Ich habe keinen Zweit PC, werde auch noch mal im abgesicherten Modus starten, wenn ich nachher mehr Zeit habe. Muss noch einmal los. Scan läuft nun noch einmal so.

Im Win/System32 Ordner sehe ich alle Icons die immer von dem Virus auf dem Desktop angelegt werden. Dort sind eine Menge Dateien die dazu gehören.

Poste gleich den Scan wenn er fertig ist, dauert schon über 30 Minuten.

cookie

Ich habe zunächst soweit alles manuell löschen können. Ausser ein paar Dateien mit diesem Pfad hier, der Wird mir im Dateiexporer nicht angezeigt. Muss ich dafür in Ms Dos wechseln?

Zitat:

C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP1\A0004081.dll infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.c" Virus. Action Taken: No Action Taken.

Ausserdem hier noch mal die Zusammenfassung, um die Errors habe ich mich nicht gekümmt?

Zitat:

Sun Mar 27 20:38:24 2005 => ***** Scanning complete. *****

Sun Mar 27 20:38:24 2005 => Total Files Scanned: 49068
Sun Mar 27 20:38:24 2005 => Total Virus(es) Found: 35
Sun Mar 27 20:38:24 2005 => Total Disinfected Files: 0
Sun Mar 27 20:38:24 2005 => Total Files Renamed: 0
Sun Mar 27 20:38:24 2005 => Total Deleted Files: 0
Sun Mar 27 20:38:24 2005 => Total Errors: 94
Sun Mar 27 20:38:24 2005 => Time Elapsed: 01:03:09
Sun Mar 27 20:38:24 2005 => Virus Database Date: 2005/03/24
Sun Mar 27 20:38:24 2005 => Virus Database Count: 123152

Was nun? Gruß und Dank für eure Hilfe

cookie

Poste bitte, was genau von eScan gefunden wurde.

Deaktiviere die Systemwiederherstellung.

Boote in den abgesicherten Modus und fixe mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://register.hp.com/servlet/WebR...D=java_wreg_wr eg_genpg&product_name=HP%20compaq%20nx7000%20(DG706A#ABD)&PROD_SERIAL_ID=CND34802
TJ&PURCH_DT_MONTH=12&PURCH_DT_DAY=17&PURCH_DT_YEAR=2003&gwCountry=DE (außer es sagt dir irgendwas)

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll

O3 - Toolbar: (no name) - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - (no file)

O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE (siehe unten)

lösche manuell:
C:\WINDOWS\isrvs
C:\WINDOWS\system32\netsync.exe
C:\WINDOWS\system32\rsyncmon.dll
C:\WINDOWS\system32\trgen.dll
C:\WINDOWS\System32\PSSDNSVC.EXE (siehe unten)
die restlichen von eScan beanstandeten Dateien.

Neustart und Systemwiederherstellung wieder aktivieren.

Neues Logfile und die Virus-Log-Information von eScan posten.

Scanne die Datei C:\WINDOWS\System32\PSSDNSVC.EXE online bei http://virusscan.jotti.org/de
Falls sie infiziert sein sollte, den Eintrag fixen und löschen. Falls nicht, bitte bei www.malwareupload.com hochladen und die Antwort abwarten (bis dahin nicht fixen oder löschen).

Guten Morgen Haui,

ich habe die Datei Hochgeladen und scannen lasssen:

Zitat:

Datei: PSSDNSVC.EXE
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

Alle anderen Einträge habe ich gelöscht:

Zitat:

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Virusproblem\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE

Soll ich denn wenn wir fertig sind den IE noch mal wieder benutzen um zu sehen ob alles wieder richtig funktioniert? Wäre ich schon gespannt daruaf. Bin jetzt mit Firefox online.

Cu cookie

Zitat:

Soll ich denn wenn wir fertig sind den IE noch mal wieder benutzen um zu sehen ob alles wieder richtig funktioniert?

Kannst du machen, aber keine dubiosen Seiten besuchen.
Log ist soweit sauber.
btw: am besten nur noch mit FF "surfen".

EDIT: hast du die Datei auch bei www.malwareupload.com hochgeladen? Ergebnis?

Nein habe ich nicht, komme nun auch die nächsten Tage nicht an den Laptop ran.

Danke für deine Hilfe. Ich melde mich wieder wenn ich den IE noch mal benutz habe.

Gruß cookie

Ich hatte auch geraume Zeit Probleme mit der Hotsearchbar bis man mir XOFTSPY empfohlen hat und ich es auch mit Erfolg angewendet habe. Nun ist alles wieder normal und meine gewohnte Seite geht beim öffnen vom Explorer auf,,Gott sei Dank!!