coolwebsearch
 

Hallo Leute,

ich habe euch über GOOGLE gefunden und ich habe ein riesen Problem.
Ich habe schon verschiedene Foren durchforstet, u.a. auch Beiträge geschrieben und leider hab ich wenig Ahnung von Viren, da ich gottseidank noch nie damit zu tun hatte.

Ich brauche ein Virenprogramm, ja das weiss ich, aber ich kann kein Englisch, bzw. nicht ausreichend um mit den meisten Programmen klar zu kommen und ich habe leider zu wenig Ahnung wie ich heute feststellen musste um etwas passendes zu finden.

Ich besitze ein Laptop mit Windows XP und gehe über den Internetexplorer ins Netz, ausserdem habe ich die Windowseigene Firewall, welche auch aktiv ist.

Also hier mein Problem:

Seit FR habe ich einen Virus, Trojaner, Spyware und noch einiges anderes.
Angefangen hat alles, dass ich auf einmal ein Programm namens ms.exe auf meinem PC fand, was am 13.01. installiert worden sein soll.Ich habe aber ein solches Programm nicht installiert. Ich habe es gelöscht, da es sich weder öffnen lies noch sonstiges.
Als ich dann ins Internet ging, hatte ich keine Startseite mehr und es stand in der Leiste about:blank.
Leider war es nicht blank, denn ich hatte eine Anzeige:Cool WEB Search.
ich konnte keine andere startseite einfügen, dieses habe ich bestimmt zwanzig mal versucht.
Also machte ich mich auf die Suche über Google, leider dauerte es ewig bis sich die seiten aufbauten und ich habe mich bisher soweit informiert, dass es wohl spyware ist, welche sich nicht leicht entfernen lässt, den PC langsamer macht und einiges mehr.
Ich habe danach Ad-aware drüber laufen lassen. Diese fand CWS und clicksearch als böse einträge.
Ich löschte sie über den button von ad-aware.
Leider tauchten sie beim erneuten scan wieder auf, ich löschte sie zum zweiten mal.
damit war das problem nicht behoben, auch nicht nach dem neustart.
Ich habe foren durchforstet und habe Hijack drüberlaufen lassen.Leider auch auf englisch....
Dann Panda, aber das hat sich immer wieder aufgehängt, XSOFTSPY, hat mir zwar schön alles aufgelistet aber dann kam: bitte registrieren sie sich für nur 29, 95€.
:koch: es hat 33 minuten gedauert und dann das, obwohl free drinstand!!!
So, alles was ihr an INFOS braucht bitte sagen, ich werde mich darum bemühen es zu beschaffen.
Hier ein LOG, welches ich hoffe, dass einer was damit anfangen kann:


Logfile of HijackThis v1.99.1
Gut Zeigt die Version von HijackThis an. Neuste Version: v1.99.1!
Ihre Version sollte aktuell sein. (v1.99.1)
Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Gut Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2900.2180!
Ihre Version sollte aktuell sein. (6.00.2900.2180)
C:\WINDOWS\System32\smss.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\winlogon.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\services.exe
Gut Laufender Prozess. (services.exe)
Systemprozess - Verwaltet die Systemdienste.


C:\WINDOWS\system32\lsass.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\Ati2evxx.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.


C:\WINDOWS\System32\svchost.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\system32\spoolsv.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\sdkjo32.exe
Unbekannt Laufender Prozess. (sdkjo32.exe)

Dies ist ein unbekannter Prozess.

C:\WINDOWS\system32\Ati2evxx.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\Explorer.EXE
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\WINDOWS\SOUNDMAN.EXE
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
Gut Laufender Prozess. (SynTPLpr.exe)



C:\Programme\Synaptics\SynTP\SynTPEnh.exe
Gut Laufender Prozess. (SynTPEnh.exe)



C:\Programme\Launch Manager\LaunchAp.exe
Gut Laufender Prozess. (LaunchAp.exe)
Acer Launch Manager


C:\Programme\Launch Manager\HotkeyApp.exe
Gut Laufender Prozess. (HotkeyApp.exe)
Acer Launch Manager


C:\Programme\Launch Manager\OSD.exe
Gut Laufender Prozess. (OSD.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\program\netropa\onscreen display\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\Launch Manager\Wbutton.exe
Gut Laufender Prozess. (Wbutton.exe)
Wireless Button


C:\Programme\Home Cinema\PowerCinema\PCMService.exe
Gut Laufender Prozess. (PCMService.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\dell\media experience\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\WINDOWS\system32\rundll32.exe
Gut Laufender Prozess. (rundll32.exe)
RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.


C:\Programme\MSN Messenger\MsgPlus.exe
Gut Laufender Prozess. (MsgPlus.exe)
Messenger Plus

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\messengerplus! 3\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
Gut Laufender Prozess. (atitray.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\ray adams\ati tray tools\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\eMule\emule.exe
Gut Laufender Prozess. (emule.exe)
eMule filesharing

Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\emule0.46c\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\WINDOWS\system32\crex.exe
Unbekannt Laufender Prozess. (crex.exe)

Dies ist ein unbekannter Prozess.

