Muss Trojaner entfernen, aber bloss wie???
 

Hallo liebe Leute, bin neu hier, und hoffe, Ihr könnt mir helfen:

Ich habe Spam- Trojaner leider in meinem System32 Ordner und kriege die Krise..

Laut Antivir, wodurch sie nicht gelöscht werden können, heissen sie:

- TR/StartPage.afj.2
- TR/Dldr.small.bsx
- W32/Nsag.B


Ihr müßt mir helfen meine Diplomarbeit ist auf dem Rechner und kann momentan nicht brennen.

Liebe Grüsse Sarah.

Dann schreibe sie halt neu:huepp:

Aber im Ernst, mit diesen Angaben kann Dir keiner helfen. Das ist zu dürftig. Poste ein HJT-Log. Halte Dich genau an die Anleitung und beachte die Hinweise in meiner Signatur:
http://www.trojaner-board.de/showthread.php?t=17493

Halte Dich daran, sonst kommt der böse Mod Gua und löscht Dir alles weg, auch Deine Diplomarbeit!!!!:huepp: :huepp:

@Gua
Ich finde es aber richtig, was Du tust:party:

So erstmal vielen Dank für Deine Hilfestellung, bestimmt immer ein und dasselbe leidige Thema, aber ich habe null Ahnung sobald etwas nicht stimmt, daher hoffe ich auch, dass ich alles richtig verstanden und ausgeführt habe, bin ein wenig nervös (wg. der Dipl. Arb):

So nun denn, hoffe alles zur Genüge erledigt zu haben:

Logfile of HijackThis v1.99.1
Scan saved at 22:16:07, on 04.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\System32\tp4mon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\s3hotkey.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hp6C97.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/020607ca0bf5af67bb23/netzip/RdxIE601_de.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAA96803-5EA7-4FFA-B9DE-708E8D541813}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Jetzt mal ganz im Ernst und ganz böse:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

So ein veraltetes System. Wo sind SP2 und die entsprechenden Updates:teufel1:

Mit so einem unsicheren System dann auch noch das:
C:\Programme\eMule\emule.exe

Da wundert es mich schon, dass der bisherige Stand Deiner Diplomarbeit noch nicht im WWW veröffentlich ist:mad:

Lade Dir die 14-Tage-Version, installiere sie und lasse das System komplett prüfen und bereinigen.
http://www.ewido.net/de/
Poste dann den Report.

Danach mache einen escan genau nach Anleitung und poste das mit der find.bat erzeugte Log.

http://www.trojaner-board.de/showthread.php?t=17492
In der Zwischenzeit, damit es Dir nichjt langweilig wird, installiere SP2 und update Dein System.

Hhhmm, ich verstehe Dich ja, aber es gibt Zeitgenossen, die haben halt einfach nur so ein Ding und sind nicht unbedingt mit den neusten Begebenheiten und Informationen ausgestattet, daher weiss ich auch nicht, was ein SP2 ist.

Aber ich informiere mich mal, das werde ich schon noch hinkriegen.
Escan habe ich hier schon irgendwo gefunden, mal sehen, bin jedenfalls dankbar, dass Ihr Euch auch den Laien annehmt.

Aber bislang, habe ich mit geöffnetem Antivir Guard nie Probleme gehabt ??!!

Und wundern sich, wenn das Konto leer oder der Staatsanwalt vor der Tür steht:teufel1:

So Ewido läuft grade durch, danach mache den Escan.

Wärst Du nett einem unwissendem Mädel, zumindest in dem Bereich, in der Zwischenzeit kurz schreiben, was Du mir als zuverlässige Schutzmaßnahmen für die Zukunft empfehlen könntest.

