Hallo alle zusammen,

beschäftige mich seit 2 Tagen mit meinem Rechner und habe jetzt sämtliche Programme wie Adaware, Escan, Hijackthis, AntiVir, Spybot, search & destroy sowie Spysubtract und den CWShredder auch im abgesichterten Modus durchlaufen lassen und es ist alles clean bis auf das Ergebnis beim Escan und deshalb bitte ich Euch um Eure Hilfe bei der Auswertung des Ergebnis von Escan.

Auch bitte ich um Eure Mitteilung wie ich die Sachen, die dort angezeigt werden wieder loswerde und warum alle anderen Programme nichts dergleichen anzeigen.

Hier ist das Protokoll der gefundenen Viren durch Escan:
Escan am 29.12.2004 im normalen Modus und im abgesicherten Modus am 30.12.2004

File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\BOLD ROAD.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ooze Stupid.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\uploadwindow.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\Safe wma option\Hole Defy.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\Clock Sect.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\dimkhgyc.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\DvdDrawMeal.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\For army bits multi.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\jcrygwim.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\plraxmjx.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\yfxdohpc.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP58\A0008935.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File D:\Downloads\hijackthis\backups\backup-20041229-095002-199.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.

Vielen lieben Dank für Eure Hilfe!

Liebe Grüsse DKNS2212

@DKNS2212
diese datei sichern auf diskette oder cd zwecks beweissicherung(dialer)
C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star.
dann systemwiederherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren.
vor info über swissor.bz und swizzor.bo
http://www.sophos.de/virusinfo/analy...swizzorbo.html
http://www.sophos.de/virusinfo/analy...swizzorbz.html
in den abgesicherten modus gehen, und alle einträge mit swizzor manuell löschen.
danach alle einträge mit Adaware manuell löschen.
danach mal dein antivirenscanner laufen lassen
Krepper und Lovescan müßten eigentlich erkannt und entfernt werden.
danach neu starten und ein HJT logfile posten
chaosman

Hallo alle zusammen,

von dem was mir chaosman mitgeteilt hat verstehe ich fast nur bahnhof.

Ich weiss zwar mittlerweile wie ich in den abgesicherten Modus komme und das ich die Systemwiederherstellung deaktivieren muss, aber wo finde ich die Einträge mit Swizzor? Wenn ich in den abgesicherten Modus gehe und dort mit der Suchfunktion arbeite, dann findet der Suchassistent nix.

Allerdings konnte ich die ganzen Dateien mit der Endung .exe finden und meine Frage ist kann ich nicht die ganzen exen löschen?

Die da wie folgt lauten:

BOLD ROAD:exe
Ooze Stupid.exe
Ping biuld.exe
uploadwindow.exe
Hole Defy.exe
Clock Sect.exe
dimkhgyc.exe
DvdDrawMeal.exe
For army builts multi.exe
jcrygwim.exe
plraxmjx.exe
yfxdohpc.exe

und den Rest siehe die Escan Auswertung die ich bereits zur Verfügung gestellt habe.

Sorry, aber ich habe absolut keinen Plan von solchen Dingen und habe mich bisher selbst versucht dadurch zu wurschteln, aber ich weiss echt nicht mehr weiter, denn wenn ich mit HJT im abgesicherten Modus gefixt habe, dann ist erst alles weg und dann beim nächsten Mal ist wieder alles da, wo es vorher war und deshalb wollte ich gerade alle möglichen genannten exen, die in der Auswertung angegeben sind, löschen und dann müsste doch Ruhe im Karton sein, oder?

Ich weiss, dass ich mal vor einigen Monaten ein Problem mit einer winimil.exe hatte und die habe ich wohl auch gelöscht bekommen, aber ich hab da keine Infos mehr darüber wie ich das gemacht habe und wo ich die Lösung aus dem Netz her hatte.

Für Eure Hilfe und Antworten danke ich Euch

Liebe Grüsse DKNS2212

achso. das allereinfachste ist es, einfach mit hijack this die einträge von swizzor zu entfernen.
die einträge mit swizzor sind in der registrierung und sind soweit ich weiß keine dateien. und diese dateien, da muss ich sagen ja die sollten schon gelöscht werden. sonst wird der wurm ja immer wieder kehren, wenn diese dateien drauf bleiben. so wie ich das sehe sind diese dateien die neuverbreiter und diese werden wenn ich mich nicht irre über einen registrierungseintrag in der registrierung gestartet. sind die dateien weg, sollte auch der wurm verschwinden.
ich sehe da aber noch ein problem.. nämlich die systemwiederherstellung.. wenn dort nicht alle würmer gelöscht werden können, ist es warscheinlich das die würmer von dort wieder kommen (der grund warum ich diese blöde systemwiederherstellung bei mir sogar ganz entfernt btw deaktiviert habe)
wenn das dann nicht mehr weiterhilft bin ich auch mit meinen latein am ende, dann würde wohl auch nur noch eine Neuinstallation helfen (außer es weiß jemand eine andere lösung)

Hallo alle zusammen,

Ich weiss echt nicht weiter, da ich bin in solchen Sachen nicht gerade sehr bewandert bin, bitte ich um Auswertung der Log's und um eine detaillierte und ausführliche Anweisung, wie ich hier vorgehen muss. Bitte um Beachtung, dass ich von all diesen Sachen null Plan habe.