C:\WINDOWS\System32\svchost.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\Programme\Internet Explorer\iexplore.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\kavss.exe
Gut Laufender Prozess. (kavss.exe)


Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\bases_x\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\Programme\Internet Explorer\iexplore.exe
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
C:\Programme\WinRAR\WinRAR.exe
Gut Laufender Prozess. (WinRAR.exe)
WinRar Packer


C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\Rar$EX04.793\HijackThis.exe
Gut Laufender Prozess. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
Gut Diese Seite wurde als Gut identifiziert!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R3 - Default URLSearchHook is missing
Böse Dieser Eintrag wurde von unseren Besuchern als böse eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
O2 - BHO: Class - {346A3F48-1536-DD4B-2EE6-069E340D4822} - C:\WINDOWS\apigh32.dll
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([346A3F48-1536-DD4B-2EE6-069E340D4822] - Treffer: 346A3F48-1536-DD4B-2EE6-069E340D4822) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!
O2 - BHO: Class - {5376C008-43E9-B01E-C70A-C935910F0FD2} - C:\WINDOWS\d3xv32.dll
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([5376C008-43E9-B01E-C70A-C935910F0FD2] - Treffer: 5376C008-43E9-B01E-C70A-C935910F0FD2) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
Gut Synaptics touchpad driver helper. Required for touchpad features to work
Trefferquote: 82 % (Resultate)

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
Gut
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
Gut Part of Acer Launch Manager - programmable keys on such laptops as the TravelMate 610
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
Gut Acer Launch Manager
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
Gut
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
Gut OnScreenDisplay
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
Gut Wireless Button
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
Gut In a Dell\Media Experience sub-directory
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
Gut Conzeptronic-USB-Dongle
Trefferquote: 99 % (Resultate)

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
Gut Control panel for the ATI series of video cards allowing access to such features as display resolution, colour depth, etc. Available via Start -> Settings -> Control Panel -> Display. Some users may need it if they have optimised their settings
Trefferquote: 94 % (Resultate)

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
Gut Third party MSN Messenger extension that hides banner ads and adds archiving and other useful features. Appears not to work unless checked, but may be activated after startup. Not recommended as it includes Lop.com - see here
Trefferquote: 72 % (Resultate)
Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Gabis Babe\Startmenü\Programme\Autostart\ms.exe" /m
Unbekannt
Trefferquote: 9 % (Resultate)
Nicht bekanntes Programm.
O4 - HKLM\..\Run: [atlkf.exe] C:\WINDOWS\system32\atlkf.exe
Eventuell Böse
Trefferquote: 6 % (Resultate)
Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\Run: [javapm32.exe] C:\WINDOWS\system32\javapm32.exe
Eventuell Böse
Trefferquote: 5 % (Resultate)
Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKLM\..\Run: [crex.exe] C:\WINDOWS\system32\crex.exe
Eventuell Böse
Trefferquote: 7 % (Resultate)
Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
Gut ATI Tray Tool - allows quick access to ATI graphics card settings
Trefferquote: 83 % (Resultate)
Nicht gefährlich aber unnötig.
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Gut Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt.
Wenn der Eintrag 'Nach Microsoft &Excel exportieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
Unnötig Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Get More Games ' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
Unnötig Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Get More Games ' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Gut Der Eintrag Recherchieren wurde als Gut erkannt.
Wenn der Eintrag 'Recherchieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
Unnötig Der Eintrag Messenger wurde als Gut erkannt.
Wenn der Eintrag 'Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
Unnötig Der Eintrag Windows Messenger wurde als Gut erkannt.
Wenn der Eintrag 'Windows Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
Gut Dieser Eintrag wurde als Gut identifiziert!

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
Gut Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Die Eingegebene IP oder Domäne '192.168.178.1' wurde als gut identifiziert.
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Dieser Dienst (Ati2evxx.exe) wurde als gut identifiziert.
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Dieser Dienst (ati2sgag.exe) wurde als gut identifiziert.
O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Gabis Babe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUZ41AB\SFUninstaller[1].exe" service (file missing)
Unnötig Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Unbekannter Dienst. (SFUninstaller[1].exe" service (file missing))
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

Was soll ich tun?

Bitte helft mir!!

LG Light

Ich habe gerade gesehen, dass in diesem Log auch noch der ms.exe vorkommt, laut log im autostart, aber in meinem autostart steht (leer), wie kann ich diese anwendung finden??

Denn ich habe sie ja bereits gelöscht, permanent!! Nicht nur im Papierkorb, hm????