Wenigstens ist das hier : NameServer = 195.50.140.114 195.50.140.252
nicht die Ukraine,sondern Arcor.
*Spottmodus an*
Liebstes Sarahlein,ich danke dir vielmals dafür, daß ich sowas noch mal sehen durfte.........
*Spottmodus aus*
Über Start >alle Programme,befindet sich ein Eintrag links oben.Name :Windows Update.Wenn du darauf klickst werden dir deine fehlenden Update`s eingespielt.
Das kann aber eine lange Nacht werden............
Aber was tut man nicht alles für eine Diplomarbeit,gelle ?
Irrlicht

Euer unterschwelliger Sarkasmus ist bei mir an der falschen Stelle, weil ich nicht alles von dem versteh, ich bin bin zwar ein wenig blöd, aber ich werde mich in Zukunft bzw. morgen mit dem Thema befassen.
Aber meint Ihr nicht auch, dass 99% aller PC- Besitzer genauso unwissend sind wie ich.
Ist ja auch egal, gut zu erfahren, dass ich antike Schutzschilde benutze, somit hat sich ja der Aufwand schon mal gelohnt:


So hier Ewido Scan:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:09:54, 04.11.2005
+ Report-Checksumme: 85536060

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
C:\WINDOWS\system32\intell32.exe -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@e-2dj6wjlownd5aap.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@cz7.clickzs[2].txt -> Spyware.Cookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@e-2dj6wjkywnd5okq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@ilead.itrack[1].txt -> Spyware.Cookie.Itrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@e-2dj6wjkyqoczwhp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\++++\Cookies\++++@e-2dj6wjligkc5mfp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\wqke8if9.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup


::Report Ende

Lese Dir einfach mal diesen Thread (den ich hoffentlich erfolgeich-zumindest bis bis jetzt, weil man bei dieser Problematik nie sicher sein kann) durch:

http://www.trojaner-board.de/showthread.php?t=23152

Wie Windows geupdatet wird, hat irrlicht Dir ja gerade erzählt. Ich hoffe, Du hast DSL:dummguck:

Lesen,lesen und noch mehr lesen.
Für den Anfang würde ich das vorschlagen :http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
Ist eine sehr gute Einführung ins Thema,nicht zu technisch und ohne Fremdwörter.Manch mal ist der Text unterlegt,da mußt mit der Maus drüberfahren.
Irrlicht

:(
Sarkasmus liegt mir völlig fremd. Ich wollte Dir nur Gefahren aufzeigen. Ich bin jetzt zu dieser Zeit auch einfach zu faul, um nachzusehen. Es gibt solche Beispiele (wurden auch hier im Board gepostet), wo solche Sachen, wie ich beschrieben habe, vorgekommen sind.
Es geht einfach nur um Deine Sicherheit, nicht mehr und nicht weniger.
Was Du mit Deinem PC machst, ist mir eigentlich egal. Aber Du hast hier Anfragen gestellt. Ich glaube, sie wurden Dir ehrlich und kompetent, sowohl von mir als auch von Irrlicht beantwortet?

Hey so war es nicht gemeint, bin Euch sehr dankbar, daher habe ich es ja auch schon mehrfach geschrieben.

Beim Escan öffnet sich immer Ewido und bringt immer die gleiche Vireninformation, ohne, dass säubern etwas ausrichten könnte, das Fenster erscheint immer wieder und ich drück mir hier einen wunden Finger.

Escan ist auch durchgelaufen, jetzt muss ich mal sehen, was der im weiteren Verlauf von mir verlangt.

Wäre Euch dankbar, wenn Ihr am Ball bliebet Jungs, ohne Hilfe bin ich aufgeschmissen.

Wie es scheint hast du eScan nicht im abgesicherten Modus durchgeführt (ewido läuft im abges. Modus nicht im Hintergrund)! Lies die Anleitung nochmals komplett und aufmerksam durch.

Was sagt uns denn der Ewido Scan?

@Haui45:

Mist, da war etwas mit dem abgesicherten Modus..

Hmm wie ging das nochmal?
Ich weiss, ich bin nervig, aber bislang lief immer alles fehlerfrei, dann kümmert man sich halt nicht um die Feinheiten.

Wie gesagt, in der Anleitung ist alles bis ins kleinste Detail beschrieben. Dort findest du auch einen Link über den abgesicherten Modus.

