Trojaner-Board - Mein Anti-Vir läßt sich nicht mehr updaten...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mein Anti-Vir läßt sich nicht mehr updaten... (https://www.trojaner-board.de/11481-anti-vir-laesst-mehr-updaten.html)

Mein Anti-Vir läßt sich nicht mehr updaten...

hatte es kürzlich mit den Trojanern TR/Dldr.Dluca.Al und TR/Dlr.Dyfuca.BB. zu tun.
Mein AntiVir hatte seine Mühe (kamen immer wieder).
Hab dann den "Spyware Doctor" installiert: der immunisiert zwar, aber nachdem ich eine kürzlich runtergeladene und infizierte Datei gelöscht habe, besteht das Problem immer noch: Gestern habe ich Mailer Daemon Rückmeldungen bekommen über E-mails die ich gar nicht versendet hatte!!!
Was soll ich tun??????
Meine Schutzhilfen: Agnitum Firewall - Anti Vir - Spyware Doctor
Danke für die Hilfe,
R. Darquoy

Hallo,

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hier das angeforderte Log-File I (Darquoy) im Anhang (Fortsetzung folgt!)
Gruß,
Darquoy
Logfile of HijackThis v1.99.0
Scan saved at 18:25:39, on 01.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\program files\dialers\dluxde\dluxde.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\windows\system32\dlldmt.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\ScanPanel\ScnPanel.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\unzipped\hijackthis199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {B8D60EBB-5565-4392-957B-7164BA087AD4} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O3 - Toolbar: Instant Bu&zz - {7475D3FD-5D85-49DB-8B9B-6968467B2D80} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Dlldmt] c:\windows\system32\dlldmt.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_SE.tmp"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Dlldmt] c:\windows\system32\dlldmt.exe
O4 - Startup: Thumbs.db
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &WEB.DE Toolbar Suche - res://C:\WINDOWS\Downloaded Program Files\webde.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Instant Buzz - {066040F0-5018-4E15-8AA0-81D36136D989} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O15 - Trusted Zone: http://mailtausch.6to6.de

Hier das Log-File II (darquoy) nicht im Anhang! (da ging es nicht rein, da zu groß, daher die Trennung in Log-File I und II).

O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/A091EMT.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - http://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1104.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbug.com/minib...?rand=20034163
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/3007b24fb5880d1...dxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C3FDA8CE-9414-4E33-AC6B-4922922259A5} - http://secure-downloads.com/dialers/dialer_809.exe
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/SunInfoConnect_w...com_medium.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {FFFF0021-0002-101A-A3C9-08002B2F49FB} - http://www.7adpower.com/dialer/A091EMT.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{51587F48-5F8E-4354-A45B-930FA0DADEE7}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{51587F48-5F8E-4354-A45B-930FA0DADEE7}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {FED57C32-58B4-4C32-81E4-D08C1CEE4915} - C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O20 - AppInit_DLLs: FLAppInit.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Da ist einiges im Argen.

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hallo Cidre!

Anbei die Virus Log infos von E Scan ......Da war ja ne ganze Menge zu tun!?!
Tut mir Leid, aber da war anscheinend schon länger was im Gebüsch...
Hoffentlich ist noch alles zu retten.
Gruß,
R.D.

P.S.: siehe Anhang

Wechsle in den abgesicherten Modus und lösche alle Funde von eScan manuell. Diese Einstellung solltest du noch vornehmen:
Windows Explorer (Win Taste +E)-> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Dlldmt] c:\windows\system32\dlldmt.exe
O4 - HKCU\..\Run: [Dlldmt] c:\windows\system32\dlldmt.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 Wenn du in nicht selbst gesetzt hast, dann fixen
Alle O16
O20 - AppInit_DLLs: FLAppInit.dll

- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis posten

Hallo Cidre,

>"Lösche alle Funde von E scan manuell"
Heißt das, ich soll alles löschen, also das was ich zuletzt aus dem Scan Bericht kopiert und eben gesendet habe?

Wie meinst du das im 2. Abschnitt:"Fixe diese Einträge..." sind damit die ersten gesendeten numerierten Einträge von HiJackThis gemeint? Oder soll das auch mit dem E-Scan Programm geschehen?

Den Firefox Browser von Mozilla habe ich erst vor ein paar Tagen eingesetzt. Soll ich den Win Explorer ganz entfernen, oder geht das nicht? Auch den "AVANT Browser" habe ich installiert, wegen seiner Überlappungsmöglichkeiten.

Was meinst du mit IE sicherer konfigurieren?
Sollte ich nicht auch ne sicherere Mailbox benützen (z.Zeit: OUTLOOK EXPRESS und WEB.DE)

Danke für die Auskünfte!
R.D.