LG Light

Ich schon wieder, so ich habe jetzt HITVIRUS laufen lassen, das hat mir meine Firewall empfohlen.
Nach erstem Scan folgendes:

Logfile ofHit Virus v158
Scan saved at 05:07:15, on 15.1.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180

[Spyware] [Cookie] [adblock.com] [Spyware cookie - adblock.com]
[Spyware] [Cookie] [cashtoolbar.com] [Spyware cookie - cashtoolbar.com]
[Spyware] [Cookie] [hitexchange.net] [Spyware cookie - hitexchange.net]
[Spyware] [Cookie] [abcsearch.com] [Spyware cookie - abcsearch.com]
[Spyware] [Cookie] [abcsearch.com] [Spyware cookie - abcsearch.com]
[Spyware] [Cookie] [abcsearch.com] [Spyware cookie - abcsearch.com]
[Spyware] [Cookie] [as1.falkag.de] [Spyware cookie - falkag.de]
[Spyware] [Cookie] [clickbank.net] [Spyware cookie - clickbank.net]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [counter.hitslink.com] [Spyware cookie - hitslink.com]
[Spyware] [Cookie] [mediaplex.com] [Spyware cookie - mediaplex.com]
[Spyware] [Cookie] [www.adminder.com] [Spyware cookie - adminder.com]
[Spyware] [Cookie] [www.adminder.com] [Spyware cookie - adminder.com]
[Spyware] [Run HKLM] [javapm32.exe] [C:\WINDOWS\system32\javapm32.exe]

Dann hab ich da REMOVE nicht geht unter PRIVACY alles gelöscht, password, typed adresses, history and cookies of search assistant, recent documents, run history, wallpapers changed history, people history, streams history und noch vieles mehr, eben alles was man clearen konnt.
Neues Screenen ergab das:

Logfile ofHit Virus v158
Scan saved at 05:11:56, on 15.1.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180

[Spyware] [Run HKLM] [javapm32.exe] [C:\WINDOWS\system32\javapm32.exe]

Was ich toll finde: Spyware Doctor iss deutsch, freude, freude!!
Sobald der fertig ist poste ich euch noch das LOG, dann sollte ich doch einige Infos geliefert haben, dass ihr vielleicht nicht allzuviel durchforsten müsst, oder?

LG Light

PS: entschuldigt, dass ich so oft hintereinander poste, aber ich will soviele Infos wie möglich liefern!
edit:
So, jetzt noch das Log aus Spyware Doctor:

Erstellt am 15.1.2006 03:47:59 Spyware Doctor-Homepage PC Tools Homepage Technische Unterst?


Suchen (grunds?liche Information):

Suchergebnisse:
Suche starten: 15.1.2006 03:48:20
suche anhalten: 15.1.2006 03:57:47
durchsuchte Objekte: 68870
gefundene Objekte: 118
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts file scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Name der Infizierung Standort Risiko
CWS.Home Search Assistant C:\WINDOWS\apigh32.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\d3xv32.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\crex.exe Hoch
CWS.Home Search Assistant multiple Hoch
CWS.Home Search Assistant HKLM\Software\Microsoft\Windows\CurrentVersion\Run##crex.exe Hoch
Common Components for About Blank HKCU\Software\Microsoft\Internet Explorer\Main##HomeOldSP Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##UninstallString Hoch
HotBar HKLM\SOFTWARE\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools## Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools## Niedrig
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Default_Search_URL Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Page Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Bar Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
Advertising C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@www.adwarereport[2].txt Niedrig
Advertising C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@www.adminder[2].txt Niedrig
Advertising C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@mediaplex[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\Gabis Babe\Cookies\gabis babe@counter.hitslink[2].txt Mittel
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\1.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\2.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\3.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\4.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\15.tmp.exe Hoch
Carpe Diem C:\WINDOWS\Temp\MT Hoch
Carpe Diem C:\WINDOWS\Temp\MT\Oversexe_fellations[1].exe Hoch
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\addss32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apifz.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apimc.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apimq32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apise.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\apitu32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\appwt32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\atlio.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\atljr32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\atlvk32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crdt32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crel.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crmg.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\crnd.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\d3ef.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\ieba.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\ipha32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\ipvg32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\javaey32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\javayz.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\msaj32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\mski.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\netkn32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\sdkjo32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\sdkpq.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\sysde32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\addga.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\addoe.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\apilx32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\apivi32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\apiyb32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appcp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appig32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appoa.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\appsc32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\atlez32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\atlmz32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\atltu.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\bwztt.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\crjh.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\crvi.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\d3qk.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\iehp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\ieub.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\javajt.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\javakw32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\javasl.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\mfcka32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\msrq.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\mszt32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkan.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkcc.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkcx.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdkjb.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sdksp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\sysew.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\systp32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\vspky.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\sysvx32.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\winip.exe Hoch
CWS C:\WINDOWS\wvnob.log Hoch

