puh, ist alles nicht so einfach...Danke. Jetzt ist der ganze Ordner voll,
kann leider nicht kopiert und hier eingefügt werden. Mache jetzt weiter im Programm....

file:///C:/bases/0005DA77.key


trotz Strg A und Strg C kommt nur der obere Eintrag beim Einfügen.

Du brauchst jetzt nicht mehr den Inhalt des Ordners posten.
Fahre wie folgt fort:
- "kavupd.exe" (Update) ausführen
- Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken

aber im abgesicherten Modus scannen?

Hallo, bin kurz wieder da.
Antwort: Ja.

habe jetzt gescannt, wie soll ich das Ergebnis jetzt hier posten? den gesamten Scan? also die Text (log) Datei?

@ Ulli04

"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS11.zip infected by "Password-protected-EXE" Virus. Acti


Guten Morgen, sind über 60000 Dateien gescannt worden, 14 Dateien erschienen. Bei der Such in der Log-Datei erscheint aber bei Suche nach infected nur das obige. Ist das ok?

alles klar, muss weitersuchen...:

Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS11.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

Sun Nov 28 00:12:04 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS4.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

Sun Nov 28 00:13:03 2004 => File C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\Eigene Bilder\hijackthis_198\backups\backup-20041127-174045-570.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.

Sun Nov 28 00:50:44 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\infected_object.html

Sun Nov 28 00:50:45 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\log_infected_popup.html

Sun Nov 28 00:50:47 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\remove_infected_macros.html

Sun Nov 28 00:50:49 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\send_analysis_infected_files.html

Sun Nov 28 00:50:49 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\send_infected_files_only.html

Sun Nov 28 00:50:53 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\curing_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:53 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\deleting_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:54 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\moving_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:54 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\renaming_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:55 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\viewing_details_about_an_infected_file.html

Sun Nov 28 01:09:13 2004 => Total Number of Disinfected Files: 0

Das waren alle.

Morgen, Ulli!
Na, also, haben wir´s doch noch geschafft!
Wichtig sind nur die ersten vier, der Rest gehört zu eTrust.
Die vierte wurde von eScan gekillt.
Die ersten drei sind im Quarantäne- (bzw. Wiederherstellungsordner ) von Spybot.
Bitte leere diesen Ordner.
Damit sollte alles erledigt sein. Ein abschließendes Logfile macht die Sache noch richtig rund.
cacatoa

Guten MOrgen Cacatao, puh, habe jetzt den ganzen Ordner Recovery gelöscht, also den Inhalt. Jetzt noch mal mit hijack oder eScan?
Habe mir das SP 2 runtergeladen, danach installieren?
Und surfen hauptsächlich mit Mozilla?

Zitat:

hijack oder eScan? HiJackThis
Habe mir das SP 2 runtergeladen, danach installieren?JA
Und surfen hauptsächlich mit Mozilla?JA

Das war ne schwere Geburt.

Hi, ulli,
hast du den Spybot Ordner über Spybot selbst gelert? (In Spybot auf: Wiederherstellen, dann die Probleme markieren und auf "Markiertes Löschen" gedrückt)?
Ein HJT-Logfile nach der Installation von SP2. Mach nicht den Fehler wie viele, die sich nur den Installer des SP 2 runterladen und glauben, sie sind fertig. Man muß SP 2 dann nämlich noch installieren und das dauert ruhig mal (je nach Zugang [DSL oder Modem]) von einer halben bis zu zwei und mehr Stunden.
Also, bis dann
cacatoa

Mozilla oder opera, IE nur für Windows-Updates (geht nicht ohne den)

So, hier nochmal ein aktuelles Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:50:18, on 28.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\CA\eTrust\InoculateIT\realmon.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Palm\HOTSYNC.EXE
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\Eigene Bilder\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\Programme\CA\eTrust\InoculateIT\realmon.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [GW Port Controller] C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for ¸æV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101547581651
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BB96062-8851-43A3-953A-C327A137DCFC}: NameServer = 192.168.1.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF47E1EB-C909-4D60-ABAE-92D681063607}: NameServer = 217.237.149.161 217.237.151.225

Noch irgendwas nicht in Ordnung?

Na, also,
jetzt noch SP 2 drauf und dann ist das Kindchen geboren

cacatoa

Vielen Dank für eure umfangreiche Hilfe. Wünsche noch einen schönen Sonntag.