@ gn8

Lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear".

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

infected by "not-a-virus:AdWare.Look2Me.u"

C:\WINNT\system32\fjamebuf.dll
C:\WINNT\system32\iOsperf.dll
C:\WINNT\system32\ltghours.dll
C:\WINNT\system32\m8640ijqe8oe0.dll
C:\WINNT\system32\obeprn.dll
C:\WINNT\system32\wxaueng.dll
C:\WINNT\system32\wxcsapi.dll
C:\WINNT\system32\fjamebuf.dll
C:\WINNT\system32\iOsperf.dll
C:\WINNT\system32\ltghours.dll
C:\WINNT\system32\m8640ijqe8oe0.dll
C:\WINNT\system32\obeprn.dll
C:\WINNT\system32\wxaueng.dll
C:\WINNT\system32\wxcsapi.dll

Solltest Du die dll's nicht löschen können, versuche es so:

Cidre und Chaosman zum löschen von DLL's zitiert:
"entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollte die Datei sich löschen lassen: C:\WINNT\system32\fjamebuf.dll ." Lösche/fixe nun auch die anderen Einträge.

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Wenn das auch nicht funktioniert, lade die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. (Antwort zum DSO Exloit bei der Anwendung von Spybot-Search & Destroy 1.3). Scanne Deinen Rechner mit den beiden Programmen nacheinander und lass alle bestehenden Probleme beheben.


Entfernung von Würmern:

trendmicro:
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Trash\MESSAGES.TBB infected by "I-Worm.Bagle.at"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\kobinet\MESSAGES.TBB infected by "I-Worm.Tanatos.a"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\erledigt\MESSAGES.TBB infected by "I-Worm.BadtransII"

Anti W32.Klez (Varianten A-I):
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\Andrea Trenner\erledigt\MESSAGES.TBB infected by "I-Worm.Klez.h"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Sent\MESSAGES.TBB infected by "I-Worm.Klez.e"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\lebenshilfe\MESSAGES.TBB infected by "I-Worm.Klez.h"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\Sent\MESSAGES.TBB infected by "I-Worm.Klez.h"

Anti W32.NetSky (alle Varianten):
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\mailadmin\MESSAGES.TBB infected by "I-Worm.NetSky.b"

Clear all ist gemacht.

Anzeige aller Dateien ist und bleibt immer eingestellt (gewesen).

Habe w2k und kann keine Systemwiederherstellung ausschalten.

DLLs ließen sich problemlos löschen.

Spyware und Adware haben bestehende Probleme behoben.

An den anderen "Infekten" arbeite ich jetzt manuell, da sie teilweise nicht einmal erkannt wurden (Netsky z.B.).

Vorläufiges Ergebnis: Rechner läuft, keine Werbeseiten seit 4 Stunden, jedoch zu hoher Traffic (sowohl senden wie empfangen). Papierkorb des Nutzers noch immer als gefüllt angezeigt, Löschrückfrage nach 2 Datein, die bleiben unsichtbar, lassen sich aber auch nicht löschen. Neue gelöschte Dateien sind im Papierkorb auch nicht sichtbar. Dies alles nur beim Nutzer, nicht beim Administrator.

Es bleiben noch oder immer noch:

Jan 15 00:59:18 2005 => WINNT\system32\cwmuid.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 00:59:49 2005 => WINNT\system32\irpol5731.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 00:59:51 2005 => WINNT\system32\jr4025hmg.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 01:01:10 2005 => WINNT\system32\wunsock.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Jan 15 01:54:21 2005 => DuE\wdt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.

... obwohl MSIE seitdem nicht mehr geöffnet.

Papierkorb unverändert nicht "normal", Traffic noch immer zu hoch

WINNT\system32\cwmuid.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\irpol5731.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\jr4025hmg.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\wunsock.dll infected by "not-a-virus:AdWare.Look2Me.u"
\Dokumente und Einstellungen\wdt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus.

Das ist, zusammen mit dem gefüllten und unansehbaren sowie unlöschbaren Papierkorb der derzeitige Stand, auch nach mehrmaligem Verwenden der Tools.

Hat jemand zum mysteriösen Papierkorb eine Idee? Ich denke, dass dort eine Quelle (oder zwei) zu finden sein wird.

@ gn8

Befolge diese Vorgehensweise dann ist das Papierkorb Problem behoben.
http://www.pcwelt.de/forum/showpost....99&postcount=4

Zum Rest deiner Leidensgeschichte:
Ich bin zwar nicht begeistert aber versuchs mal mit dem Uninstaller -> http://www.look2me.com/cgi-bin/UnInstaller

Zitat:

Zitat von Cidre

... diese Vorgehensweise dann ist das Papierkorb Problem behoben.

Jetzt ist das Papierkorbsymbol vom Desktop verschwunden, jedoch auf jeder Festplatte blieb der Ordner RECYCLER mit einem Inhalt von einem Papierkorbsymbol unter dem Namen: S-1-5-21-1482476501-920026266-1343024091-1000 das sich nicht löschen lässt weil angeblich in Benutzung (weder im gesicherten noch sonstwie Modus).

Zitat:

Zitat von Cidre

... versuchs mal mit dem Uninstaller

Unter dem Link verbarg sich zwar ein sogenanntes "Lizenzabkommen", aber Klicken auf I accept brachte nix (kein Download). Im Quelltext der Seite war leider auch nix zu erkennen. Vielleicht sammeln die da nur weitere Opfer, denn kurz danach hatte ich wieder zwei exe in den Downloaded Internet Files .

Wenn niemandem nix erhellendes mehr einfällt kaufe ich mir morgen eine neue Platte, die beiden Datenplatten sind ja glücklich nicht betroffen.

Dank für alle Bemühungen!