Trojan-Adclicker in Windows\System32\NSV26.DLL
 

hallo,
ich hoffe, ihr könnt mir weiterhelfen.
habe seit heute einen trojaner (beim ganz normalen surfen eingefangen - in google oder auf einer wörterbuch-seite). norton antivirus gibt mir ständig bescheid, wenn ich eine neue seite im internet expl. aufmache. hier der text:
objektname: C:\Windows\System32\NSV26.DLL
virenname: Trojan.Adclicker

ich hab norton laufen lassen, aber er konnte die datei weder reparieren noch löschen - stattdessen kommt immer die viruswarnung, wenn ich den IE aufmache.

könnt ihr mir bitte weiterhelfen, ich weiß nicht, was ich jetzt weiter machen soll...

vielen dank im voraus,
jvc

ps: ich hab windows xp und norton systemworks 2005, das sich regelmäßig selber updated

hallo sunny,

vielen dank für die antwort und das willkommen!!!
ich arbeite der reihe nach die punkte ab und poste jeweils die ergebnisse. hier mal das logfile:


Logfile of HijackThis v1.99.1
Scan saved at 16:48:24, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\downloads programme\Hijack\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - (no file)
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - ?p=ZN
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

mit virtustotal hab ich probleme, wenn ich versuche die dll-datei hochzuladen, kommt leider nur das hier:
0 bytes size received / Se ha recibido un archivo vacio

was mach ich denn falsch??

lg
jvc

hallo nochmal!

bezüglich MWAV (eScan) - Free Antivirus
muss ich das mit oder router machen??? ich weiß leider nicht, was ein router ist...

vielen dank!!!
lg jvc

Wer hat denn bei euch/dir zu Hause das Internet angeschlossen?

hallo,

ja, äh, das war ich... wir haben so ein splitter-modem.
tut mir leid, dass ich in dieser hinsicht etwas unbedarft bin... ich will hier niemanden nerven (falls ich eine blöde frage gestellt hab)...

danke!!
lg
jvc

Du nervst nicht, und blöde Fragen gibt es auch nicht ;), lies nun noch mal die Anleitung von eScan -> "ohne Router" ..

Sunny

hallo sunny,

ich hab den escan jetzt bis inkl. schritt nr. 6 gemacht (ich geb das jetzt ungern zu, aber ich war einfach zu blöd, den pc im abgesicherten modus zu starten - bei meinem alten pc war das kein problem, hier ging es einfach nicht - als ich dann noch plötzlich in einem bios-ähnlichen fenster war und komische dinge auswählen sollte, hab ich von noch mehr versuchen abstand genommen...).
auf jeden fall kommt jetzt das verblüffende: der trojaner scheint weg zu sein. das warnfenster von norton springt nicht mehr auf und auch nach einem viren-scan wurde nichts mehr festgestellt (außer AdwareBegin.2search - aber das hab ich schon länger, norton sagt, das wär nur eine bedrohung und macht nichts dagegen - ich hab damit auch weiters keine probleme gehabt) - vom trojaner keine spur mehr.
jetzt meine frage: versteckt er sich nur irgendwie oder sollte mein problem tatsächlich schon gelöst sein???

vielen dank!!
lg
jvc

@jvc

Einen Trojaner *fängt* man sich nicht ein, sondern installiert sich diesen, entweder bewußt, durch einen unvorsichtigen Klick, oder unbewußt, wenn Du z. B. eine Datei aus dem Internet lädtst, und diese vor der Installation nicht vorher prüfen läßt. Oft sind es sog. Freeware-Programme, die als *Beigabe* dann Trojan-Downloader haben, und die werden dann gleich mitinstalliert.

