Hallo Leute,

ich bin neu und total verzweifelt:
habe seit Ende Januar den o.g. ?Trojaner und bekomme ihn nicht weg...
(habe Win98, AntiVir Personal Edition)

Beim Durchlauf der Suchfunktion bei AntiVir wird mir die "Warnung" angezeigt, das irgendwas mit ? rundll32 nicht richtig ist, aber AntiVir dieses nicht löschen kann ...

Könnt Ihr mir helfen?
Jens

@MaryJo5001

Zitat:

habe seit Ende Januar den o.g. Trojaner

Wo hast du ihn? Pfadangaben, am Besten als "Zitat" aus dem Scanprotokoll.

Zitat:

Beim Durchlauf der Suchfunktion bei AntiVir wird mir die "Warnung" angezeigt, das irgendwas mit rundll32 nicht richtig ist, aber AntiVir dieses nicht löschen kann ...

Rundll ist , im Grunde gesehen, eine wichige Systemdatei.
Guck mal noch im AVPE-Forum: http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi

die reportdatei läßt sich leider nicht anzeigen, weil angeblich die datei andersweitig benutzt wird ... ???

hilft dir das weiter ?

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.16 807424 28.02.2005 21:18:48
SYS_RW16.DLL : v6.19.0 12800 04.12.2003 10:32:34
SYS_RW32.DLL : v6.19.0 16384 04.12.2003 10:32:34
AVGCTRL.EXE : v6.28.00.00 86016 05.10.2004 17:06:24
AVGUARD.VXD : v6.29.0.16 498079 28.02.2005 21:18:48
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 24.09.2003 15:30:00
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 17.09.2003 15:56:46
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 05.10.2004 17:06:28
AVREG.DLL : v6.27.00.01 41000 04.08.2004 12:15:34
AVRep.DLL : v6.29.00.150 983080 28.02.2005 21:18:50
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
MFC42.DLL : v6.00.8665.0 995383 25.02.2004 14:50:22
MSVCRT.DLL : v6.00.8797.0 278581 10.10.2001 18:00:36
CTL3D32.DLL : v2.31.000 45056 05.05.1999 22:22:00
CTL3DV2.DLL : v2.31.000 27632 05.05.1999 22:22:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\VIRENSCANNER\AVWIN.INI
Name der Reportdatei: C:\VIRENSCANNER\LOGFILES\AVWIN.LOG
Startpfad: C:\VIRENSCANNER
Kommandozeile:
Startmodus: Selbsttest

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/9x Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Systemdateien
COMMAND.COM OK
VIDEOROM.BIN OK
MSDOS.SYS OK
DETLOG.TXT OK
IO.SYS OK
MSDOS.BAK OK
DETLOG.OLD OK
mssys.exe OK
msdos.exe OK
ST1.exe OK
cnt.dat OK
WINLFN.INI OK
Systemtest: OK
Selbsttest: OK

@MaryJo5001

Zitat:

die reportdatei läßt sich leider nicht anzeigen, weil angeblich die datei andersweitig benutzt wird ... ???

Es muss eine Log-Datei sein, einfaches Textdokument !
mach noch mal Fullscan und notiere die Virenmeldung.

Zitat:

hilft dir das weiter ?

Nicht wirklich

hier das letzte aus der avguard.log (die unter WordPat nicht zum anzeigen geht( habs aber mit WinWord öffnen können)

28.02.2005 22:22:36: AntiVir Guard 9x wurde gestartet.
01.03.2005 18:28:10: AntiVir Guard 9x 6.29.0.16 (c) 1999-2005 H+BEDV Datentechnik GmbH
01.03.2005 18:28:12: AntiVir Guard 9x wurde gestartet.
01.03.2005 18:28:59: Die Datei "C:\WINDOWS\MSHCCI.DLL" ist infiziert mit dem Virus "PMS/Toolbar.Twocc"
01.03.2005 18:29:17: Die Datei wurde gel”scht.
01.03.2005 18:29:17: Der Zugriff wird nicht erlaubt.


ich mache jetzt mal den Fullscan ...

@ MaryJo5001

ich glaube bald da ist noch mehr auf Deinem System, deshalb würde ich vorschlagen scanne mal mit eScan siehe Beschreibung unten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

beim Fullscan ...:


„Datei:rundlg32(1).cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert oder gelöscht!

Möchten Sie diese Meldung weiterhin für jedes Archiv mit infizierten Dateien erhalten ?