Suchergebnisse:
Suche starten: 15.1.2006 05:13:35
suche anhalten: 15.1.2006 05:21:47
durchsuchte Objekte: 56362
gefundene Objekte: 58
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts file scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Name der Infizierung Standort Risiko
CWS.Home Search Assistant C:\WINDOWS\apigh32.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\d3xv32.dll Hoch
CWS.Home Search Assistant multiple Hoch
CWS.Home Search Assistant crex.exe (C:\WINDOWS\system32\crex.exe) Hoch
CWS.Home Search Assistant sdkjo32.exe (C:\WINDOWS\sdkjo32.exe) Hoch
Common Components for About Blank HKCU\Software\Microsoft\Internet Explorer\Main##HomeOldSP Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE##UninstallString Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW## Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##DisplayName Hoch
CWS.Home Search Assistant HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW##UninstallString Hoch
HotBar HKLM\SOFTWARE\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools## Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools Niedrig
HotBar HKLM\SOFTWARE\HbTools\HbTools## Niedrig
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main | Search Page Hoch
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main | Search Bar Hoch
Common Components for About Blank HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Default_Search_URL Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Page Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main | Search Bar Hoch
Common Components for About Blank HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Search | SearchAssistant Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{0563B482-75E7-B1F0-452E-D68C130F05D2}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{16FA6A74-B568-81A0-3C25-850B4CCE1F3C}\LocalServer32 Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKCR\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC} Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\Data Hoch
CWS.Home Search Assistant HKLM\Software\Classes\CLSID\{A44BEFF1-6B2B-8A22-B537-7CE8A9B61BAC}\LocalServer Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\1.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\2.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\3.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\4.tmp.exe Hoch
AdProtector C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\15.tmp.exe Hoch
Carpe Diem C:\WINDOWS\Temp\MT Hoch
Carpe Diem C:\WINDOWS\Temp\MT\Oversexe_fellations[1].exe Hoch
Trojan.Gaslide.B C:\WINDOWS\$NtServicePackUninstall$\notepad.exe Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\bwztt.dll Hoch
CWS.Home Search Assistant C:\WINDOWS\system32\vspky.dll Hoch
CWS C:\WINDOWS\wvnob.log Hoch

Ich hoffe damit kann jmd mehr anfangen als ich!

Hi,

poste mal ein komplettes Hijackthis logfile.

Dann mach einen eScan, Anleitung hier.

Lösche die gefundenen Dateien manuell.

Sollten Probleme mit der Internet-Verbindung auftreten, benutze dieses Tool:

Link : LSP reparieren

Gruß

Schrulli

hier eben erstelltes Log, da ich verschiedene Programme schon hab laufen lassen hab ich ein neues gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 05:50:12, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\crex.exe
C:\WINDOWS\sdkjo32.exe
C:\Programme\HitVirus\HitVirus.exe
C:\WINDOWS\explorer.exe
C:\Programme\PC Tools AntiVirus\PCTAV.exe
C:\Programme\PC Tools AntiVirus\ScanningProcess.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GABISB~1\LOKALE~1\Temp\Rar$EX06.871\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {346A3F48-1536-DD4B-2EE6-069E340D4822} - C:\WINDOWS\apigh32.dll
O2 - BHO: Class - {5376C008-43E9-B01E-C70A-C935910F0FD2} - C:\WINDOWS\d3xv32.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Gabis Babe\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [atlkf.exe] C:\WINDOWS\system32\atlkf.exe
O4 - HKLM\..\Run: [javapm32.exe] C:\WINDOWS\system32\javapm32.exe
O4 - HKLM\..\Run: [PCTAVApp] "C:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-0CR3B.exe" /REG
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Hit Virus] C:\Programme\HitVirus\HitVirus.exe
O4 - HKCU\..\Run: [Hit Virus Monitor] C:\Programme\HitVirus\HitVirus_monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Gabis Babe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUZ41AB\SFUninstaller[1].exe" service (file missing)

Hallo,

fixe unbedingt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vspky.dll/sp.html#53142%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {346A3F48-1536-DD4B-2EE6-069E340D4822} - C:\WINDOWS\apigh32.dll

O2 - BHO: Class - {5376C008-43E9-B01E-C70A-C935910F0FD2} - C:\WINDOWS\d3xv32.dll

Lade Dir Killbox und lösche folgende Dateien on Reboot:

C:\WINDOWS\system32\crex.exe

C:\WINDOWS\sdkjo32.exe

C:\WINDOWS\system32\vspky.dll

C:\WINDOWS\apigh32.dll

C:\WINDOWS\d3xv32.dll

Wenn Du folgende Einträge nicht kennst auch unbedingt fixen:

O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Gabis Babe\Startmenü\Programme\Autostart\ms.exe" /m

O4 - HKLM\..\Run: [atlkf.exe] C:\WINDOWS\system32\atlkf.exe

C:\Programme\HitVirus\HitVirus.exe

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-0CR3B.exe" /REG

O4 - HKCU\..\Run: [Hit Virus] C:\Programme\HitVirus\HitVirus.exe

O4 - HKCU\..\Run: [Hit Virus Monitor] C:\Programme\HitVirus\HitVirus_monitor.exe

O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O23 - Service: SmartFinder Uninstall (SmartFinder_Uninstall) - Unknown owner - C:\Dokumente und Einstellungen\Gabis Babe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUZ41AB\SFUninstaller[1].exe" service (file missing)

Dann dann die Dateien bei Jotti prüfen und ggf. mittels Killbox löschen.