Kein Wunder, Dein Rechner ist kompromittiert, und Norton wurde gleich mit kompromittiert, da es auf dem zu schützenden System läuft, und daher direkt mitinfiziert wird. Das kann sich so äußern, daß sich die betreffende Datei einfach nicht löschen läßt, oder, anderes Beispiel, der Scanner wird von der Malware so manipuliert, daß er anzeigt, es sei alles ok.......:headbang:

Ein weiteres Indiz, daß ich sehr wahrscheinlich recht habe, denn Deine Java-Version ist veraltet, schau hier:

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

Ein weiteres Einfallstor für Schädlinge, außer, unvorsichtig beim Surfen zu sein. Und das ist noch längst nicht alles, wie Ungeziefer auf den Rechner kommen kann. Merke, neben der nötigen Skepsis und Vorsicht beim Surfen ist es u. a. das A und O, das Betriebssystem und alle Anwendungen, die mit dem Internet Verbindung aufnehmen können, ( Browser, Java, Plugins) stets und immer aktuell zu halten.

Lade doch bitte mal die folgenden, fett markierten Dateien (nacheinander ;) ) bei VirusTotal hoch, und poste das Ergebnis inkl. Dateigröße!

C:\WINDOWS\system32\gzmrotate.dll

C:\WINDOWS\System32\Rundll32.exe

Link zu VirusTotal:

VirusTotal - Free Online Virus and Malware Scan

Soweit ich das bis jetzt beurteile, solltest Du schauen, ob Deine Win-XP-CD und Driver-Utilities-CD in Reichweite ist, aber warten wir das Ergebnis des Online-Scans ab.

Oder hast Du zufällig eine sauberes Image?

Grüße

hallo,

vielen dank für die antwort. hier erst mal das ergebnis der ersten datei:


Datei gzmrotate.dll empfangen 2007.09.21 18:23:38 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.21.0 2007.09.20 -
AntiVir 7.6.0.15 2007.09.21 DR/Agent.141853.A
Authentium 4.93.8 2007.09.21 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.21 -
BitDefender 7.2 2007.09.21 -
CAT-QuickHeal 9.00 2007.09.21 -
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.21 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5153 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.21 -
Fortinet 3.11.0.0 2007.09.21 -
F-Prot 4.3.2.48 2007.09.21 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.21 -
Kaspersky 4.0.2.24 2007.09.21 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.21 Adware:Win32/AdRotator
NOD32v2 2544 2007.09.21 -
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.21 -
Prevx1 V2 2007.09.21 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.21 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.21 Adware.Begin2search
TheHacker 6.2.5.064 2007.09.21 -
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.21 -
Webwasher-Gateway 6.0.1 2007.09.21 Trojan.Agent.141853.A


weitere Informationen
File size: 62464 bytes
MD5: 1a10cc10bc97fb3d8d19f5e7236c851e
SHA1: 749d12ca2c2deea15607303af81201bd500d4039
packers: UPX
packers: UPX
packers: UPX

hallo pelzmaus,

die 2. datei kommt gleich.

während die hochladet, hätt ich noch eine frage. du hast folgendes geschrieben:



was soll ich denn da jetzt machen - die datei hab ich gefunden... was nun??


zum anderen: ähm, ich hab leider keine ahnung, was ein image ist???? ich kenn mich leider nicht so gut aus...


dankeschön!!
lg
jvc

hallo!
... und hier datei nr. 2:


Datei Rundll32.exe_ empfangen 2007.09.21 18:31:50 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.21.0 2007.09.20 -
AntiVir 7.6.0.15 2007.09.21 -
Authentium 4.93.8 2007.09.21 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.21 -
BitDefender 7.2 2007.09.21 -
CAT-QuickHeal 9.00 2007.09.21 -
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.21 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5153 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.21 -
Fortinet 3.11.0.0 2007.09.21 -
F-Prot 4.3.2.48 2007.09.21 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.21 -
Kaspersky 4.0.2.24 2007.09.21 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.21 -
NOD32v2 2544 2007.09.21 -
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.21 -
Prevx1 V2 2007.09.21 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.21 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.21 -
TheHacker 6.2.5.064 2007.09.21 -
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.21 -
Webwasher-Gateway 6.0.1 2007.09.21 -


weitere Informationen
File size: 33792 bytes
MD5: 9082ad264d95541ddc7cb2ac6513dc0d
SHA1: 59b60f0633c283feb42e5d30aea54d6c4555d176

