Hi,

führe mal den eScan aus. Haken setzen bei All local drives und All Scan Files.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

danke. werd mich gleich mal drann machen!!!

=> Total Files Scanned: 104860
=> Total Virus(es) Found: 54
=> Total Disinfected Files: 0
=> Total Files Renamed: 0
=> Total Deleted Files: 0
=> Total Errors: 172
=> Time Elapsed: 03:19:11
=> Virus Database Date: 2005/03/22
=> Virus Database Count: 122913

=> Scan Completed.

hier die Viren:

C:\WINDOWS\system32\MTE1Mzc6ODoxMg.exe infected by not-a-virus:AdWare.ToolBar.ISearch.d
C:\WINDOWS\system32\kPjslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\icont.exe infected by not-a-virus:AdWare.AdURL.c
C:\WINDOWS\iconu.exe infected by not-a-virus:AdWare.Zestyfind
C:\WINDOWS\system32\cgyptsvc.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\k6jslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\kPjslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\icont.exe infected by not-a-virus:AdWare.AdURL.c
C:\WINDOWS\iconu.exe infected by not-a-virus:AdWare.Zestyfind
C:\WINDOWS\system32\cgyptsvc.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\hytpapi.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\k6jslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\C52F8L6B\AppWrap[1].exe infected by not-a-virus:AdWare.AdURL.c
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\CLENG1EN\AppWrap[1].exe infected by Trojan-Dropper.Win32.Small.of
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\CLENG1EN\AppWrap[2].exe infected by not-a-virus:AdWare.Zestyfind
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\CP2RS9A7\AppWrap[1].exe infected by Trojan-Dropper.Win32.Small.of
C:\WINDOWS\system32\kPjslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\icont.exe infected by not-a-virus:AdWare.AdURL.c
C:\WINDOWS\iconu.exe infected by not-a-virus:AdWare.Zestyfind
C:\WINDOWS\system32\cgyptsvc.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\hytpapi.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\k6jslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\C52F8L6B\AppWrap[1].exe infected by not-a-virus:AdWare.AdURL.c
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\CLENG1EN\AppWrap[1].exe infected by Trojan-Dropper.Win32.Small.of
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\CLENG1EN\AppWrap[2].exe infected by not-a-virus:AdWare.Zestyfind
C:\DOKUME~1\FLORER~1.K-R\LOKALE~1\TEMPOR~1\Content.IE5\CP2RS9A7\AppWrap[1].exe infected by Trojan-Dropper.Win32.Small.of
C:\Dokumente und Einstellungen\FloReRo\Anwendungsdaten\Thunderbird\Profiles\ysx6ikzv.default\Mail\Local Folders\Junk infected by Trojan-Spy.HTML.Bankfraud.ca
C:\Dokumente und Einstellungen\FloReRo.K-R65E6N4BPKGAM\Anwendungsdaten\Thunderbird\Profiles\eqpdz4jw.default\Mail\Local Folders\Inbox infected by Trojan-Spy.HTML.Bankfraud.cm
C:\Dokumente und Einstellungen\FloReRo.K-R65E6N4BPKGAM\Anwendungsdaten\Thunderbird\Profiles\eqpdz4jw.default\Mail\Local Folders\Junk infected by Trojan-Spy.HTML.Bankfraud.cm
C:\Dokumente und Einstellungen\FloReRo.K-R65E6N4BPKGAM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C52F8L6B\AppWrap[1].exe infected by not-a-virus:AdWare.AdURL.c
C:\Dokumente und Einstellungen\FloReRo.K-R65E6N4BPKGAM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLENG1EN\AppWrap[1].exe infected by Trojan-Dropper.Win32.Small.of
C:\Dokumente und Einstellungen\FloReRo.K-R65E6N4BPKGAM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLENG1EN\AppWrap[2].exe infected by not-a-virus:AdWare.Zestyfind
C:\Dokumente und Einstellungen\FloReRo.K-R65E6N4BPKGAM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CP2RS9A7\AppWrap[1].exe infected by Trojan-Dropper.Win32.Small.of
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP48\A0008880.exe infected by Trojan-Downloader.Win32.Small.aco
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP48\A0008881.exe infected by not-a-virus:AdWare.ToolBar.ISearch.d
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP48\A0008892.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP48\A0008898.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008905.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008908.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008914.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008929.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008935.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008938.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP49\A0008944.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP51\A0008959.exe infected by not-a-virus:AdWare.Zestyfind
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP51\A0008992.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP51\A0009002.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP51\A0009004.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP51\A0009010.DLL infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009019.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009124.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009130.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009150.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009156.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009159.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009166.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009172.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009173.exe infected by Trojan-Downloader.Win32.Small.aco
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009178.exe infected by not-a-virus:AdWare.AdURL.c
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009180.exe infected by not-a-virus:AdWare.ToolBar.ISearch.d
C:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP52\A0009181.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\icont.exe infected by not-a-virus:AdWare.AdURL.c
C:\WINDOWS\iconu.exe infected by not-a-virus:AdWare.Zestyfind
C:\WINDOWS\system\UpdInst.exe infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\cgyptsvc.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\hytpapi.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\system32\k6jslg1716.dll infected by not-a-virus:AdWare.Look2Me.ab
C:\WINDOWS\Temp\bw2.com infected by not-a-virus:AdWare.AdURL.c
D:\System Volume Information\_restore{B17CEFCB-5E9D-4B3E-A6B7-1A16D4B0E4C5}\RP46\A0007666.exe infected by not-a-virus:AdWare.NavExcel.d
E:\Pinnacle\Studio 9\OEM\hfx55StudioSilentDemo.exe infected by not-a-virus:Tool.Win32.Reboot

Überprüfe die Datei C:\WINDOWS\system32\f2l02c3mgf.dll online bei http://virusscan.jotti.org/de/ und poste das Ergebnis.
Antwort abwarten und erst dann folgendes durchführen.


Deaktiviere die Systemwiederherstellung.

Boote in den abgesicherten Modus und fixe mit HijackThis (Haken setzen und "fix checked" anklicken):

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\f2l02c3mgf.dll


Lösche manuell:
Temp Files + Temporary Internet Files z.B. mit www.clearprog.de
C:\WINDOWS\system32\f2l02c3mgf.dll
Die Funde von eScan, außer C:\System Volume Information\_restore und Tool.Win32.Reboot

Neustart und Systemwiederherstellung wieder aktivieren.


Mit Spybot Search&Destroy und Ad-Aware scannen.


Falls du die Dateien nicht finden kannst, nimm bitte die folgenden Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

leider kann ich die datei nicht finden. hab alles so eingestellt wie beschrieben... komisch

OK, dann wird die Datei nicht mehr vorhanden sein, aber ich vermute, dass es sowieso "nur" Adware war. Führe die oben beschriebenen Schritte durch.

hi!

voerst mal danke für die hilfe!
hab alles gemacht wie beschrieben (sogar 2x)
bei scannen mit Ad-Aware findet er trotzdem immer wieder folgendes:

Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:auto.search.msn.com


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:auto.search.msn.com
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:search.netscape.com


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:search.netscape.com
Warnung!
Fehlerhafter Eintrag in Hosts-Datei:69.20.16.183:ieautosearch


Redirected hostfile entry Objekt erkannt!
Typ : Hosts file
Daten : 69.20.16.183
Kategorie : Misc
Kommentar : Possible CoolWebSearch Hijack
Bad Hostfile entry : 69.20.16.183:ieautosearch

außerdem wurde ich soeben, während ich hier schreibe, auf diese blöde "spotresults.com" Seite umgeleitet.


bitte um Hilfe!!! Danke!