Trojaner-Board - Vieles unklar nach scan mit eScan

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Vieles unklar nach scan mit eScan (https://www.trojaner-board.de/16371-vieles-unklar-scan-escan.html)

Vieles unklar nach scan mit eScan

Hallo!
Ich habe meinen PC mit eScan gescannt. Es war nix schlimmes drauf (glaube ich zumindest), aber das Programm hat ziemlich oft diese MalWares gefunden:

AdWare Gator6041
AdWare Gator6043

Er hat sie zwar als not-a-virus eingestuft, aber es ist doch nicht normal, dass verschiedene Files mit sowas infiziert sind, oder? Wisst ihr vielleicht, woher das kommt?

Und diese 3 Meldungen verstehe ich auch nicht:

Offending value found in HKCU\Software\VB and VBA Program Settings !!!
System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action

Es kann zwar sein, dass ich echt blöde Fragen stelle, aber ich bin mir absolut sicher, dass was nicht stimmt. Vor ein paar Wochen habe ich 18000 Files gelöscht, die insgesamt 6GB in Anspruch genommen haben. Es waren .CPY -dateien, alle in C:\_Restore\Temp. Ich habe die Systemwiederherstellung deaktiviert und sie dann löschen können, aber jetzt erscheinen wieder welche. Sie sind völlig verschieden groß und haben ein Datum ab 1996 (wo es den PC ganz nebenbei noch gar nicht gab!). Wisst ihr, woher das kommen könnte?

@snowangel
Ich habe die Systemwiederherstellung deaktiviert und sie dann löschen können, aber jetzt erscheinen wieder welche.
wenn der systemwiederherstellung wieder aktiviert ist, wäre das ok

poste doch mal folgendes
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count

chaosman

Also das alles steht am Ende:

***** Scanning complete. *****

Total Objects Scanned: 103858
Total Virus(es) Found: 49
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Objects: 0
Total Errors: 9
Time Elapsed: 01:20:56
Virus Database Date: 2005/04/04
Virus Database Count: 124577

Scan Completed.

Ich kopier gleich noch die Ergebnisse hier rein...

@snowangel
Total Virus(es) Found: 49 :eek:

Ich kopier gleich noch die Ergebnisse hier rein... :(

chaosman

Sorry für die Verspätung, der Server hat mich nicht anmelden lassen :koch:

Also hier die ganzen Ergebnisse:

Code:

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
 

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\YDAZSJ27\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\OHWTE349\azesearch[1].cab infected by "not-a-virus:AdWare.ToolBar.Azesearch.b" Virus. Action Taken: No Action Taken.
 

File C:\_RESTORE\ARCHIVE\FS26.CAB infected by "not-a-virus:AdWare.Velozer.a" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\Temporary Internet Files\Content.IE5\YDAZSJ27\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\Temporary Internet Files\Content.IE5\OHWTE349\azesearch[1].cab infected by "not-a-virus:AdWare.ToolBar.Azesearch.b" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
 

File C:\Programme\NewDotNet\uninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
 

File D:\Programme\P2P\kazaa\PerfectNavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.
 

File D:\Programme\Spielprogramme\funprogs\Shooting Range.zip infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: No Action Taken.
 

File E:\Work_Nem_Ment\divx\RadLight3.exe infected by "not-a-virus:AdWare.SaveNow.e" Virus. Action Taken: No Action Taken.
 

System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
 

File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\YDAZSJ27\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
 

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\OHWTE349\azesearch[1].cab infected by "not-a-virus:AdWare.ToolBar.Azesearch.b" Virus. Action Taken: No Action Taken.
 

File C:\_RESTORE\ARCHIVE\FS26.CAB infected by "not-a-virus:AdWare.Velozer.a" Virus. Action Taken: No Action Taken.