Diese Datei ebenfalls bei Jotti prüfen und ggf. löschen

C:\WINDOWS\system32\javapm32.exe

Dannach noch mal ein HJT Logfile.

Gruß

Schrulli

Hallo,

Killbox runtergeladen, du wolltest auch noch eine MWAV oder sowas, gell? Ich hab eine, aber leider kann ich sie nich posten, da mein Internet mittlerweile so langsam iss, dass es sich bei einer so grossen datei aufhängt.
Von welchem Programm war das? eScan? das muss ich nochmal suchen, denn ich glaub das war nur im Temporary File Ordner, kannst du mir nochmal adresse geben, bitte?
ich hab mich bei denen reg, daran erinnere ich mich noch, ich weiss aber leider nimmer wo ich es hin hab, wenn ich den ganzen namen hab, kann ich es suchen...
Sorry wegen meiner zerstreutheit aber ich mach jetzt seit 14!!!!!STD rum um das Prob in den Griff zu kriegen!
Auch müsstest du mir nochmal sagen, wie ich was wegbekomme mit Hijack...

Danke dass du mir so schnell hilfst!

LG Light

Hallo nochmal,

ich hab mir HITVIRUS als Schutz runtergeladen, macht seine arbeit nicht schlecht!
Also das brauch ich nich löschen!
ms.exe war die datei aus meinem ersten beitrag, ich weiss nich wo ie herkommt, ich habe sie gelöscht, im autostart findet er sie nimmer, wo soll ich also suchen, denn offensichtlich ist sie noch da!

Nächste Frage, wie kann ich fixen??

Gruß Light

Bei der Datei, welche ich bei Jotti hochlanden sollt, kam diese Meldung:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file!

Das bedeutet was?

Hilfe, jetzt nachdem ich eScan geladen habe komm ich nur noch über eine andere Oberfläche überhaupt rein, denn meine hängt sich jedesmal auf und der PC startet neu....
immer und immer wieder..

kommt blaue maske: Es wurde ein Problem festgestellt....
leider kann ich den Rest nicht lesen, da es dann sofort verschwindet...

beim neuen scan, den ich machen sollt hat sich das Programm auf einmal aufgehängt und dann passierte das!!!!!
Wie komm ich wieder auf meine Oberfläche, und vorallem, ich dacht ich soll das Programm downloaden und dann scan machen, dann fixen...soweit kam ich gar nich erst...wie gesagt, es hängte sich beim scan auf....hat das damit zu tun, dass ich die deutsche version runtergeladen hab? wie ihr wisst kann ich nich genügend englisch, da bat sich das deutsche an.....

hab nur gesehen, dass das Program von sich aus gleich 107 dateien mit dem Wort trojaner darin gelöscht hat!!!

was mach ich jetzt? bitte um hilfe!!

Neues Log :

Logfile of HijackThis v1.99.1
Scan saved at 07:55:28, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sdkxe32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\PROGRA~1\SPYWAR~2\TRAYSSER.EXE
C:\Programme\Launch Manager\HotkeyApp.exe
C:\PROGRA~1\SPYWAR~2\avpm.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\WINDOWS\System32\locator.exe
C:\PROGRA~1\SPYWAR~2\MAILDISP.EXE
C:\PROGRA~1\SPYWAR~2\AVPMWrap.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\SPYWAR~2\MAILSCAN.EXE
C:\PROGRA~1\SPYWAR~2\SPOOLER.EXE
C:\PROGRA~1\SPYWAR~2\kavss.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SPYWAR~2\AvpM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\Programme\Spywarekiller\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Class - {7B4CB4A8-D1EF-22A5-DC8A-5D41F0137145} - C:\WINDOWS\nettx.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\Spywarekiller\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\SPYWAR~2\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [nettx.exe] C:\WINDOWS\nettx.exe
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\SPYWAR~2\AVPMWrap.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [addvn32.exe] C:\WINDOWS\system32\addvn32.exe
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkxe32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\SPYWAR~2\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\SPYWAR~2\avpm.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Ich hoffe das Problem findet sich, habe neue oberfläche gemacht und hol alles rüber, mal schaun ob das klappt!!!
Ich komm einfach nimmer auf meine andere!!!Ich versteh es nich...:heulen:

nun geht das neue profil auch nicht mehr...was soll ich bloss tun?
wie komm ich in den abgesicherten modus?vielleicht geht es da!!! bitte hilfeeeee

Hallo Light,
Bei einem Systemneustart mit der Funktionstaste "F8".
Und noch'n Tip: Schmeiß die Nerven nicht weg und bleib cool, du kannst sowieso damit nichts besser machen, eher schlechter. ;)
Ich hab bei meiner Verseuchung damals beinahe 14 Tage an dem System rumgemacht, die letzte Woche täglich zig Scans usw., um wieder sicher sein zu können...