---Ja (hab ich angeklickt) ---nein

dann stand in den window , in dem man den aktuellen Verlauf sehen kann (also vieviele Dateien schon überprüft, wie lange es gedauert hat usw...)
Letzte Meldung:
TR/Clicker.Agent.N.1.


Nach Abschluß des Suchvorganges stand dann :
In einem oder mehreren Archiven wurden Viren bzw. unerwünschte Programme gefunden!
Infizierte Dateien in Archiven werden nicht repariert oder gelöscht!

--- OK

das wars !!!
hier noch der Report ....

ich hoffe, du kannst daraus was erkennen ( ich nämlich nicht ;-))


Avwin.log

Start des Suchlaufs: Dienstag, 1. März 2005 20:30

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\WINDOWS
msgmfb.dll
Die Datei enthält Signatur des PMS/Toolbar.Twocc-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\TEMP
Acr70B4.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temporary Internet Files\Content.IE5\95B79OZ4
shop_0_14[1].cab
ArchiveType: CAB (Microsoft)
--> toolbar\channels\shop\shop.html
WARNUNG! Fehler beim Öffnen der Datei
C:\WINDOWS\Temporary Internet Files\Content.IE5\0JXRA2BH
rundlg32[1].cab
ArchiveType: CAB (Microsoft)
--> rundlg32.dll
[FUND!] Ist das Trojanische Pferd TR/Clicker.Agent.N.1
shop_0_14[1].cab
ArchiveType: CAB (Microsoft)
--> toolbar\channels\shop\shop.html
WARNUNG! Fehler beim Öffnen der Datei
C:\ATTIC\HDMEERE\DATA
MBUIL.DAT
ArchiveType: UUEncoded (+.XXEncoded)
--> unkwn0
HINWEIS! Unerwartetes Dateiende erreicht

Ende des Suchlaufs: Dienstag, 1. März 2005 20:44
Benötigte Zeit: 14:08 min


789 Verzeichnisse wurden durchsucht
26241 Dateien wurden geprüft
3 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden


das mit dem eSan probiere ich jetzt mal (wenn ich das hinkriege...)

wie groß ist denn die updatedatei ?

ich lade schon seit ?ca. 45 Min die updatedatei ...

(habe leider nur ein 56 k modem ...)

bei 56k musst du etwas gedult haben bis alle runter sind,
die letzte ist glaube ich X-files.avc

so, bin soweit fertig, hier das ergebnis:


Virus Log Information:

File C:\WINDOWS\msgmfb.dll infected by "not-a-virus:AdWare.Toolbar.Twocc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hh.htt infected by "Trojan.JS.Zapchast.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\092FO12F\stats[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GD6NOLQJ\installer[1].htm infected by "Trojan-Downloader.JS.Small.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GD6NOLQJ\stats[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GD6NOLQJ\in[2].js infected by "Trojan-Downloader.VBS.Small.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GD6NOLQJ\fantaporn[1].htm infected by "Trojan-Clicker.JS.Linker.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HPAQCTPF\stats[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HPAQCTPF\gol[1].html infected by "Trojan-Downloader.VBS.Small.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HPAQCTPF\a[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HPAQCTPF\counter[3].htm infected by "Trojan-Downloader.VBS.Small.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HPAQCTPF\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\oldman[1].htm infected by "Trojan-Downloader.VBS.Small.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\stats[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\hetro3[1].htm infected by "Trojan.JS.NoClose.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\11225[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\installer[1].htm infected by "Trojan-Downloader.JS.Small.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\20647[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\95B79OZ4\stats[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\95B79OZ4\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.



File scanned:


Tue Mar 01 22:36:46 2005 => ***** Scanning INI Files *****

Tue Mar 01 22:36:46 2005 => ***** Scanning StartUp Folders *****

Tue Mar 01 22:36:46 2005 => ***** Scanning C:\WINDOWS\Startmenü\Programme\Autostart Folder *****
Tue Mar 01 22:36:46 2005 => Scanning Folder: C:\WINDOWS\Startmenü\Programme\Autostart\*.*

Tue Mar 01 22:36:47 2005 => ***** Scanning C:\WINDOWS\All Users\Startmenü\Programme\Autostart Folder *****
Tue Mar 01 22:36:47 2005 => Scanning Folder: C:\WINDOWS\All Users\Startmenü\Programme\Autostart\*.*