Ist doch hoffentlich nix Schlimmes dabei, oder? :confused:

Deinstalliere über die Systemwiederherstellung falls vorhanden Newdotnet oder Newnet.
Solltest du danach nicht mehr ins Internet kommen repariere deinen Winsock mit lsp-fix:
http://www.cexx.org/lspfix.htm

Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung:

Lösche folgende Ordner:
C:\Programme\NewDotNet
C:\WINDOWS\NDNuninstall6_38.exe
C:\Programme\Gemeinsame Dateien\GMT
C:\Programme\Gemeinsame Dateien\CMEII
D:\Programme\P2P\kazaa\PerfectNavUninstall.exe
D:\Programme\Spielprogramme\funprogs\Shooting Range.zip
E:\Work_Nem_Ment\divx\RadLight3.exe
C:\WINDOWS\NDNuninstall6_38.exe

Lösche den Inhalt nicht den Ordner selbst von folgendem:
C:\WINDOWS\TEMPOR~1\CONTENT.IE5
Dazu
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Lösche dann noch den rest der temporären Internetdateien mittels Clearprog

Lass auch mal Spybot und Adaware drüberlaufen:

Spybot: http://www.safer-networking.org/de/spybotsd/index.html
Adaware: http://www.lavasoftusa.com/german/software/adaware/

Neu booten, Systemwiederherstellung wieder aktivieren.
Poste zur Nachkontrolle noch einen Log von Hijackthis:

www.hjt.klaffke.de

Ich habe alles so gemacht, wie ihr gesagt habt, es funktioniert immernoch alles :huepp:
Hier ist der Log von Hijackthis:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 14:03:01, on 13.04.2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

D:\PROGRAMME\SECURITY\AVAST\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

D:\PROGRAMME\SECURITY\ZONEALARM\ZLCLIENT.EXE

D:\PROGRAMME\SECURITY\AVAST\ASHWEBSV.EXE

C:\PROGRAMME\TYPOGRAF\TTFMAN.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

D:\PROGRAMME\SECURITY\HIJACKTHIS\HIJACKTHIS.EXE
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://klub.axelero.hu/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.index.hu"); (C:\Programme\Netscape\Users\T-Online\prefs.js)

O1 - Hosts: IP-Adresse Host-Name Ansprechpartner

O1 - Hosts: 160.120.4.87 sgi67 sgi67.msgi43 Hohentanner 9.12.99/Pla

O1 - Hosts: 160.120.4.91 sgi71 sgi71.msgi43 Hohentanner 9.12.99/Pla

O1 - Hosts: 160.120.4.220 sgi200 sgi200.msgi43 Hohentanner 9.12.99/Pla

O1 - Hosts: 134.188.60.116 HQVenloSQL02 MullerBen_19_7_99/ma #Produkt-Registration-System

O1 - Hosts: 160.120.53.163 PC053163 Drollmann_USA-verbindung21_01_98/fa

O1 - Hosts: 160.120.53.162 PC053162 Drollmann_USA-verbindung21_01_98/fa

O1 - Hosts: 160.120.53.161 PC053161 Drollmann_USA-verbindung21_01_98/fa

O1 - Hosts: 160.120.53.160 PC053160 Drollmann_USA-verbindung21_01_98/fa

O1 - Hosts: 160.120.53.159 PC053159 Drollmann_USA-verbindung21_01_98/fa

O1 - Hosts: 160.120.43.147 SCO-Sued SCO-REGION Sued/Leeb_21_03__97/JM

O1 - Hosts: 160.120.43.154 ODS_PC1 Andersen_02_04_97/reiss (unix)

O1 - Hosts: 160.120.43.155 ODS_PC1/2 Andersen_02_04_97/reiss (unix)

O1 - Hosts: 160.120.43.156 ODS_PC2 Andersen_02_04_97/reissx (unix)

O1 - Hosts: 160.120.43.132 ANGIE NT_Server FE33_Zietlow_15_7_98/ma

O1 - Hosts: 160.120.43.250 OPS_1 LotusNotes/Faehr

O1 - Hosts: 160.120.210.10 kaba FS01

O1 - Hosts: 160.120.53.92 fanfold1 HTTP(Puschmann)04_09_97/JM 8_9_97/ma

O1 - Hosts: 160.120.3.111 HAL dos111 Puschmann_Web_10_4_97/ma

O1 - Hosts: 192.76.167.38 bs1507 d150h007 RIAS_SERVER_Paderborn_fuer_PA-Abrechnung