Compi ausschalten
Neu starten ,dabei Taste F8 drücken,wenn Bild erscheint mit den 4 Pfeiltasten auf abgesicherten Modus gehen und Eingabe drücken.
Irrlicht
PS
Ganz unten auf der Seite mit Cidre`s EScan Anleitung (runterrollen) ist eine Druckversion (PDF Download).Die neben dran gelegt und schon läufts besser

Danke Jungs, kling mich mal eben aus zum absichern des Modus.
Hoffe wir "sehen" später noch, ansonsten morgen oder die Tage, je nachdem wann meine lieben Helfer wieder hier sind.

Hat irgendwie nicht so geklappt.
Escan Download ist keine ZIP Datei, sondern eine exe. namens awn2k3e.
Finde unter dem Rechtsklick keine Möglichkeit es in, das von mir zu erstellende Zielverzeichnis C:\Bases_X, zu transferieren.
Mache ich einen Doppelklick auf die exe, dann erfolgt das SetUp und anschliessend sofort ein Scan sämtlicher Dateien, aber ohne die Fenster, die unter der hiesigen Escan Anleitung zu finden sind.
Nach diesem Scan erfolgt eine Code Abfrage, was ich dann abbrechen muss.
Vielleicht habe ich was falsches bei Escan runtergeladen, habe mich für die Escan Windows Variante entschieden.

Puuh, mir raucht schon der Kopf, alles böhimsche Dörfer für mich.

Glaub ich nicht, aber gut hier der direkte Downloadlink ftp://ftp.microworldsystems.com/download/tools/mwav.exe

Lies die Anleitung, dort ist die Rede von einem (Ent-)Packprogramm namens WinRar. Alternativ geht z.B. auch 7zip.

Ach Mensch, lese doch mal die Anleitung richtig, sooooo blond kannst Du doch wirklich nicht sein.
http://www.trojaner-board.de/showthread.php?t=17492

Hat Cidre doch wirklich schön beschrieben:crazy:

und Haui hat sich mit der find.bat so viel Mühe gegeben. Enttäusche uns jetzt nicht. Sonst gibt es hier morgen Blondinenwitze ohne Ende.

Der Felix:teufel1:

[edit]
Haui, warst schneller. Hatte ich nicht gesehen, dass Du da warst. Schönes WE, ich mache jetzt Schluss.][/edit]

Ihr seid echt gut, wenn man die S chritte hinter sich hat, ist beim zweiten Ansatz leichter, aber ich finde z.B. jetzt nicht die mwav.log, zumindest nichts unter dem Namen.
Habe dafür im Editor MWAV die Scan Ergebnisse gefunden, habe unter infected gesucht und habe nun die entsprechenden Funde markiert und stelle sie unten rein, bin aber im Zweifel, ob es so richtig ist.


Escan Ergebnisse:

Sat Nov 05 10:38:10 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Nov 05 10:38:10 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Sat Nov 05 10:38:10 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Nov 05 10:38:12 2005 => Offending Key found: HKCU\Software\gnu !!!
Sat Nov 05 10:38:13 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sat Nov 05 10:38:15 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sat Nov 05 11:07:16 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Nov 05 11:13:07 2005 => Scanning Folder: C:\Programme\eScan\INFECTED\*.*
Sat Nov 05 11:13:16 2005 => Scanning File C:\Programme\eScan\infected.wav

Lade dir ewido (Trial-Version) herunter, installiere es und führe ein Update durch. Starte ewido -> "Scanner"-> Einstellungen-> Alle Haken setzen und bei "Was soll gescannt werden?" "Alle Dateien scannen" auswählen.

Lade die ClaerProg herunter.

Starte den PC im abgesicherten Modus und deinstalliere folgendes (falls vorhanden) über Systemsteuerung-> Software:
Security Toolbar

Lösche alle Temp-Files von Windows und vom IE mit Clearprog.

Fixe folgendes im abgesicherten Modus mit HijackThis:
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hp6C97.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll

Lösche mit Killbox (s. eScan-Anleitung):
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\hp4A09.tmp
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\intmon.exe
C:\Programme\Security Toolbar

Scanne mit ewido und speichere den Report.