Tue Mar 01 22:36:47 2005 => ***** Scanning Service Files *****
Tue Mar 01 22:36:47 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Tue Mar 01 22:36:47 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Tue Mar 01 22:36:47 2005 => ***** Scanning System32 Folders *****
Tue Mar 01 22:36:47 2005 => Scanning C:\WINDOWS Directory
Tue Mar 01 22:36:47 2005 => Scanning Folder: C:\WINDOWS\*.*
Tue Mar 01 22:37:37 2005 => Scanning C:\WINDOWS\SYSTEM Directory
Tue Mar 01 22:37:37 2005 => Scanning Folder: C:\WINDOWS\SYSTEM\*.*

Tue Mar 01 22:40:20 2005 => Scanning C:\WINDOWS\TEMP Directory
Tue Mar 01 22:40:20 2005 => Scanning Folder: C:\WINDOWS\TEMP\*.*
Tue Mar 01 22:40:20 2005 => Scanning Folder: C:\WINDOWS\TEMP\msoclip1\*.*
Tue Mar 01 22:40:20 2005 => Scanning Folder: C:\WINDOWS\TEMP\msoclip1\01\*.*
Tue Mar 01 22:40:20 2005 => Scanning Folder: C:\WINDOWS\TEMP\~EXB0000\*.*
Tue Mar 01 22:40:21 2005 => Scanning Folder: C:\WINDOWS\TEMP\msie5\*.*
Tue Mar 01 22:40:23 2005 => Scanning Folder: C:\WINDOWS\TEMP\FrontPageTempDir\*.*
Tue Mar 01 22:40:30 2005 => Scanning Folder: C:\WINDOWS\TEMP\VBE\*.*
Tue Mar 01 22:40:31 2005 => Scanning Folder: C:\WINDOWS\TEMP\IXP000.TMP\*.*
Tue Mar 01 22:41:01 2005 => Scanning Folder: C:\WINDOWS\TEMP\IXP001.TMP\*.*
Tue Mar 01 22:41:30 2005 => Scanning Folder: C:\WINDOWS\TEMP\PPT10.0\*.*
Tue Mar 01 22:41:39 2005 => Scanning Folder: C:\WINDOWS\TEMP\Download\*.*
Tue Mar 01 22:41:39 2005 => Scanning Folder: C:\WINDOWS\TEMP\Bases\*.*
Tue Mar 01 22:41:40 2005 => Scanning Folder: C:\WINDOWS\TEMP\KAV Updater update files\*.*

Tue Mar 01 22:41:40 2005 => Scanning C:\WINDOWS\TEMPOR~1\CONTENT.IE5 Directory
Tue Mar 01 22:41:40 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\*.*
Tue Mar 01 22:41:41 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\092FO12F\*.*
Tue Mar 01 22:42:23 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GD6NOLQJ\*.*
Tue Mar 01 22:43:03 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HPAQCTPF\*.*
Tue Mar 01 22:43:44 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\85UJKD2J\*.*
Tue Mar 01 22:44:32 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\95B79OZ4\*.*
Tue Mar 01 22:45:14 2005 => Scanning Folder: C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GDIN4HM3\*.*
Tue Mar 01 22:45:45 2005 => Please Wait Exiting Application...

Tue Mar 01 22:45:46 2005 => Total Files Scanned: 13292
Tue Mar 01 22:45:46 2005 => Total Virus(es) Found: 20
Tue Mar 01 22:45:46 2005 => Total Disinfected Files: 0
Tue Mar 01 22:45:46 2005 => Total Files Renamed: 0
Tue Mar 01 22:45:46 2005 => Total Deleted Files: 0
Tue Mar 01 22:45:46 2005 => Total Errors: 0
Tue Mar 01 22:45:46 2005 => Time Elapsed: 00:09:05

Tue Mar 01 22:45:46 2005 => ***** Scanning complete. *****
Tue Mar 01 22:45:46 2005 => Virus Database Date: 2005/03/01
Tue Mar 01 22:45:46 2005 => Virus Database Count: 119869

Tue Mar 01 22:45:46 2005 => Scan Completed.