Hallo jvc

Zunächst mal, es ist nicht schlimm, daß Du Dich nicht so gut auskennst, dafür ist dieses Board ja da, um zu helfen, Hauptsache, Du fragst, wenn Du etwas nicht verstehst. ;)

Zu dieser Datei:

C:\WINDOWS\system32\gzmrotate.dll

Sie wird noch nicht von allen Scannern erkannt, darum ist es wichtig, daß Du folgendes machst:

Link:

Schädlinge ausfindig machen, isolieren und identifizieren ---> Punkt 4 bitte umsetzen

Sodann die präparierte Datei an folgende Adresse schicken:

sicher-ins-netz.info - E-Mail-Adresse für Malware-Samples

Das ist insofern wichtig, als es sich wohl um einen relativ unbekannten Schädling handelt und Du auf diese Art dafür sorgst, daß die anderen Virus-Labs diesen Schädling ebenfalls ihrer Signatur hinzufügen können. :)

Zu Deinen anderen Fragen:

Bzgl. Java, das solltest Du nicht hochladen, ich markierte es Dir nur, um aufzuzeigen, daß es sich um eine veraltete Version handelt. Da Java ebenfalls Verbindung mit dem Internet aufnehmen kann, und durch nicht aktuelle Programmversionen Schädlinge ebenfalls Dein System infizieren können, brachte ich es als Beispiel, wie wichtig das *Aktuell-Halten* dieses Programmes ist, sowie Deines Betriebssystems, auch der Browser gehört dazu.

Ein Image ist ein Backup Deiner Systempartition, also des Teils Deiner Festplatte, wo Dein Betriebssystem installiert ist. Hierfür benötigst Du ein Programm, namens AcronisTrueImage, sowie eine separate Festplatte, die Du per USB-Anschluß an Deinen Rechner anschließen kannst. Mittels Acronis erstellst Du von einem garantiert sauberen System (also nicht Deinem jetzigen ;) ) eine 1:1 Kopie, und speicherst dies auf der separaten Festplatte. Wenn dann sowas passiert wie jetzt, kannst Du ganz einfach die Festplatte wieder anschließen, und das vorher gespeicherte Image auf Deinen Rechner zurückschreiben. Das dauert max. 10-15 Minuten, und alles ist wieder so, wie es vorher war.

Wichtig ist bei dieser Vorgehensweise, daß auch das Image 1 Mal im Monat aktualisiert werden sollte, denn es stellt ja einen früheren Status Quo wieder her. Alles, was Du danach gemacht oder verändert hast, mußt Du dann manuell nachholen, aber das ist weit weniger Arbeit, als format : C.

Bzgl. Deines Rechners warte bitte noch, bis sich mmk hierzu äußert, aber ich denke mal, daß er dieselbe Empfehlung gibt wie ich, es sei denn, es handelt sich wirklich um einen Fehlalarm, was ich aber nicht glaube.

Glauben ist aber nicht wissen, von daher, bitte noch etwas Geduld. ;)

BTW, weißt Du, wie man formatiert, nur mal so nachgefragt?

Grüße

hallo pelzmaus,

dankeschön!! ok, dann warte ich noch auf mmk (unbekannterweise) und hoffe, dass es vielleicht doch noch eine andere möglichkeit gibt, als zu formatieren, ich hab da so viele daten drauf, die ich gar nicht sichern kann, zb kontakte bei skype und msn, animoticons, emails und ganz viele programme, die sich im laufe der zeit angesammelt haben (klingt jetzt viell. nicht sooo wichtig für euch, ist es aber...)...

vielen dank auf jeden fall für's weiterhelfen und die erklärungen...