Zitat:

Heißt das, ich soll alles löschen...Scan Bericht

Zitat:

sind damit die ersten gesendeten numerierten Einträge von HiJackThis gemeint?

Ja, das Log hast du mit HJT erstellt, also musst es dort fixen.

Zitat:

Den Firefox Browser von Mozilla habe ich erst vor ein paar Tagen eingesetzt.

Aber?

Zitat:

Soll ich den Win Explorer ganz entfernen, oder geht das nicht?

Nein!

Zitat:

Auch den "AVANT Browser" habe ich installiert

Der Avant Browser basiert auf der IE Engine und ist damit nicht zu empfehlen.

Zitat:

Was meinst du mit IE sicherer konfigurieren?

Folge den Links.

Zitat:

Sollte ich nicht auch ne sicherere Mailbox benützen

Ja, sichere eMail Clients wie z.B. Thunderbird einsetzen http://www.thunderbird-mail.de

Ich danke dir mal fürs Erste..Ich muss jetzt schlafen gehen.
Morgen gehts dann weiter mit mehr Konzentration.....
Bis Morgen , und angenehme Nacht...mit oder auch ohne Ruhe,
R.D.

Und hier das neueste Log-File von HJT:

Logfile of HijackThis v1.99.0
Scan saved at 14:22:20, on 02.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\windows\system32\audcntr.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\l\ScnPanel.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.com/b1redirect
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {B8D60EBB-5565-4392-957B-7164BA087AD4} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll
O3 - Toolbar: Instant Bu&zz - {7475D3FD-5D85-49DB-8B9B-6968467B2D80} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Audcntr] c:\windows\system32\audcntr.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_SE.tmp"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Audcntr] c:\windows\system32\audcntr.exe
O4 - Startup: Thumbs.db
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &WEB.DE Toolbar Suche - res://C:\WINDOWS\Downloaded Program Files\webde.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Instant Buzz - {066040F0-5018-4E15-8AA0-81D36136D989} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O15 - Trusted Zone: http://mailtausch.6to6.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{51587F48-5F8E-4354-A45B-930FA0DADEE7}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{51587F48-5F8E-4354-A45B-930FA0DADEE7}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {FED57C32-58B4-4C32-81E4-D08C1CEE4915} - C:\Dokumente und Einstellungen\Schimpf\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Zur Ergänzung:
Nach dem Löschen aller Funde von E-Scan, wurden 4 Punkte vom HiJackThis nicht mehr angezeigt. Konnte sie also nicht fixieren:

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Dlldmt] c:\windows\system32\dlldmt.exe
O4 - HKCU\..\Run: [Dlldmt] c:\windows\system32\dlldmt.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Wenn du in nicht selbst gesetzt hast, dann fixen

Der browser (Firefox) braucht nun sehr lange um sich aufzubauen...
Auch der Antivir läßt sich noch nicht updaten.

Nach letztem HJT check, Fehlermeldung: >DllUnregister Server<

Spyware Doctor findet immer noch 1 infizierte Datei.
Hätte ich den vielleicht inaktivieren sollen?

Gruß und bis auf Weiteres,
R.D.

Zitat:

Der browser (Firefox) braucht nun sehr lange um sich aufzubauen...

Das ist klar weil er im Gegensatz zum IE nicht im System eingebunden ist und somit keine Bestandteile beim Systemstart bereits mitgeladen werden. Das sollte dich aber trotzdem nicht daran hindern Friefox einzusetzen.

Zitat:

Nach letztem HJT check, Fehlermeldung: >DllUnregister Server<

Erklär mal genauer.

Zitat:

Spyware Doctor findet immer noch 1 infizierte Datei.

Welche?

Zitat:

Hätte ich den vielleicht inaktivieren sollen?

Wenn du dein System im abgesicherten Modus bereinigt hast, wie von mir empfohlen, dann war er inaktiv.

btw:
Fixe und lösche dann die Datei:
O4 - HKLM\..\Run: [Audcntr] c:\windows\system32\audcntr.exe
O4 - HKCU\..\Run: [Audcntr] c:\windows\system32\audcntr.exe

"Erklär mal genauer."

Der Fehler ist verschwunden!

"Welche?"

Die Datei ist: Registry: HKCU\software\stilesoft
Ich vermute, das kann auch mit dem Spyware Doctor erledigt werden.?!

"Wenn du dein System im abgesicherten Modus bereinigt hast, wie von mir empfohlen, dann war er inaktiv."

System war beim 2. Mal nicht im abgesicherten Modus...tut mir Leid.
Hab dies nun nachgeholt, bei der Bereinigung der 2 untenstehenden Dateizeilen.