Ich hoffe, das hilft weiter. Die mwav.log datei hat 1168 Seiten ...
anscheinend 20 Vieren .... wie muß ich weiter verfahren ? kann ich den jeweiligen Pfad inkl. der datei einfach löschen ? oder hilft bei mir nur noch "format C:" ???

vielen dank schon mal bis hier her ...

lade dieKillbox
lade Clearprog
foldende Datei im abgesicherten Modus mit Killbox löschen:
File C:\WINDOWS\msgmfb.dll
Datei laden rotes Kreuz drücken
Clearprog starten Haken bei alles löschen und auf ok

Zitat:

ue Mar 01 22:45:46 2005 => Time Elapsed: 00:09:05

Der eScan wurde nicht richtig ausgeführt, entweder hast Du nicht im abgesicherten Modus gescannt oder Haken bei Drive und Scan All Files hat gefehlt

Also nochmal scannen. Escan dauert ca. 1Stunde

Hier das ergebnis:


Wed Mar 02 14:10:23 2005 => Checking for Sobig.e Virus...
Wed Mar 02 14:10:23 2005 => Checking for Winupie Virus...
Wed Mar 02 14:10:23 2005 => Checking for Swen Virus...
Wed Mar 02 14:10:24 2005 => Checking for JS.Fortnight Virus...
Wed Mar 02 14:10:24 2005 => Checking for Novarg Virus...
Wed Mar 02 14:10:24 2005 => Checking for Pagabot Virus...
Wed Mar 02 14:10:24 2005 => Checking for Parite.b Virus...
Wed Mar 02 14:10:24 2005 => Checking for Parite.a Virus...

Wed Mar 02 14:10:24 2005 => ***** Scanning complete. *****
Wed Mar 02 14:10:24 2005 => Total Files Scanned: 11771
Wed Mar 02 14:10:24 2005 => Total Virus(es) Found: 7
Wed Mar 02 14:10:24 2005 => Total Disinfected Files: 0
Wed Mar 02 14:10:24 2005 => Total Files Renamed: 0
Wed Mar 02 14:10:24 2005 => Total Deleted Files: 0
Wed Mar 02 14:10:24 2005 => Total Errors: 0
Wed Mar 02 14:10:24 2005 => Time Elapsed: 00:38:18
Wed Mar 02 14:10:24 2005 => Virus Database Date: 2005/03/01
Wed Mar 02 14:10:24 2005 => Virus Database Count: 119869

Wed Mar 02 14:10:24 2005 => Scan Completed.




Virus Log Information
File C:\WINDOWS\hh.htt infected by "Trojan.JS.Zapchast.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\WEB\tips.ini infected by "Trojan.JS.Zapchast.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hh.htt infected by "Trojan.JS.Zapchast.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\!Submit\msgmfb.dll infected by "not-a-virus:AdWare.Toolbar.Twocc" Virus. Action Taken: No Action Taken.


Hab ich jetzt noch 3 oder 7 Viren ? (auf jeden Fall schon mal besser als die vorherigen 20 !;-))

Wie soll ich die restlichen löschen ?

Hilft es für die zukunft einen anderen benutzer zu hinterlegen mit eingeschränkten rechten und/oder die sicherheitsstufe im IE auf hoch statt mittel zu setzen ???

folgende Dateienim abgesicherten Modus mit Killbox löschen:

C:\WINDOWS\hh.htt
C:\WINDOWS\WEB\tips.ini
C:\Programme\Gemeinsame Dateien\aolback\comp01.000
C:\!Submit\msgmfb.dll

Zitat:

Wed Mar 02 14:10:24 2005 => Time Elapsed: 00:38:18

das erscheint mir immer noch zu wenig
hast Du so wenig auf Deiner Platte??

Erstelle ein Hijack This Logfile im normalen Modus und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

hab ich gemacht ...

Logfile of HijackThis v1.99.1
Scan saved at 18:27:27, on 02.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\VIRENSCANNER\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.windowws.cc/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowws.cc/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.windowws.cc/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.windowws.cc/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://ie.search.psn.cn/
O1 - Hosts: 1089288654 xuto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [AVGCtrl] C:\VIRENSCANNER\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {E04EAE82-14AD-41CB-BF5A-45556ABB8347} (WebCoachDownload Class) - http://esupport.aol.de/de/engine/aolcinst_de_de.cab

ist jetzt alles weg ?
was meinst du zu meinen überlegten maßnahmen (IE sicherheit, 2.benutzer) ?

habe wirklich nicht viel auf festplatte, kann also sein mit der angegebenen zeit ...

mir kommt es so vor, als ob mein pc auch ne ecke schneller ist. kann das sein ?