@ formatieren: ja, wie man das macht weiß ich, format c...

ah, BTW: kann mir jemand erklären, was für ein trojaner das eigentl. genau ist (ich hab schon gegoogelt - ich mein in meinem speziellen fall, in bezug auf die datei, wo das ding dranhängt und was der so genau anstellen kann... denn im moment läuft der pc ja, als ob nichts wäre...

danke!
lg
jvc

Wegen Adware wird hier nicht formatiert:nixda:

Poste bitte wie von Sunny bereits geforfert eine eScan Log!

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> [http://www.trojaner-board.de/42731-escan-anleitung.html#post290226] Anleitung eScan[/url]
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Wenn Du Probleme beim Download hast, versuche einfach irgendeine Version zu laden.

hallo bata-alexander,

vielen dank für deine antwort. "nicht-formatieren" klingt wirklich super!!!

nachdem es mir endlich gelungen ist, windows xp im abgesicherten modus zu starten, hier das ergebnis von mwav - ich hoffe, ich hab das alles richtig gemacht und dass das die daten sind , die ihr benötigt:

das mit rechts klicken auf find.bat hat leider nicht geklappt, da gab es nämlich "ziel speichern unter" nicht, sondern nur ganz normal umbenennen, kopieren, ausschneiden etc. - aber ich hoffe trotzdem, dass das hier das richtige ist:

dankeschön!!!
lg jvc



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.4
Sprache: German
C:\DOKUME~1\CHILIG~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyshield Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "spyshield Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "topsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with need2findbar Toolbar ({4d1c4e81-a32a-416b-bcdb-33b3ef3617d3})! Action taken: Keine Aktion vorgenommen.
System found infected with kazaa Spyware/Adware ({1d6711c8-7154-40bb-8380-3dea45b69cbf})! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.com.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.url)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with need2findbar Toolbar (C:\Programme\need2find\bar\cache\files.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with need2findbar Toolbar (C:\Programme\need2find\bar\history\search)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Chiligreen\Favoriten\amazon.com.url
Offending file found: C:\Dokumente und Einstellungen\Chiligreen\Favoriten\tele2\tele2internet\internet.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
Offending file found: C:\Programme\need2find\bar\cache\files.ini
Offending file found: C:\Programme\need2find\bar\history\search
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\WINDOWS\cache329
Offending Folder found: C:\Programme\need2find
Offending Folder found: C:\Dokumente und Einstellungen\Chiligreen\Startmenü\programs\altnet
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\need2findbar uninstall !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\tbon !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\need2findbar uninstall !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\tbon !!!
Offending Key found: HKLM\Software\kazaa !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\need2find !!!
Offending Key found: HKCU\Software\funwebproducts !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\Software\need2find !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\msiede1egate.application.2 !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:41:04,23
Batchende: 11:41:06,23

Deinstalliere Need2find über Start / Einstellungen / Systemsteuerung / Software

Du hast Spybot auf dem System, führe ein Updates des Programms durch und scanne Dein System. Die von eScan angeführeten Probleme (bis auf die False Postives) kann Spybot beheben, poste dessen Log im Anschluß nach dem Scan hier als [CODE]Dein Log![/CODE]

hallo BataAlexander,

danke für dein post. über systemsteuerung / software finde ich leider need2findn icht, es steht nicht in der liste. ich habe es jetzt gesucht, es ist auf c:\programme - soll ich einfach den ganzen ordner löschen (es gibt kein deinstall-dings)??

vielen dank für's weiterhelfen!
lg
jvc

Versuche mal den Ordner zu löschen, wird aber wohl eine Fehlermeldung kommen.
Wichtig ist der Spybot Scan!

hallo,

habe spybot laufen lassen - aber wie komme ich zu einem log??? ich dachte, das käme am ende automatisch oder es gibt ein icon...??

ist es eventuall das hier??:


ordner mit need2find hat sich übrigens löschen lassen.