Hier die Auswertung HJT:

Logfile of HijackThis v1.99.0
Scan saved at 12:20:07, on 31.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [BYTEBOWSSOAPBLAH] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104310705983
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Und weil es so schön ist, hier noch mal der Log von Escan:

Escan am 29.12.2004 im normalen Modus und im abgesicherten Modus am 30.12.2004


File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\BOLD ROAD.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ooze Stupid.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\uploadwindow.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\Safe wma option\Hole Defy.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\Clock Sect.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\dimkhgyc.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\DvdDrawMeal.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\For army bits multi.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\jcrygwim.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\plraxmjx.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Anwendungsdaten\SixthByteUser\yfxdohpc.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP58\A0008935.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TFTP3076 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.
File D:\Downloads\hijackthis\backups\backup-20041229-095002-199.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.


Für Eure Hilfe danke ich Euch und wünsche allen Usern einen guten Rutsch ins neue Jahr 2005.

Liebe Grüsse DKNS2212

Hallo,

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm, deaktiviere die Systemwiederherstellung und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\Run: [BYTEBOWSSOAPBLAH] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STUPIDTOOLBYTEBOWS\Ping build.exe

Danach
Windows Explorer (Win Taste+E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Navigiere nun zu diesem Ordner C:\Dokumente und Einstellungen\DH\Anwendungsdaten und lösche alle von eScan beanstandeten Dateien manuell, ebenso mit andere Dateien verfahren.
Alternative:
Killbox verwenden
richtige Pfadangabe der Malware Dateien kopieren (Strg+C)-> in Killbox einfügen (Strg+V) -> löschen

Zitat:

File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.

Diese nicht löschen!

- neue Startseite vergeben
- Neustart
- Systemwiederherstellung bei Bedarf wieder aktivieren
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- nochmals mit eScan scannen
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Hallo alle zusammen,

zunächst mal einen lieben Dank an Cidre, der mir alles verständlich und ausführlich mit allen Links usw. erklärt hat. :aplaus:

Diese beiden: File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP24\A0004175.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File C:\System Volume Information\_restore{F1F45635-447C-446E-86E0-6ABB1988BECA}\RP58\A0008935.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.

konnte ich nicht löschen und deshalb habe ich nachdem ich alles andere gelöscht habe einen neuen Escan gemacht, der dann wie folgt aussah:

File C:\DOKUME~1\DH~1\LOKALE~1\Temp\ljssntqd.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\DH\Lokale Einstellungen\Temp\ljssntqd.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File D:\Downloads\hijackthis\backups\backup-20041230-112847-152.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.

Danach habe ich dann diese Dateien auch wieder nach Anweisung gelöscht und ich hoffe, dass jetzt Ruhe im Karton ist, aber das werde ich wohl erst wieder nach einem neuen Escan, den ich gleich oder morgen durchlaufen lasse wissen. Diesen werde ich dann selbstverständlich auch wieder hier posten.

Auch habe ich natürlich einen neuen HJT-Logfile, den ich mit poste, der meiner Meinung nach sauber aussieht, aber das werden mir hier sicher die erfahrenen User, wie z.B. Cidre, mitteilen können.

Logfile of HijackThis v1.99.0
Scan saved at 18:12:46, on 31.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104310705983
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das was ich noch erledigen muss, ist einen anderen Broswser runterladen, was ich jetzt sofort machen werde. Sollte ich dann zu dem neuen Browser Fragen haben, dann werde ich mich vertrauensvoll an Euch wenden, da ihr ja diese Empfehlungen aussprecht und Euch sicher super damit auskennt. Ihr seid einfach ein starkes Team und ich werde Euch sicher wieder besuchen, denn der nächste PC meiner Freundin wartet schon.

ICH BIN EINFACH NUR SUPER GLÜCKLICH,
DASS ICH SO EINIGES AUF MEINEM PC LOS BIN
UND VOR ALLEN DINGEN, DASS ICH EIN WENIG SCHLAUER GEWORDEN BIN.

So, jetzt wünsche ich allen Usern einen guten Rutsch ins neue Jahr 2005.

Liebe Grüsse und alles Gute wünscht DKNS2212

Die beiden C:\System Volume Information\_restore Funde werden gelöscht, wenn du deine Systemwiederherstellung deaktivierst.

Lade Clearprog und bereinige damit deine Temp Dateien.

