran gelegen sein, dass ich armes Würstchen mich wochenlang geistig mit nichts anderem mehr auseinandersetzen kann, als dem Thema, wie rette ich ein Minimum meiner Privatsphäre?

So, jetzt habe ich reichlich von meinen düsteren Erfahrungen erzählt. Und wer dieses blöde Ukraine-Problem hat: Formatieren, und gut ist. Glaubt es mir: Es macht weniger Arbeit, und weniger Stress. Man kann sich von Anfang an darauf konzentrieren, dass wieder alles so läuft, wie es muss. An jedem Tag sieht man mit jedem installierten Treiber, dass man auf dem richtigen Weg ist. Die Gewissheit hat man bei den Rettungsversuchen nicht. Das dicke Ende kann immer noch kommen.

Vielleicht verlinken ja sogar eines Tages die Leiter dieses Boards verzweifelte User auf meinen Beitrag :heulen: Nach dem Motto: Wollt Ihr Euch das wirklich antun?

Gruß
Krumbein

Dein Wort in Gottes Gehör. :Boogie:

Datenrettung!
 

Vor kurzem hatte ich ein Problem mit meiner Festplatte. Diese war überhitzt und dadurch konnte ich nicht mehr alle Daten zurückholen. Ich bekam schon ein bisschen Panik, weil hier auch Daten meiner Arbeit betroffen waren. Im Internet fand ich schon einige Programme mit denen es möglich war, einige Dateien zurück zu holen, jedoch nicht alle, die mir wichtig waren. Ich musste also Notgedrungen eine Firma finden, die in der Lage war mir zu helfen und dabei auch preislich gesehen im Limit blieb. Letztendlich half mir hierbei http://www.rsedatenrettung.de:daumenhoc . Es dauerte zwar einige Tage, aber zum guten Schluß war es das Geld und die Zeit sicher wert!