danke!!
lg
jvc

Starte Spybot

Modus / Erweiterter Modus / Werkzeuge / Bericht anzeigen
Jetzt den passenden Log raussuchen. Wenn es der letzte Scan war, reicht ein klick auf "Bericht anzeigen" ansonsten frühere Berichte ansehen und den passenden Nach Datum und Uhrzeit suchen.

danke!! hier ist (nun endlich) das log:

der text hatte leider über 200.000 zeichen, es gehen aber nur 25.000 - jetzt hab ich mal die ersten 25.000 reingestellt - genügt das oder möchtest du eine andere stelle????

lad das Log mal bei einem Filehoster hoch und poste den Link hier.

was es alles für sachen gibt..

mit diesem programm hier hat's geklappt, hier also der link:
http://uploaded.to/?id=zxg6aj

Suche nach einer txt Datei die Fixes.070923-xxxx.txt heißt (xxxx = Uhrzeit).

Die brauchen wir. :)

oh, das tut mir leid, wenn das die falsche datei war... 'peinlich ist'

hier also:

Lade die neuste Version von Spybot.

Bitte deinstalliere Spybot über Start / Einstellungen / Systemsteuerung / Software / Spybot.

Jetzt installier die neue Version, führe alle Updates durch und scanne Dein System noch einmal komplett.

Danach reboote im abgesicherten Modus.

lösche die Dateien(wenn vorhanden)

C:\WINDOWS\system32\gzmrotate.dll

(eventuell musst Du versteckte Dateien sichtbar machen, siehe hier)

Dann poste das letzte fixed Log von Spybot.

hallo,

hab das so gemacht, wie du angegeben hast.

der neue scan von spybot hat keine spione gefunden.

hab gzmrotate gelöscht - nach dem neustart im normalen modus kam folgende meldung:

RUNDLL
Fehler beim Laden von C:\Windows\system32\gzmrotate.dll
Das angegebene Modul wurde nicht gefunden


was mach ich jetzt???
danke!!

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Norton SystemWorks" = ""C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz" ["Symantec Corporation"]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"Disk Monitor" = "C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" ["Neodio Corp."]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"CloneCDElbyCDFL" = ""C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"hid_start" = "C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\(Default) = "SWEETIE"
-> {HKLM...CLSID} = "SWEETIE Class"
\InProcServer32\(Default) = "C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll" ["Macrogaming"]
{36A91CEC-6C71-4758-B492-397BFC8E96A2}\(Default) = (no title provided)
-> {HKLM...CLSID} = "rightonadz.biz browser optimizer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\gzmrotate.dll" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" = "All To WMA Converter"
-> {HKLM...CLSID} = "WMAExt Class"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {HKLM...CLSID} = "CloneCD Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"
-> {HKLM...CLSID} = "WMAExt Class"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"
-> {HKLM...CLSID} = "WMAExt Class"
\InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoActiveDesktop" = (REG_BINARY) hex:00 00 00 00
{Disable Active Desktop}

"NoSaveSettings" = (REG_DWORD) hex:0x00000000
{Don't save settings at exit}

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chiligreen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Gehe wiefolgt vor

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file)
O3 - Toolbar: (no name) - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - (no file)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\Programme\Macrogaming (Ordner)
C:\WINDOWS\system32\nsv26.dll

Dann starte den Rechner im normalen Modus neu und poste ein neues HJT Logfile.

hallo,

ich hab von deiner liste folgende dateien nicht:

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll

O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old"


soll ich jetzt einfach die dateien auswählen, die vorhanden sind und so verfahren, wie du geschrieben hast??

Du meinst die Einträe im HJT Log?

ja, ich soll die doch anklicken und anschließend auf fix checked klicken... bei dieser liste gibt es die dateien nicht, die ich dir gepostet hab...

ok, wenn was fehlt, nicht schlimm, poste ein abschließendes HJT Logfile

hab gerade auf fix checked geklickt, dann kam diese meldung:

SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.