Gruß

Kurt

Hallo,

so gut aber auch nicht, denn Dein System ist immer noch voll mit Schadsoftware.

eScan findest Du in diesem Post.

Du meinst, dass DU nur noch über einen anderen Benutzeraccount reinkommst?

NEIN, eScan löscht in der Freeversion nicht mehr! Diese Dateien, Einträge musst Du manuell löschen.

Nein, es ist eine Multilanguage Software, heißt es sind mehrere Sprachversionen in der Datei enthalten.

Jetzt zu Deinem neuen Log:

Prüfe folgende Datei bei Jotti

C:\WINDOWS\sdkxe32.exe

Wenn verseucht, die Datei löschen und das hier fixen:

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkxe32.exe

Fixe unbedingt mittels HJT:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qbxfp.dll/sp.html#53142%resultposition.net

O2 - BHO: Class - {7B4CB4A8-D1EF-22A5-DC8A-5D41F0137145} - C:\WINDOWS\nettx.dll

O4 - HKLM\..\Run: [nettx.exe] C:\WINDOWS\nettx.exe

O4 - HKLM\..\Run: [addvn32.exe] C:\WINDOWS\system32\addvn32.exe

Wenn Du die folgenden Einträge nicht kennst, willst, fixen:

O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)

Ich frag mich immer wieder, warum man dann nicht einfach ein vernüftiges Backup der Eigenen Dateien macht um dann frisch aufzusetzten? Das dauert meist nicht länger als 2 - 5 Stunden, wenn man komplett macht. Bei Deinem System bald zu raten.

Bist Du nicht!:teufel3:
Wenn Dein System wirklich soo verseucht war, kannst Du Dir dessen nicht sicher sein.

@Light: Poste bitte dannach noch mal ein HJT

Gruß

Schrulli

Hallo Schrulli,
ja jedesmal wenn ich auf mein Profil klicke nach dem Start, dann lädt er hoch und kurz bevor er alles ganz aufgebaut hat kommt eine blaue Seite!
Da sie leider immer gleich verschwindet und der PC neu startet konnte ich nur Bruchstücke lesen, z.b:

Es wurde ein Problem festgestellt, der PC wird neu gestartet...
bei Installation eScan....
Updates falsch....
Bitte überprüfen sie....

blabla, aber ich kann es nicht lesen, es geht sofort weg....
Ich verzweifle fast...
Ich hab nun ein neues Profil gemacht und meine Daten etc rübergeholt, das Problem was ich habe ist, dass ich mitten im Bewerbungschreiben bin und nichts verschicken kann!!! Ich weiss nicht was ich noch machen soll.
Mein Mann hat gesagt er geht einen portable Festplatte kaufen, macht da Datensicherung und will dann alles löschen. Nur leider kann ich nicht auf mein Profil!! Aber Abgesicherter Modus geht und das neue Profil hab ich auch zum laufen gebracht...

Ad-aware hat 33 critical objects gefunden und über "REMOVE" entfernt!
eScan hab ich installiert, nicht nur ausgeführt, danach hat sich eine Maske geöffnet und ein grünes Symbol unten rechts in die Symbolleiste gesetzt. Beim Scan sagte er mir 107 Dateien gefunden, automatisch 103 gelöscht, ich schau mal ob ich das LOG finde, vielleicht hab ich glück!

Also, ich hab Angst, wenn ich jetzt von der Oberfläche aus was mache und das System wieder zusammenbricht und ich wieder nichtmehr auf die Oberfläche komm...

was soll ich im ABGESICHERTEN MODUS kontrollieren? Wonach soll ich suchen?

Danke, dass du dir soviel Mühe machst!

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

Das ist das Ergebnis der Prüfung welche du wolltest...was fang ich damit an? Löschen oder nicht?

Hallo,

lies Dir mal diese Anleitung durch, vielleicht druckst Du sie Dir direkt mal aus. In einigen Punkten wird es zu minmalen Abweichungen kommen, da sich diese Anleitung auf die letzte Version bezieht, im Prinzip bleibt aber alles gleich.

