Hier die ergebnisse vom scan:

File: DeskAdComm.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX


File: DeskAdKeep.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.k (0.66 seconds taken)
mks_vir .Admili (0.21 seconds taken)

File: DeskAdServ.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.m (0.67 seconds taken)
mks_vir .Deskad.J04 (0.21 seconds taken)


Die dateien aus der automatischen online auswertung von HijackThis, welche als böse markiert wurden, könnte ich aber komischerweise weder mit der Windows-suchfunktion noch durch Pfade durchklicken im Explorer finden, obwohl ich bei Ansicht "alle dateien anzeigen" habe:

bei C:\PROGRA~1\MPLAYER\ASSETS\blank.htm war ASSETS\blank.htm nicht im Ordner

von C:\WINDOWS\Java\classes\win32ie4.cab war win32ie4.cab nicht im Ordner

Wieso zeigt denn HijackThis diese Pfade an, wenn ich diese dann nicht im Explorer existieren??

@philxxx
gebe HJT bitte einen eigenen ordner

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

wechsle in den abgesicherten modus und fixe mit HJT
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\PROGRA~1\MPLAYER\ASSETS\blank.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/sof...nch/alaunch.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c283.cab
wenn du diesen eintrag nicht kennst, dann fixen
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
diese dateien manuell löschen
DeskAdComm.dll
DeskAdKeep.exe
DeskAdServ.exe
C:\WINDOWS\web\related.htm
neu starten, ein neues HJT logfile posten
chaosman

Zitat:

Zitat von chaosman

@philxxx
gebe HJT bitte einen eigenen ordner

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

chaosman

hallo,
warum soll ich dem HJT einen eigenen ordener geben? ich kann doch nur die log-datei speichern oder?

das mit der ansicht von ordnern hatte ich vorher schon gemacht.

danke für deine hilfe!

Überprüfe die drei nicht gefundenen Dateien nochmals mit Total Commander ->
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum besagten Ordner oder zur Datei und lösche diese (markieren -> F8 -> JA).

Zitat:

warum soll ich dem HJT einen eigenen ordener geben?

Wenn du HijackThis einen eigenen Ordner spendierst, dann wird ein Backup erstellt bevor du die Einträge entfernst.

so ich habe jetzt das gemacht was chaosman beschrieben hat, hier der neuste scan:


Logfile of HijackThis v1.99.0
Scan saved at 17:58:48, on 10.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\PROGRAMS\FIREWALL SPF\SMC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
D:\PROGRAMS\AVAST 4 HOME VIRUSKIT\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\PROGRAMS\TDSL SPEEDMANAGER\SPEEDMGR.EXE
D:\PROGRAMS\WINPATROL\WINPATROL.EXE
D:\PROGRAMS\ICQ\ICQLITE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMS\PALM\HOTSYNC.EXE
D:\PROGRAMS\TDSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tiscali.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\PROGRAMME\WS_FTP PRO\WSBHO2K0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMS\ACROBAT READER 5\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRAMS\TDSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [WinPatrol] "d:\PROGRAMS\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\programs\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [SmcService] D:\PROGRAMS\FIREWA~1\SMC.EXE -startgui
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [SmcService] D:\PROGRAMS\FIREWALL SPF\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] D:\programs\avast 4 Home viruskit\ashServ.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMS\ICQ\ICQLITE.EXE -trayboot
O4 - Startup: HotSync Manager.lnk = D:\programs\palm\hotsync.exe
O4 - Startup: Microsoft Office.lnk = D:\programs\Office 2000 prof\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programs\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programs\ICQ\ICQLite.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab


@cidre das werde ich jetzt mal ausprobieren

@cidre

[QUOTE=Cidre]Überprüfe die drei nicht gefundenen Dateien nochmals mit Total Commander ->
QUOTE]

ach ich glaube du hast da was falsch verstanden bzw habe ich mich missverständlich ausgedrückt!

die 3 dateien DeskAdServ.exe, DeskAdKeep.exe, DeskAdComm.dll habe ich unter C:\Program Files\DeskAdServ gefunden. diesen ordner habe ich auch nicht mit HJT gefunden sondern das programm WinPatrol hat mich auf diese anwendung aufmerksam gemacht!

Was ich aber nicht finde sind aus dem HJT scan ist:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\PROGRA~1\MPLAYER\ASSETS\blank.htm

hier finde ich nicht "ASSETS\blank.htm"
MPLAYER finde ich auch nicht, aber das ist wohl die Abkürzung für "Windows Media Player", oder?



O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

hier finde ich nicht win32ie4.cab


aber da ich diese sachen vorhin gefixt habe und den ordner DeskAdServ manuell gelöscht habe sind die ja jetzt alle weg/gelöscht und im explorer nicht mehr auffindbar.

hier die ergebnisse vom neuesten HJT scan:

http://www.hijackthis.de/logfiles/ef...3e5e57a80.html

ist jetzt bei mir wieder alles OK?

raven3110

So wie ich das sehe hast du deine auswertung mit Microsoft Baseline gemacht, falls nicht lade es Dir gratis runter es erfüllt fast den gleichen zweck wie Hijack
und so weit ich sehe wenn du den scan im abgesicherten modus durchgeführt hast ist dei rechner sauber.

freundlichst raven3110

Zitat:

Zitat von philxxx

hier die ergebnisse vom neuesten HJT scan:


http://www.hijackthis.de/logfiles/ef...3e5e57a80.html

ist jetzt bei mir wieder alles OK?