Kategorie: Internet Explorer searches
Änderung: Wert hinzugefügt

Eintrag {CFBFAE00-17A6-11D0-99CB-00C04FD64497}

er fragt, ob ich diese "Neuen Daten" erlauben oder verweigern soll

drunter ist noch ein kästchen mit "merke diese entscheidung" - soll ich das anhaken?

ich hab mir gedacht, ich frag besser vorher nach, da es ja was mit der registrierung ist...

Mein Fehler, deaktivere den Tea Timer bevor Du diese Einträge fixed.

hier das HJT Logfile:


den ordner hab ich gelöscht, die andere datei war nicht vorhanden.
nach dem neustart im normalen modus kam folgende meldung:

SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.

Kategorie: SystemStartup global entry
Änderung: Wert gelöscht
Eintrag: hid_start
Alte Daten: C:\Windows\System32\Rundll32.exe "C:\Windows\System32\gzmrotate.dll" DllVerify

ich hab das fenster noch offen - soll ich jetzt erlauben oder verweigern?

danke!!

Doch etwas mehr als nur Adware :(
Deaktiviere den Tea Timer!

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.


O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: (no name) - {26E45419-7205-4fac-BBFE-174BC7337A79} - (no file)
O2 - BHO: (no name) - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - (no file)
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: (no name) - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file)
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - h**p://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32
O18 - Filter: text/html - (no CLSID) - (no file)

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) lösche das backup vom Avenger unter Avenger\backup.zip + Papierkorb leeren
6.) Poste den Inhalt der C:\avenger.txt Datei in ein [code]Der Inhalt Deines Logs hier :) [/code]

soll ich hier wieder auf fix checked klicken?

Ja, dann HJt beenden und weiter mit Avenger. :)

hab grad auf die grüne ampel im avenger geklickt, dann ist folgende meldung gekommen:

Fatal error: could not create new script file
hab auf ok geklickt (gab keine andere auswahlmöglichkeit), dann kam das hier:

Error Code: 0
Error logged to errorlog.txt. Aborting now!
drunter kann ich auf ok klicken

was mach ich jetzt?

Ein komisches aber reproduzierbares Verhalten.
Im Anhang findest Du eine .txt Datei.
- Lade die Datei auf Deinen Dekstop
- Avenger Starten
- Load Script from File
- Klicke auf den Ordner um die Datei avenger.txt auf Deinem desktop auszuwählen
- Klicke die Ampel

hab das grad gemacht, aber es kamen wieder die 2 gleichen fehlermeldungen von vorhin... :headbang:

Du hast aber diesmal - Load Script from File und die Datei ausgewählt?

ja, hab ich, so wie du geschrieben hast

Ok, gehen wir einen anderen Weg.

MWAV (eScan) - Free Antivirus

-> Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
Dauer des eScan: ca. 2-3 Stunden, je nach System!

ok, danke, dann mach ich das (meld mich dann morgen vormittag wieder)
hab vorher noch eine frage, ich hab den mwav-scan heute ja schon mal gemacht, hab es aber am ende nicht geschafft, die 'find.bat' zu posten, wenn ich auf diese datei rechts draufgeklickt habe, kam nicht "Ziel Speichern unter", sondern nur das "normale" menü, wo man kopieren, umbenennen, ausschneiden usw. kann... was mach ich denn da falsch???

vielen dank für deine hilfe und bis morgen dann!!!
lg

Ich sollte gleich mal ins Bett gehen, hab glatt den falschen Inhalt gepostet :headbang:
Lies hier und lade Dr.Web Cure it und poste das Log

macht nichts, ist ja nichts passiert...
dann mach ich das morgen

danke und gute nacht!!

hallo,

ich hab dr. web cure it jetzt laufen lassen - er hat einige sachen gefunden, einen teil davon hat er desinfiziert, bei anderen dateien hat er mich gefragt, ob er sie verschieben soll, da desinfizieren nicht möglich ist. ich hab da jetzt mal nein gesagt, weil ich auch nicht wusste, was ich nehmen soll... daher sind einige objekte jetzt unbehandelt geblieben.

soll ich das programm nochmals laufen lassen und diesmal dann auf verschieben klicken???

hier mal das ergebnis vom scan:



und hier der genaue prüfbericht (teil 1):

und hier teil 2 (war zu lang):

Ok Sieht gut aus. Poste bitte nun ein neues HJT Logfile.