Dannach startest Du Dein System im abgesicherten Modus neu und läßt das Programm eScan wie beschrieben laufen, was etwas dauern wird.
Wie bereits gesagt, löscht eScan nicht mehr, es zeigt Dir aber konkrete Informationen über Art und Lage der Schädlinge.
Wenn Du Dir über das weitere Vorgehen unsicher bist, poste das Log hier ( die Stelel mit dem Viren etc.)

Gruß

Schrulli

Logfile of HijackThis v1.99.1
Scan saved at 18:37:05, on 15.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\locator.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\WINDOWS\system32\addwn32.exe
C:\WINDOWS\system32\netfa.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spywarekiller\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xxcvt.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - Default URLSearchHook is missing
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Class - {7B4CB4A8-D1EF-22A5-DC8A-5D41F0137145} - C:\WINDOWS\nettx.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [nettx.exe] C:\WINDOWS\nettx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [addvn32.exe] C:\WINDOWS\system32\addvn32.exe
O4 - HKLM\..\Run: [netfa.exe] C:\WINDOWS\system32\netfa.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra 'Tools' menuitem: Get More Games - {120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - http://www.yogli.com/ (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addwn32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Es geht einfach nicht weg......oder hat es sich verändert?
LG

Hallo,

bitte führe die Schritte in der eScan Anleitung durch!

Gruß

Schrulli

Folgendes Problem:

Ich führe eScan aus, mache das Update und dann schliesse ich es,( so steht es in der Anleitung)kann es aber nicht mehr neu starten!

Die Datei mwavscan ist vorhanden lässt sich aber nichtmehr öffnen!!

Hallo,

je nachdem, in welcher Sprache Du Dir eScan installiert hast, steht über "Aktualisieren" oder "Update" der Button Scan.
Den anklicken und es geht los.

Gruß

Schrulli

Okay, alles gefunden, sobald er fertig ist poste ich das File, die Killbox hab ich auch schon geladen!
Hoffentlich klappt das mit dem abgesicherten Modus!
Ich melde mich gleich wieder...

LG und tausend Dank!

Ich bin wieder auf meiner Oberfläche, jipiehhh, wie auch immer ich das geschafft habe...

Danke!!

Und ich bin auch über eine Startseite reingekommen!
Hatte keine CoolWebSearch-Maske!

Was nun?
Denn auf den anderen Oberflächen ist das noch...warum auch immer?!
Brauchst du noch ein Log?

Wenn ja von was?
Kann ich meine Daten vom anderen Profil wieder zurückholen?
Kann ich die Systemwiederherstellung wieder einschalten?

LG Light

zu früh gefreut, alles wieder da......

ich hab die dateien die du mir genannt hast entfernt!
Aber sie sind wieder komplett vorhanden.....

Hallo,

ja, den eScan lo, steht in der Datei mwav.log.

Gruß

Schrulli

Sorry aber ich kann den eScan nicht anhängen, er sagt, dass es zu viele Zeichen sind!!
Der ist auch Hammer lang.

Aber ich kann das Neue Log von HJT posten, falls das was hilft!

Logfile of HijackThis v1.99.1
Scan saved at 02:43:17, on 16.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\addwn32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\addky32.exe
C:\PROGRAM FILES\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Class - {7B4CB4A8-D1EF-22A5-DC8A-5D41F0137145} - C:\WINDOWS\nettx.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [apiyx.exe] C:\WINDOWS\system32\apiyx.exe
O4 - HKLM\..\Run: [addky32.exe] C:\WINDOWS\system32\addky32.exe
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://sympatico.zone.msn.com/bingam...jolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/def...ploader_v6.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EA3EA49-7534-4F02-8888-E24EA8550680}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addwn32.exe" /s (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

So, ich hoffe das hilft dir auch weiter!
Ich komm erst morgen Nacht wieder, denn ich hab Spätdienst.
Falls du weitere Infos brauchst (was ich stark vermute) schreib es und ich versuche es zu beschaffen!

Falls du eine Möglichkeit weisst den eScan trotzdem zu posten, sach es mir und ich werds versuchen...

Antivir macht seine Arbeit aber bisher gut, die CWS wird geblockt! Er bringt

C:\WINDOWS\SYSTEM32\.....dll
ist Trojanisches Pferd....td.52

und immer ein anderer Anhang! Aber er blockt es!
Aber die nervige SearchClick verschwindet nicht!
Und der HOME SEARCH ASSISTANT steht auch noch immer in der Software und wenn ich ihn deinstallieren wil komm ich auf ne Internetseite, die sagt:
Waru wollen sie unsere Software löschen?
SmartFinder nennt die sich und zu deinstallieren muss ich eine Software downloaden, welches ich natürlich nicht gemacht habe!!!Ich bin zwar blond aber nicht blöd!

Und wie weiter nun?

LG Light

Hallo,

steht in der Anleitung, nur die Treffer posten. Alles ist wahrlich zu viel.;)

Gruß

Schrulli

Hallo,

sorry aber ich bin nicht früher dazu gekommen zu schreiben, hatte viel Stress mit der Arbeit!