Dein Log-File sieht wieder sauber aus.
Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Hallo alle zusammen,

ich wünsche allen Usern ein fohes neues Jahr sowie viel Glück und Gesundheit für das Jahr 2005.

Hier kommt wie versprochen der Logfile von Escan:

File D:\Driver\VGA\V767_WHQL\Win 9x\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.
File D:\Driver\VGA\V767_WHQL\Win NT\Atidrive\atiiiexx.dl_ infected by "not-a-virus:AdWare.Win32.BHO.NoName.f" Virus. Action Taken: No Action Taken.

Mein Logfile von HJT ist sauber und so wie es aussieht, ist der Logfile von Escan auch sauber, aber mich würde natürlich interessieren, was diese oben aufgeführten Dinge zu sagen haben?

Für Eure Antwort und für die geniale Hilfe von Cidre :aplaus: kann ich mich nur bedanken und wünsche allen Usern noch einen schönen Sonntag.

Liebe Grüsse DKNS2212

@ DKNS2212

besuche diese Seite, lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Update die Programme regelmäßig, scanne Deinen Rechner regelmäßig damit .. auch jetzt. Lass die bestehenden Probleme damit beheben.

Moin allerseits!

Ich bin das erte mal auf dieser Seite, habe einen escan durchgeführt und dabei einiges an Mist auf meinem Rechner gefunden. Wie die meisten Bittsteller hier habe auch ich keine Ahnung von solchen Dinge und hoffe auf eine Anfängertaugliche Auswertung meiner escan-ergebnisse.
Vielen Dank! Jetzt kommts...

Wed May 11 07:01:17 2005 => File C:\WINDOWS\System32\setup32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed May 11 07:01:35 2005 => File C:\WINDOWS\system32\setup32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Wed May 11 07:01:40 2005 => File C:\WINDOWS\system32\f5r2.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
Wed May 11 07:01:51 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed May 11 07:01:51 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 07:03:17 2005 => File C:\WINDOWS\System32\mpsys.exe infected by "Trojan-Dropper.Win32.Juntador.e" Virus. Action Taken: No Action Taken.
Wed May 11 07:19:40 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed May 11 07:19:40 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\algs.VIR
Wed May 11 07:19:40 2005 => File C:\Programme\AVPersonal\INFECTED\algs.VIR infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.
Wed May 11 07:19:40 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\bmono.VIR
Wed May 11 07:19:40 2005 => File C:\Programme\AVPersonal\INFECTED\bmono.VIR infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: No Action Taken.
Wed May 11 07:19:40 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\saifn.VIR
Wed May 11 07:19:40 2005 => File C:\Programme\AVPersonal\INFECTED\saifn.VIR infected by "Net-Worm.Win32.Padobot.p" Virus. Action Taken: No Action Taken.
Wed May 11 07:41:22 2005 => File C:\System Volume Information\_restore{0AE1F50E-AA46-4E36-972B-B4ED8CD97EC7}\RP163\A0022641.sys infected by "Trojan-Spy.Win32.Qukart.s" Virus. Action Taken: No Action Taken.
Wed May 11 07:41:23 2005 => File C:\System Volume Information\_restore{0AE1F50E-AA46-4E36-972B-B4ED8CD97EC7}\RP163\A0022649.exe infected by "Trojan-Spy.Win32.Qukart.s" Virus. Action Taken: No Action Taken.
Wed May 11 07:41:45 2005 => File C:\System Volume Information\_restore{0AE1F50E-AA46-4E36-972B-B4ED8CD97EC7}\RP164\A0022930.exe infected by "Net-Worm.Win32.Padobot.p" Virus. Action Taken: No Action Taken.
Wed May 11 07:41:45 2005 => File C:\System Volume Information\_restore{0AE1F50E-AA46-4E36-972B-B4ED8CD97EC7}\RP164\A0022932.dll infected by "Trojan-Spy.Win32.Qukart.s" Virus. Action Taken: No Action Taken.
Wed May 11 07:43:56 2005 => File C:\System Volume Information\_restore{0AE1F50E-AA46-4E36-972B-B4ED8CD97EC7}\RP187\A0028085.exe infected by "Backdoor.Win32.Small.eo" Virus. Action Taken: No Action Taken.
Wed May 11 07:58:13 2005 => File C:\WINDOWS\system32\mpsys.exe infected by "Trojan-Dropper.Win32.Juntador.e" Virus. Action Taken: No Action Taken.
Wed May 11 08:25:43 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 11 07:33:08 2005 => File C:\Programme\TREX DE DIVX A VCD\DivXPro 5.0.2\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Backdoor.Win32.Rbot.gen
Dein System ist als kompromittiert einzustufen. Siehe hier:
http://www.pc-magazin.de/internet/cm...hos.php?id=938
Beachte beim Neuinstallieren die Anweisungen von Cidre:
http://www.trojaner-board.de/showthread.php?t=12154