Zitat:

tut mir leid, wenn nicht alles auf Anhieb klappt, aber lesen, richtig verstehen und das ganze dann auch richtig umsetzen ist für einen PC-Neuling nicht immer einfach.

Mein 'Kritik' ging absolut nicht in Deine Richtung! Ganz im Gegenteil. Einem -wie Du es nennst- PC-Neuling etwas falsch zu erklären, war der Auslöser meines Postings...

Nun aber zur Sache:
Jetzt, wo sich eScan bei Dir offensichtlich im richtigen Ordner befindet, kannst Du ClearProgr ausführen. Im Grunde ist es auch relativ egal, ob Du das vor oder nach SpywareBlaster machst. Der SpywareBlaster ist innerhalb seiner Grenzen ein recht gutes Tool, aber auch keine Wunderwaffe. Du solltest davon auch nicht zu viel erwarten.

Diese Zeile irritiert mich ein bisschen:

Zitat:

Fri Dec 10 17:03:01 2004 => Total Errors: 55

Kann es sein, dass Du eScan evtl. nicht im abgesicherten Modus ausgeführt hast. Mir kommt die Zahl der Errors (nicht scanbaren Dateien) etwas hoch vor. Wenn Du im normalen Modus gescannt hast, hole bitte einen Scan im abgesicherten Modus deines Betriebssystems nach.

Zitat:

Fri Dec 10 16:00:51 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\

Das ist der Quarantäne-Ordner von AntiVir. Den solltest Du -am besten direkt in AntiVir einmal leeren.

Von "partytime-germany" habe ich jetzt Bescheid bekommen, daß die Datei sauber ist. Habe jetzt ClearProg und SpywareBlaster 3.2 ausgeführt.
Muß ich noch irgendwas beachten?
@ Lutz Den eScan habe ich auf jeden Fall im abgesicherten Modus ausgeführt.

VG Juli75

Hier mein neues Logfile von HiJackThis:

C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\TISCALI_ANONYM_PLUS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ZIPCENTRAL\ZCENTRAL.EXE
C:\WINDOWS\TEMP\_ZCTMP.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\.\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

@Juli75
kann es sein daß dein logfile von HJT in den abgesicherten modus erstellt würde?
wenn ja, dann bitte ein HJTlogfile vom normalen modus erstellen und hier posten

chaosman

Hallo Chaosman,

ich hatte das Logfile von HijackThis im normalen Modus durchgeführt, es kam aber zuerst die Meldung, daß es scheint, daß HijackThis zuvor von einem Temorary Ordner ausgeführt wurde, der inzwischen regulär geleert wurde und HijackThis deshalb in einen eigenen Ordner kopiert werden soll, weil sonst angefixte Programme nicht mehr zurückgeholt werden können (falls falsch entfernt). Das hab ich dann gemacht, aber die Meldung kam trotzdem wieder - hab dann auf OK geklickt und das Logfile trotzdem erstellt.
Habe mir heute gedacht, ich lösche alle HJT-Dateien (weil auch noch ältere Versionen vorhanden waren), lade die neue Version neu herunter um sie nochmal auszuführen, weil dann die Meldung vielleicht nicht mehr erscheint.
Das Problem ist nun, daß es 2 HijackThis-Dateien gibt, die sich nicht entfernen lassen. Es erscheint dann die Meldung: "Hijack This kann nicht gelöscht werden: Der Zugriff wurde verweigert." Habe die neue HJT-Version dann trotzdem heruntergeladen, kann sie aber nicht ausführen, weil dann die Meldung kommt: "HiJack This is running already!".
Ich habe auch versucht, die beiden Dateien mit "DelinvFile 1.01-Delete Invalid File" zu entfernen, hat aber auch nicht geklappt.
Hier die beiden Dateien:

HijackThis.exe C:\WINDOWS\T... 184 KB Anwendung Geändert am: 07.08.04 15:15
HijackThis.exe C:\Eigene Dateien 157 KB Anwendung Geändert am: 18.11.03 15.00

Noch was anderes - weiß jetzt nicht, ob das wichtig ist, aber als ich gestern SpywareBlaster 3.2 das erste mal ausgeführt habe, brachte er mir die Meldung, daß er Mozilla Firefox nicht dursuchen kann, weil nicht installiert. Fand ich etwas merkwürdig, weil ich ihn schon seit ca. 1/2 Jahr als ständigen Browser benutze. Habe Mozilla Firefox dann nochmal neu heruntergeladen und diesmal hat hat er ihn erkannt.?

Was mir noch aufgefallen ist, war, als ich die Datei "TISCALI_ANONYM_PLUS.EXE" mit WinZip verschlüsselt nach "Thunderbird" gesendet habe, um sie zu verschicken, hatte sie das "WinZip-Symbol" davor. Leider konnte ich die ZIP-Datei nicht gleich an "partytime-germany" senden, weil freenet seinen SMTP-Server geändert hatte. Weil ich nicht gleich klar damit kam, hatte ich die ZIP-Datei als Entwurf gespeichert. Als ich sie am nächsten Tag versenden wollte, hatte sie nicht mehr das "WinZip"- sondern das "ZipCentral-Symbol davor. Ist das normal?

Ich hoffe, mein Geschreibsel ist einigermaßen verständlich und daß ich keinen Pfusch gebaut habe (besser gesagt, daß mein rechter Finger nicht schneller war als mein.....
VG
Juli75

Nochmal ich,

mir ist es jetzt gelungen, die beiden HJT-Dateien über WinZip zu entfernen. Habe HJK nochmal neu heruntergeladen, funktioniert jetzt alles normal, außer daß die Meldung mit dem Hinweis, daß HJK in einen eigenen Ordner kopiert werden soll, immer noch auftaucht und auch nach dem Kopieren weiterhin erscheint.

Hier das neue HJT-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:21:02, on 12.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\FREENET\FREENET.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

VG Juli75