Neustart.

Poste die eScan-Ergebnisse mit der Find.bat!
Poste die Ergebniss von ewido.
Poste ein neues HjT-Log.
Poste ein "Silent Runners"-Log.

Huhu Jungs, hier bin ich wieder ;-)

Kleine Frage ;-)

Was muss ich denn mit der ClearProg machen?
Habe mir die neueste ZIP Variante runtergeladen, aber wohin muss sie entpackt werden und was muss ich dann mit ClearProg anfangen?

Kommt in dem Beitrag von Haui nicht vor, so dass das kleine blonde Mädel mal wieder auf dem Schlauch steht ;-)))) :crazy:

Lade die Setup-Datei herunter (es handelt sich um eine Beta-Version, d.h. Fehler sind nicht ganz ausgeschlossen. Bei mir gibt's allerdings keine Probleme) -> Installieren-> Beim Internet Explorer alle Haken setzen und bei Windows zumindest alle Temp-Files löschen.

#Diese Datei C:\Windows\system\wininet.dll
Hier mal die datei überprüfen & Ergebnis posten
http://virusscan.jotti.org/de


Gruss
Expert

Guten morgen Jungs,

ich habe jetzt mal die ClearProg auf alle temps im IE und Windows angesetzt hat alles gelöscht.

Nur bei dem Dateiscan, der mir von Expert empfohlen wurde, findet mein System keine Datei "C:\Windows\system\wininet.dll".
Desweiteren konnte ich eh nichts abschicken, da eine Warnmeldung mir mitteilte, dass irgendetwas im Hintergrund laufen muss, wie z.B. eine Firewall.

Ich wechsel jetzt mal in den abgesicherten Modus und folge den weiteren Schritten der Anleitung:

im abgesicherten Modus:
- löschen von (falls vorhanden) Security Toolbar
- Fixierung mit Hjt
- Löschung von gg. Dateien mit Killbox
- Scannen mit Ewido und Reort speichern

im Normalmodus:
- Posten von Escan (find.bat)
- Posten von Ewido Report
- Posten von Hjt Log
- Posten von Silent Runners Log


Mal sehen, wo ich Porbleme kriege, vielleicht geht es ja aber auch mal drei Schritte ohne Eure Hilfe :bussi:

Führe bitte zunächst das aus und mach dann erst den Rest. Wahrscheinlich werden dann einige Einträge nicht mehr in HjT auftauchen.


BTW: Deine Diplomarbeit hast du schon irgendwie gesichert (USB-Stick, Diskette, etc.), oder? Wenn nicht, hole dies vor allen Arbeiten am Rechner nach!

:) Na klar Haui, danke Euch/ Dir für den Support...

Sorry die heißt nicht C:\Windows\system\wininet.dll sondern C:\Windows\system32\wininet.dll

Gruss
Expert

Hi Expert,

hm ja jetzt tut sich mehr als zuvor, es entsteht auf dem Prozentzähler oder wie des Dingen heisst ein grüner Bereich der aber nur bis auf 1/5 auf der Skala geht.
Dann erscheint da hochladen möglich, auch wenn ich auf abschicken drücke, mehr nicht. ????

Wird dann schon gescannt, steht ja es kann ein wenig dauern, aber es passiert nichts keine Rückmeldung oder der ladende Mauszeiger?
Mein Fehler oder alles nach Plan?

Auch wenn die smitrem-Datei die wininet.dll auch überprüft, hast du alles so gemacht?
Auf der Seite http://virusscan.jotti.org/de auf "Durchsuchen" klicken-> zur Datei navigieren und diese markieren-> auf "öffnen" klicken-> auf "Abschicken" klicken-> etwas warten-> das Ergebnis (etwas weiter unter auf der Seite) markieren und hier rein kopieren:
Sieht etwa so aus:

Habe natürlich nicht alles os gemacht, ist beim ersten Mal nicht immer einfach, doch beim zweiten Male hat man es verstanden:

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Ist ok so.