O1 - Hosts: 192.35.17.12 horus www.mch.sni.de

O1 - Hosts: 219.255.10.57 D243H17 d243h17 Berlin_BS2000

O1 - Hosts: 160.120.12.129 dnc_NT_electronic/*w

O1 - Hosts: 160.120.2.19 mx300pld *unix/verknuepft

O1 - Hosts: 160.120.43.148 NotesOPSDE2 WeiglDaniela_25_3_97/ma

O1 - Hosts: 160.120.43.149 OPS_KOM_Poing MuellerKlaus_Reserve_25_3_97/ma

O1 - Hosts: 134.188.88.23 NotesOPSDE MuellerKlaus_27_8_97/Fa

O1 - Hosts: 160.120.53.248 aut96399 SIPLACE Leuthner-Seufert_1_10_98/ma

O1 - Hosts: 160.120.14.100 SSQ21 RETOPS/Friedrich_3_9_96_JM

O1 - Hosts: 192.76.167.34 D248H017 BS2000_paderborn_13_04_95/maier

O1 - Hosts: 192.76.167.35 D248H032 BS2000_paderborn_13_04_95/maier

O1 - Hosts: 195.214.1.3 GH3090Y0 Perle BS2000_fuerth_19_04_95/habeck

O1 - Hosts: 195.214.3.2 G120X035 ZEUS_Erlangen_Sinix_13_5_96/faehr

O1 - Hosts: 157.163.138.76 LUX09310 ZEUS_Erlangen_Sinix_11_1_99/ma(Hr.Klouda, Hr. Himpel) 4.12.00/Pla geaendert alt 195.214.3.10

O1 - Hosts: 160.120.66.20 OPS_MVS MVS_OPS_HLD_10_7_97/ma_(alt_23_5_96/Maier)

