Hilfe gegen CWS, Hijack akzeptiert Löschen nicht
 

Hallo zusammen,

ich habe mir auch den CWS gefangen und kann mir leider wohl nicht selbst helfen. Ich habe mir zwar Hijackthis gezogen und auch den CWS Shredder, aber beide Tools helfen mir nicht weiter.

HijackThis: Erkennt zwar den CWS, aber wenn ich die entsprechenden Einträge zum Fixen anklicke sind sie beim nächsten Scan wieder da. Auch ein manuelles Löschen aus der Registry ist nicht möglich.

CWSShredder: Hier wird gar keine Infizierung erkannt.

Anbei mein Log mit der Bitte um Hilfe. Besten Dank vorab.

Logfile of HijackThis v1.98.2
Scan saved at 10:02:40, on 10.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Registry Defragmentation\RegManServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\GameDeviceDriver\RFPIcon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Dokumente und Einstellungen\Thomy\Anwendungsdaten\stte.exe
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\w?wexec.exe
C:\WINDOWS\twain_32\C6U14K\WATCH.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Thomy\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\yuwaja.dll
O2 - BHO: (no name) - {1AAB1359-BA47-7E96-D572-175504F67C69} - C:\WINDOWS\system32\hupxqgin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BEA6559E-CC9F-34C4-A99A-FD31093B30F5} - C:\WINDOWS\system32\wideyei.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Programme\GameDeviceDriver\RFPIcon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Sase] C:\Dokumente und Einstellungen\Thomy\Anwendungsdaten\stte.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...dceabcca450006
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://dominomaila.becom.com/iNotes6.cab

greez

DelPiero

Hi,
von CWS kann ich nichts sehen und deshalb auch der CWS-Shredder wohl nicht.
Du hast unter anderem das hier .
Wenn Du mit HJT fixen willst, dann nur im abgesicherten Modus bei deaktivierter Systemwiederherstellung! Du hast es "normal" gemacht, drum waren sie alle wieder da.

Ich empfehle Dir noch im Anschluß, ebenfalls im abgesicherten Modus bei deaktivierter Systemwiederherstellung, einen eScan durchzuführen. Beachte, daß Du die infizierten Dateien selbst löschen mußt.
Poste dann das eScan-Ergebnis (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) und ein neues Logfile hier rein.