Ein paar kosmetische Sachen haben wir noch zu fixen.

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - Default URLSearchHook is missing
O8 - Extra context menu item: &Search - ?p=ZN
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

dann Klicke Fix Checked. Schließe HiJackThis.

Ein Einfallstor für Deine Infektion könnte hier liegen

C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe

Dies Programm ist in Deutschland imho legal nicht zu bekommen, wenn man es dann als "Sicherungskopie" bekommt, bekommt man oft mahr als man denkt.

Nach dem fixen der Einträge bist Du erst mal clean. :daumenhoc

--

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen.
Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware

Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen.

Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde.

Hier findest Du aktuelle Sicherheitsmeldungen.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

hallo,

so, hab das jetzt noch gemacht! :daumenhoc

wegen dem "einfallstor": soll ich das programm löschen, ich brauch das gar nicht??? wenn ich mich richtig erinner, hab ich mir das mal runtergeladen, weil ich eine sicherungskopie von einer cd machen wollte und mein übliches programm nicht mehr funktionierte... ich wollte einfach ein gratis-programm aus dem internet haben (aber natürlich nichts illegales) - nicht, dass du denkst, ich besorge mir illegale programme...!!

vielen, vielen dank für deine hilfe!!!!!!!!!!!!!!! :aplaus: :aplaus: :aplaus:
du hast mich echt gerettet!!!!!!!!!! das war super nett von dir!!!!

die tipps werd ich dann lesen und befolgen, damit so was nicht wieder vorkommt...

ganz dickes dankeschon nochmal (auch an alle anderen, die mir geholfen haben)!!!
glg
jvc

Da gibt es jetzt zwei Wege

1. Never touch a running System
2. Weg mit dem Ballast, wenn Du es eh nicht brauchst

Bis dahin viel Spaß im Web :)

Auch von mir ein Dankeschön an Bata :aplaus: für die Weiterbearbeitung in diesem meinem angefangenen Beitrag, mir fehlte leider die Zeit @jvc dich weiter zu "betreuen". :rolleyes:

Hoffe das dein System nun wieder voll funktionstüchtig ist/wird ... ;)

hallo nochmal,

@sunny: überhaupt kein problem - jetzt läuft ja wieder alles perfekt!!! *so erleichtert bin!!!!!!* :Boogie:

hätte noch mal eine kleine allgemeine frage: hab mir jetzt die tipps durchgelesen, damit das so schnell nicht wieder vorkommt. kann ich neben ide IE Firefox und Opera installieren und mir beide programme mal ansehen, damit ich herausfinden kann, welches mir besser zusagt??

funktioniert das gleiche auch mit thunderbird (mal angucken während ich outlook express verwende, mein ich)??

danke!!!
lg

Mit den Browsern ist das gar kein Problem, ich nutze (grübel, rechne) fünf nebeneinander und das funktioniert prima.

Mit dem Thunderbird und Outlook ist es so ein kleines Problem. Du willst ja auch Deine Mails beisammen halten und wenn Du in zwei Programmen Dein eMail Konto einrichtest, geht das zwar auch so, dass in beiden die Mails auflaufen, aber es kann zur Verwirrung führen.

Mein Tip: Richte Dir eine neue Test-Email Adresse ein, mit der Du den Thunderbird dann fütterst und testest.
Solltest Du ihn dann weiter nutzen wollen, kannst Du einfach alles von der Test eMail Adresse löschen und dann von OE importieren. Willst Du bei OE bleiben, kannst Du das Programm einfach deinstallieren.

ok, danke, dann werd ich die teile mal ausprobieren :)

dankeschön!!!