O1 - Hosts: 160.120.66.1 INFOMAN MVS_STHLD_7_10_96/faehr

O1 - Hosts: 190.1.2.9 B01H09 BS2000_HOST_08_02_95/Maier

O1 - Hosts: 147.204.2.5 SAPSERV3 OSS_Walldorf #19_4_96/Maier

O1 - Hosts: 129.103.104.19 isgr19

O1 - Hosts: 134.188.100.6 MVSPROD PIAS_Venlo_Fa_21_11_97

O1 - Hosts: 195.214.1.4 gh4090y0 dips,fuerth

O1 - Hosts: 149.202.8.139 F8R139 ISIS-Server Frankfurt

O1 - Hosts: 160.120.1.10 SPPH02 bs2vm spp01h01 #sonderwunsch_von_vm

O1 - Hosts: 160.120.1.11 bs211 dg245h24

O1 - Hosts: 160.120.1.12 bs212 f54h02

O1 - Hosts: 160.120.1.15 bs215 d245h001

O1 - Hosts: 160.120.1.16 bs216 d245h003

O1 - Hosts: 160.120.1.21 bs221 d245h002 # wird betreut von Weiss, Eberhart -4716

O1 - Hosts: 160.120.1.50 d245h010 bs210 BS200_Poing SR2000 7_4_99/ma

O1 - Hosts: 160.120.2.1 aalen mx301

O1 - Hosts: 160.120.2.12 oi402

O1 - Hosts: 160.120.2.17 oi403

O1 - Hosts: 160.120.2.18 oi404

O1 - Hosts: 160.120.2.13 oi406

O1 - Hosts: 160.120.2.32 oi409 RM600_720_1_7_96/Maier

O1 - Hosts: 160.120.2.25 oi410 unixhost_14_02_95/Maier

O1 - Hosts: 160.120.2.6 oi416 RM400_11_3_98/ma

O1 - Hosts: 160.120.2.8 oi417 RM600_SAP_T12

O1 - Hosts: 160.120.2.2 D245S001 aachen SINIX_05_04_95/maier

O1 - Hosts: 160.120.2.20 mozart

O1 - Hosts: 160.120.2.3 atlanta mx303

O1 - Hosts: 160.120.2.4 athen mx204

O1 - Hosts: 160.120.2.5 augsburg mx205

O1 - Hosts: 160.120.2.7 oi401

O1 - Hosts: 160.120.2.16 oi405

O1 - Hosts: 160.120.3.150 dos150

O1 - Hosts: 160.120.6.1 valid

O1 - Hosts: 160.120.7.1 vax1

O1 - Hosts: 160.120.8.2 hp2

O1 - Hosts: 160.120.8.3 hp3

O1 - Hosts: 160.120.9.1 bs5801

O1 - Hosts: 146.180.10.3 ztivax

O1 - Hosts: 129.103.100.41 hasr41

O1 - Hosts: 194.95.112.14 has14 Uni-Hannover

O1 - Hosts: 195.214.1.20 g120h020 G120H020 BASIS-Fuerth 27.3.96/reiss

O1 - Hosts: 139.23.33.67 daisy.mch.sbs.de #11_01_00/pla fuer Intranetanwendung Daisy

O1 - Hosts: 139.25.69.154 PGTF0091 #25_10_99/ma auf Wunsch von Hr. Stadler

O1 - Hosts: 139.25.176.128 M62558PP #12_1_98/ma auf Wunsch von Hr. Stadler

O1 - Hosts: 139.23.160.250 Lotus LOTUS

O1 - Hosts: 139.25.176.105 M60969PP LOGON

O1 - Hosts: 139.25.176.106 m61697pp potr0021 Oracle_Faehr_14.2.96

O1 - Hosts: 139.23.22.101 Z95H01

O1 - Hosts: 139.23.17.103 N77H03 d24h02 bs224 BS2-RSTRUK # 8.11.99_Brunnwieser/ma 20.11.99_Matyas/Pla

O1 - Hosts: 139.25.99.62 FB-MAIN

O1 - Hosts: 139.25.99.62 FB FB_MAIN TAKE_IT-Server

O1 - Hosts: 139.23.16.101 ze01 d246ze01

O1 - Hosts: 139.23.16.106 bs206 d246ze06

O1 - Hosts: 139.23.16.117 bs217 d246ze17

O1 - Hosts: 139.23.16.118 bs218 d246ze18

O1 - Hosts: 139.23.16.119 bs219 d246ze19

O1 - Hosts: 139.23.16.16 CONSULT Consult-data

O1 - Hosts: 139.23.16.16 ARISSERV

O1 - Hosts: 139.23.16.204 bs244 do4400 Basis,Muelheim

O1 - Hosts: 139.23.16.205 bs245 do4500

O1 - Hosts: 139.23.16.207 bs207 d020h007

O1 - Hosts: 139.23.16.241 D24H01

O1 - Hosts: 139.23.16.243 bs223 d24h03

O1 - Hosts: 139.23.18.101 N76H01 BS2000_Perlach_17_01_97/reiss

O1 - Hosts: 139.21.16.1 horus.mch.sni.de

O1 - Hosts: 139.23.9.218 POTR0073 RM400_fuer_SAP_V3x

O1 - Hosts: 150.141.0.131 D241ZE20 #auf Wunsch von Hr. Stadler, Server in Bruessel für Hr. Eberhart Weiss

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\JCCATCH.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FGIEBAR.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe

O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Security\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast! Web Scanner] D:\PROGRA~1\SECURITY\AVAST\ASHWEBSV.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TTFMan] c:\programme\typograf\ttfman.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [avast!] D:\Programme\Security\avast\ashServ.exe

O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_link.htm

O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/isan/default/popcaploader_v6.cab

Ach ja, und es kam noch diese Meldung:
"You have a particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item (and create a backup).
If You see the same IP adress in all the reported 01 items, consider deleting your Hosts file, which is located at C:\WINDOWS\hosts."