Bearbeite zuerst den Link von Haui45 & eine neue HJT Log posten

Gruss
Expert

Sorry Ihr Cracks, war ab heute mittag unabkömmlich, werde morgen früh weiter an meinen Trojanern arbeiten, für heute ist mein Pensum erreicht.

Danke Euch, bis dahin hoffentlich.
Gute Nacht.

Hier bin ich wieder mit immernoch dem alten Problem.
Wollte an der alten Stelle anfangen und habe die Smitrem Datei ausgeführt.
Der erste Systemcheck lief problemlos durch, auch wenn duzende Male ich las, Pfad konnte nicht gefunden werden, weiss nicht, ob das planmäßig ist.
Aber die nachfolgende DiskCleanUp Durchführung blieb aus.
Es öffnete sich zwar
die Festplattenbereinung für meine zweite Partition (? wieso auch immer E: und nicht C:???), aber die Berechung alter Dateien, zog sich bei stagnierendem Fortschritt über zwei Stunden.
Da ich auch keine Ladegeräusche vernahm und skeptisch war, ob dies überhaupt der erwartete DiskClearUp sei, schloss ich das Fenster und wechselte vom abgesicherten Modus in den Windowswnormalmodus.

Könnte mir jemand helfen?

@Sarahlein

Poste mal dein aktuelle HijackThis Log

Gruss
Expert

Logfile of HijackThis v1.99.1
Scan saved at 10:43:46, on 18.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\s3hotkey.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\*******\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/020607ca0bf5af67bb23/netzip/RdxIE601_de.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAA96803-5EA7-4FFA-B9DE-708E8D541813}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe


Konnte in der letzten Woche keine Zeit aufbringen, aber bin jetzt weniger im Stress und hoffe, dass ich es endlich beseitigt kriege. :heulen:

@Sarahlein

Kannst du uns mal einbißen dein Problem erklären?

Gruss
Expert

Na ich habe doch letzte Woche Eure Hilfe ersucht, um mich von Spyware/ Trojanern zu berfreien.
Die genaue VGorgehensweise steht hier im Beitrag, aber kurz gesagt, dass Du es nicht lesen musst:

Ich habe bis auf die Beseitigung sämtliche von Euch empfohlene Programme durchlaufen lassen: HJT, Ewido, Escan, Smitrem usw., aber bei der Virenbeseitigung bin ic irgendwann nicht weitergekommen und hatte keine Zeit mich weiter damit zu beschäftigen, daher ein paar Tage meine Abwesenheit vorort.

Was kannst Du denn aus dem HJT erkennen????

@Sarahlein

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

Gruss
Expert

SmitFraudFix v1.96

Rapport fait à 14:54:45,20 le 18.11.2005
Executé à partir de C:\Dokumente und Einstellungen\Godrik\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\*******\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\*******\Desktop


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Hoffe, ich habe es richtig gemacht.
Sag mal, was erkennt man denn aus der vorhin gesendeten HJT Liste.
Weil Du fragtest darauf, was ich für ein Problem hätte, dachte ich, man könnte anhand dieser nichts Verdächtiges erkennen.

LG Sarah :bussi:

Das hier macht ihn wohl stutzig.
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
Irrlicht

Verstehe ich nicht, kenn mich mit den Hyroglyphen nicht aus.

Was kann man denn jetzt ersehen aus den Listen?
Bekomme keine Warnungen mehr, habe aber auch nicht nochmal überprüft.

Was muss ich denn nun weiter tun?

Schnellstens das System auf den aktuellen Stand bringen. Aktuell ist SP2. Sicherheitsrelevante Updates fehlen auch.

Fahre den PC im abgesichtern Modus hoch (F8 beim Booten) hoch. Fixe mit HJT:
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

Lösche:
c:\eied_s7.cab

SP2 wollte ich schon updaten, aber habe keine lizenzierte Version, was kann ich da machen????

Und wie fixe ich mit HJT?

Entschuldigt, ich weiss, ich bin anstrengend....