Ich habe nun folgende Probleme:
Die eScan ist nichtmehr aufzufinden, aber das ist das kleinste Problem!!
Ich habe versucht mit ewido zu scannen, das klappte auch richtig gut, danach habe ich mit Ad-aware SE gescannt und nichts mehr gefunden, nach leeren des Quarantäne-Ordners habe ich erneut gescannt und er fand nichts mehr, auch habe ich mit AntiVir nochmal gescannt und dieser fand auch keine Ergebnisse mehr!
Ich habe auch die HOME SEARCH ASSISTANT erfolgreich im Abgesicherten Modus entfernt und nichtmehr gefunden!Auch nach dem dritten Anschalten heute habe ich keine Software namens HSA in meiner Liste und beim Öffnen des iExplorers bekomme ich auch keine Trojanerwarnung mehr!

Allerdings sieht mein neues HJT Log gar nicht mehr gut aus, ich habe massenhaft "no files"!
Was bedeutet das?
Hier mal das HJT:

Kannst du mir sagen, was das zu bedeuten hat?

LG Light

kurz einmisch:

@Light,

dieser ist /war in Deinem System aktiv:
http://sophos.de/virusinfo/analyses/trojagentde.html

Alles weitere als eine Neuinstallation wäre IMHO nicht empfehlenswert.

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Hallo Dartus, so wie es aussieht ist mein Trojaner nicht mehr da!!*freu*

Kann ich die "no files" aus meinem HJT fixen? Wäre das empfehlenswert?
Soll ich dieses wenn ja im abgesicherten Modus ausführen??

Um schnelle Antwort bin ich dankbar! Und auch vielen Dank für die Infos über den Trojaner!
Heisst das, dass er schon so lange aktiv in Rechnern rumpfuscht und man noch nicht den Überltäter("PROGRAMMIERER") ausfindig gemacht und zur strecke gebracht hat??:koch: :koch:

LG Light

Ja.Nein.

Es heisst eher, dass die einzig sinnvolle Lösung das Neuaufsetzen des Systems ist. Wenn die Möglichkeit besteht, dass jemand Zugriff auf Deinen Rechner hatte (hat), kannst Du Deinem System unter gar keinen Umständen mehr Vertrauen.

Beherzige die Links, die Dir Dartus angegeben hat.

Vielen Dank für die Antwort, werde mit unserem CompExperten(ein Bekannter meines Mannes) bzgl Neuaufsetzen in Verbindung treten!
Welchen Browser empfehlt ihr mir? Firefox oder Opera?
Ich will einen, der etwas sicherer ist, als dieser blöde IExplorer
Gibt es ein gutes, mit Outlook vergleichbares, EmailProgramm, welches sicherer ist?
Denn ich denke, davon werde ich mich auch verabschieden müssen, wenn ich in Zukunft besser gewappnet sein will!


Habe durch euch sehr viel gelernt und mich intensiv damit befasst(was ich vorher nie gebraucht habe, da ich GOTTSEIDANK nie vorher mit Viren oder hartnäckigen Trojanern zu tun hatte und ich bin schon sehr viele Jahre im Internet "zu Hause"!

LG und danke für alles!!
Light

Weise bitte den Bekannten explizit auf Dartus Link zum Neuaufsetzen hin. Eine Neuinstallation von Windows sowie das Hinzufügen der Standardprogramme reicht nicht aus. Es Bedarf schon etwas an Aufwand um den Rechner sicherer (nicht sicher, sondern sicherer zu machen) was sich aber auf jeden Fall lohnt.

Zum Thema Browser:

Firefox, Opera...das ist Geschmackssache. Probiere sie einfach aus (kosten ja nichts) und nimm den mit dem Du am besten klar kommst. Es können auch beide installiert sein.

Outlook-Alternative:

Thunderbird wäre ein Versuch wert. Opera hat imho auch einen Email-Programm (integriert). Ansonsten befrage da mal Google.

Vielen Dank Mighty, :aplaus:

ich habe nun schon viel Wissen, welches ich hoffentlich nicht so schnell brauchen werde...
Ich hatte meiner Meinung nach zwar vorher schon ein ordentliches Wissen, aber halt leider nicht auf diesem Gebiet...ich dachte ich beachte schon die wichtigsten Dinge bezüglich "sicheres surfen", habe ja Windows Firewall, AntiVir und Ewido,ich gebe nicht einfach so meine Addy raus, ich achte auf SSL was das bestellen im Netz betrifft! auch hiess es FritzBox wäre eine gute Variante für INet, und bisher toitoitoi, hatte ich ja auch nie nie nie Probleme...

Ich hätte allerdings noch eine andere Frage:

Ich habe nun schon sehr häufig gehört, dass Spieleseiten definitiv unsicher und "Virenschleudern" sind, stimmt das?

LG Light