Was bedeutet das denn jetzt genau? :confused:

Was von denen soll ich denn löschen, und was bedeutet die Meldung, die ich bekommen habe? :schmoll:

Ich denke mal die 01 Einträge sind nicht gewollt.Wenn dem so ist, gehe wie folgt vor:

Alle 01er Einträge im abgesicherten Modus bei deaktivierter systemwiederherstellung fixxen.
Öffne mal die Host Datei mit dem Editor:
Die Datei sollte sich hier befinden:

c:\windows\system32\drivers\etc\hosts

Lösche den Text der dort steht und füge folgenden ein:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Neu booten, Systemwiedeherstellung anschalten, neuen Log posten

Also, ich habe jetzt alle 01 einträge gefixt, dann nochmal gescannt, und auch die neuen 01 einträge gefixt. Jetzt sieht der log so aus:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 16:24:23, on 18.04.2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\LEXBCES.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\LEXPPS.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

D:\PROGRAMME\SECURITY\HIJACKTHIS\HIJACKTHIS.EXE
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://klub.axelero.hu/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.index.hu"); (C:\Programme\Netscape\Users\T-Online\prefs.js)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\JCCATCH.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FGIEBAR.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe

O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Security\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast! Web Scanner] D:\PROGRA~1\SECURITY\AVAST\ASHWEBSV.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TTFMan] c:\programme\typograf\ttfman.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [avast!] D:\Programme\Security\avast\ashServ.exe

O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_link.htm

O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\HOMEPAGE&INTERNET\FLASHGET\FLASHGET.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/isan/default/popcaploader_v6.cab

Mein Host file hab ich auch geändert. Da stand dasselbe drin, nur in Englisch, aber ich habe den text von cronos trotzdem reinkopiert.

Ich habe auch escan nochmal durchlaufen lassen, und es kamen vollgende Infektionen raus:

Code:

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\2JMBMLYV\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

File C:\_RESTORE\TEMP\UNINST~2.0 infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\2JMBMLYV\install[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

File C:\Programme\WinDSL\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\t_online\EMAIL20\0069MDZK.FGH\EINGANG.DAT tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Programme\Installationsprogramme\installiert\DivXPro.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.

File D:\Programme\Spielprogramme\funprogs\Langeweile.exe tagged as not-a-virus:Joke.Win32.Buttons.a. No Action Taken.

File D:\Programme\Spielprogramme\funprogs\Langeweile.zip tagged as not-a-virus:Joke.Win32.Buttons.a. No Action Taken.

File E:\SICHERUNG\Tools\AOL60\INSTALL\HB\INSTSFA.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\SICHERUNG\Tools\AOL60\INSTALL\HB\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\SICHERUNG\Tools\AOL60\INSTALL\HB\REDIST\MSVBVM50.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\SICHERUNG\Tools\AOL60\INSTALL\AOL\Patches\Hilfe.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\SICHERUNG\Tools\AOL60\INSTALL\AOL\Patches\Instsfa.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\SICHERUNG\Tools\AOL60\INSTALL\AOL\Patches\RVS.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\Work\VIAGRA.EXE tagged as not-a-virus:Joke.Win32.Viagra. No Action Taken.

File E:\Work\WEBMOTO.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\Downloads\WinDSL\adsl.zip tagged as not-a-virus:NetTool.Sniffer.CDP.a. No Action Taken.

File E:\Work_Nem_Ment\divx\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\Work_Nem_Ment\divx\RadLight3.exe infected by "not-a-virus:AdWare.SaveNow.e" Virus. Action Taken: No Action Taken.

Was soll ich denn noch machen? :confused:

Was soll ich noch machen,damit mein PC clean wird? :confused:

@snowangel
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

lade spybot und Adaware
download
download
beide programme installieren, updaten, und in den abgesicherten modus laufen lassen(nacheinander) löschen was vorgeschlagen wird.

chaosman

@ snowangel

Wie immer bei ME schalten wir beim scannen im abgesichertenModus die Systemwiederherstellung ab ;)