Vielen Dank schon mal vorab...

Hallo Sarahlein,
halt durch jetzt,es ist nicht mehr weit......
SP2 kannst du bei Microsoft als CD bestellen.Ich bin nicht sicher ob ich hier sagen darf, wie du die anderen Updates aufspielen kannst,ohne gültige Lizens.
HJT fixen= Such in deinem Log den von Felix angegebenen Eintrag,markiere ihn,fix checked klicken.
Dann >start>Arbeitsplatz>lokaler Datenträger C,suche den von Felix angegebenen Eintrag und lösche die Datei.
Irrlicht

Hi Jungs,

habe jetzt die Datei gefixed, konnte sie nachher nicht mehr mit HJT ausfindig machen, aber habe sie auch nicht mehr unter C: mit der Suchfunktion gefunden.
Spybot hatte sich mehrmals eingeschaltet und gesagt, dass ich am Registrierungs- dingsbums was ändern wolle, und es nicht erlaubt sei.
Komisch, damit konnte ich nichts anfangen.

Hatte aber heute vorher nochmals mit Escan einen Check gemacht, hat vier Virentreffer angezeigt und 49 Fehler, war aber vor dem Löschen der Datei.

Ewido ist heute abgelaufen :-(

Wie muss ich weiterfortfahren?

Wünsche Euch einen schönen Abend, Ihr hiflsbereiten Männer :party:

Hallo Sarahlein,
Die zu löschende Datei muß aber da sein.Laß alle Dateien anzeigen so wie hier beschrieben :
http://www.trojaner-board.de/showpost.php?p=101748&postcount=8
Dann suchst du nochmal nach der Datei.
Zu Spybot S&D:über >Werkzeuge>Resident die beiden Haken rausnehmen.Dann meckert S&D nicht mehr.
Irrlicht

Hmmm will mal wieder nicht so der PC, wie er soll...

Habe die Datei wirklich nicht gefunden, habe die Ordnereinstellungen geändert, aber über "Suche" nicht die Datei gefunden.

Stelle jetzt noch mal ein HJT File rein, vielleicht erkennt man ja was, und dann wiederhole ich es nochmals.

Die Häkchen bei Spybot habe ich nicht gefunden, wo sollen die denn sein ??

Hallo Sarahlein,
wenn du Spybot S&D startest,sollte unten links,stehen "Einstellungen" und "Werkzeuge".Du gehst über Werkzeuge und klickst >Resident,die darauf erscheinende Seite hat zwei Einstellungen bzw.zwei Haken,die machst du raus.
Irrlicht

Negativ Irrlicht, kann bei Spybot keine Einstellungen finden !!??

Hier erstmal die HJT File, vielleicht hilft das ja schon mal weiter.



Logfile of HijackThis v1.99.1
Scan saved at 14:35:46, on 21.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\s3hotkey.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\********\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/020607ca0bf5af67bb23/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAA96803-5EA7-4FFA-B9DE-708E8D541813}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe

Hey Ihr könnt mich doch jetzt nicht hängen loassen, Ihr ward bis jetzt so gut Männer, ist doch nicht mehr weit laut Irrlicht :bussi:

Hallo Sarahlein,

hast SP2 installiert? Hast Du den Teatimer wie "irrlicht" beschrieben hat deaktiviert?
Dein Logfile sieht IMHO unauffällig aus.

dartus

Hallo,
kann mal jemand nachschauen wo die IP hingehört ?
Ich finde den Link zum Nachsehen nicht.
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAA96803-5EA7-4FFA-B9DE-708E8D541813}: NameServer = 195.50.140.114 195.50.140.252
Irrlicht

Habe mir die Setup Datei zu SP2 runtergeladen, muss ich jetzt auf CD brennen, aber was dann??
Wie aktiviere ich es denn?

Mit meinen Viren bin ich total überfordert, irgendwie sind da vier, die einfach nicht zu löschen sind... :-(

Deine Frage habe nicht gut verstanden,diese IP Adresse ist von Arcor

Gruss
Expert