"btw:
Fixe und lösche dann die Datei:
O4 - HKLM\..\Run: [Audcntr] c:\windows\system32\audcntr.exe
O4 - HKCU\..\Run: [Audcntr] c:\windows\system32\audcntr.exe[/QUOTE]"

Beim Versuch, mit Anti-Vir ins Internet zu gelangen gibts immer noch keinen Erfolg:
Fehlerbeschreibung:
"Datei vdfh.idx kann nicht downgeloadet werden Error ID: 12007
Fehler beim Öffnen der Internet-Datei!
Der Servername oder die Serveradresse konnte nicht verarbeitet werden."

Zitat:

"Datei vdfh.idx kann nicht downgeloadet werden Error ID: 12007

Das einzige war mir dazu einfällt, wäre eine Neuinstallation von AntiVir oder du postest mal diese Fehlermeldung im AntiVir Forum, eventuell können die dir weiterhelfen.

Hallo Cidre !

Danke vorerst mal für deine Hilfe!
Noch eine Frage zum Schutz: mein Outpost ist die Freeware Version.
Wenn man da updaten will muss man kaufen. Werd ich wohl auch tun, oder gibts da noch Alternativen, die genausogut sind?
Auch Anti-Vir war bisher ganz gut.
Was hältst du davon?

Wie kann ich mich bedanken? Ich hätt da ne Idee:
Schau dir meine Homepage unter www.pianosagen.de pianosagen an. Es gibt da einige CDs von mir. Falls dir das eine oder andere gefällt (MP3-Clips anhören) sende ich dir gerne eine CD zu...(oder auch als Audio-mail)

Laß von dir hören. Auf bald,
R.D.

Hallo darquoy,

Zitat:

Noch eine Frage zum Schutz: mein Outpost oder gibts da noch Alternativen, die genausogut sind?

Ja, die gibt es und sind sogar kostenlos. Lese dir mal folgende Links aufmerksam durch:
http://www.ntsvcfg.de/
http://www.ntsvcfg.de/linkblock.html
http://www.chip.de/forum/thread.html?bwthreadid=659560
http://www.chip.de/forum/thread.html?bwthreadid=584714

Wenn du jetzt immer noch eine "Desktop Firewall" einsetzen willst, dann verwenden zusätzlich noch die kostenlose von Microsoft. Siehe dazu
http://support.microsoft.com/kb/889740/DE/
http://support.microsoft.com/kb/889735/DE/
http://www1.microsoft.at/includes/im...ype=1&id=14914
http://support.microsoft.com/?id=875357

Wenn du die bereits von mir geposteten Links in die Tat umsetzt und dann noch umsichtig surfst, dann dürfte AntiVir als Ergänzung völlig ausreichend sein.
Kompromittierung unvermeidbar?

Zitat:

Es gibt da einige CDs von mir. Falls dir das eine oder andere gefällt (MP3-Clips anhören) sende ich dir gerne eine CD zu...

Vielen Dank für dein Angebot. ;)
Ich werde mir deine Homepage mal ansehen und mich dich dann bei Interesse per PN bei dir melden.

Gruß
Cidre

Hört sich sehr gut an!!!
Besonders gut gefällt mir die Seite von "Dingens" WINDOWSDIENSTE ABSCHALTEN.
Kennst du auch das aus dem Datenschutzzentrum.de/se :
Internet Explorer deinstallieren

"Nahezu alle Programme bringen heutzutage ihr eigenes Uninstall-Programm mit, ...
Ein Student aus Australien fand jedoch schnell heraus, dass es sehr wohl möglich ist, den Internet Explorer aus Windows zu entfernen. "98lite" ist der Name seiner Deinstallationshilfe. Das Tool läuft mit WIndows 98, 98SE sowie Windows ME. Eine Version für Windows 2000/XP ist inzwischen ebenfalls verfügbar."

Was hältst du von diesem Programm "XLite" heißt es und ist unter http://ww.litepc.com/xplite.html zu finden.

Übrigens: mein A.V. war durch den Firewall geblockt gewesen...ein Grund mehr, in diese Richtung zu gehen!?:!
Gruß,
R.D.

Ich halte von diesem Tool nicht sehr viel, da dies meist Systeminstabilität zur Folge hat, darum Finger weg.
Wenn der IE sicherer konfiguriert ist, immer aktuell gepatcht ist und du ihn nur noch für das Windows Update benutzt, dann sehe ich keinerlei Probleme.

Solltest du aber trotz alledem dein Vorhaben verwirklichen wollen, dann erstelle zuerst ein Image dein Sys Partition. Im Notfall kannst du dann wieder darauf zurückgreifen.