...da bin ich mal wieder. Hatte in der letzten Zeit nie Probleme mit dem rechner, nur jetzt tauchen jetzt ein paar kleinere Problemchen auf.

Wenn ich Spybot laufen lasse, findet er zwei Probleme, welche sich nicht behebne lassen. backWeb lite oder sowas in der Art. Nur jetzt bitte nicht wieder neu aufsetzen lassen. habe ich vor kurzem erst getan, jetzt muss ich, oder besser will ich das irgendwie anders lösen.

Hier erstmal mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 15:13:11, on 28.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\F-Secure Internet Security\fswsclds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Cisco Systems\VPN Client\ipseclog.exe
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-bielefeld.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hierzu mal folgende Fragen:
Was ist..C:\Programme\Gemeinsame Dateien\MicrosoftShared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe

Zudem sind dort noch Einträge von F.Secure und Telekon Eumex, welches ich nicht mehr nutze, wie bekomme ich das weg?

Und hier das ergebnis von eScan:
File C:\Dokumente und Einstellungen\Mitschi\Anwendungsdaten\Thunderbird\Profiles\lz84cr3h.default\Mail\Local Folders\Trash infected by "not-a-virus:AdWare.Casino.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DB7FE372-E197-4A30-802E-C4AB06A00AEF}\RP40\A0027647.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Was kann ich machen?

Gruss
Michi

Hallo,

Zitat:

Wenn ich Spybot laufen lasse, findet er zwei Probleme...backWeb lite oder sowas in der Art.

Sollte imho zur LogiTech gehören und ist unbedenklich. Poste trotzdem den genauen Wortlaut des Fundes.

Zitat:

Was ist..C:\Programme\Gemeinsame Dateien\MicrosoftShared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe

Kannst du alles hier nachlesen.

Zitat:

Zudem sind dort noch Einträge von F.Secure und Telekon Eumex, welches ich nicht mehr nutze, wie bekomme ich das weg?

Sauber über Systemsteuerung -> Software deinstallieren. Danach die verbliebenen Dienste und die zugehörigen Programm Ordner löschen, auch die Einträge mittels HJT fixen:
Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf den Dienst -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen.

Zitat:

File C:\Dokumente und Einstellungen\Mitschi\Anwendungsdaten\Thunderbird\ Profiles\lz84cr3h.default\Mail\Local Folders\Trash infected by "not-a-virus:AdWare.Casino.b" Virus. Action Taken: No Action Taken.

http://www.thunderbird-mail.de/hilfe.../antivirus.php

Habe nichts von LogiTech am Laufen!
Hier sind die genauen Bezeichnung von Spybot:

HKEY_USERS\S-1-5-18\Software\BackWeb
und
HKEY_USERS\Default\Software\BackWeb


Zudem scheint eScan im Papierkorb von Thunderbird etwas gefunden zu haben, aber der Papierkorb ist leer!

Und was der andere Eintrag den eScan gefunden hat?

das sich die mdm.exe jetzt nicht im system32 Ordner befindet handelt es sich doch jetzt nicht zwangsläufig um einen Wurm, oder?

Zitat:

das sich die mdm.exe jetzt nicht im system32 Ordner befindet handelt es sich doch jetzt nicht zwangsläufig um einen Wurm, oder?

Die Datei befindet bei dir im richtigen Ordner, diese Infos auf neuber.com sind falsch.
Du kannst den Prozess trotzdem deaktivieren, er ist meiner Meinung nach nicht notwendig.

Wie kriege ich nun die Dinger weg, die Spybot mir anzeigt? Wenn ich die Probleme beheben will, dann sagt mir Spybot, dass es nicht möglich ist, aber nach einem Neustart vielleicht behoben wird. Wird es aber nicht! Die zwei Einträge bleiben einfach!

Es gibt ja geteilte Meinungen über backweb....

Removal z.B.:
http://www.iamnotageek.com/a/359-p1.php
http://www.cexx.org/dlgli.htm

Also heißt es, dass BackWeb nicht mittelbar schädlich ist? Kann auch sein, dass es zu einem Programm gehört, welches ich installiert habe und was durchaus nicht schädlich ist?

Ja, aber wahrscheinlich wird es schon besser sein, wenn du es entfernst.

@michiman

Zitat:

Kann auch sein, dass es zu einem Programm gehört, welches ich installiert habe und was durchaus nicht schädlich ist?

Wenn ich dir ein Glas Milch gebe, wo ich ein bisschen KCN aufgelöst habe, würdest du dann auch behaupten, dass die Milch durchaus nicht schädlich ist ?
PS: Keine Angst, du kriegst von mir keine Milch geliefert

Okay, habe die Seiten studiert, kann sie aber nicht auf mein Problem übertragen. Finde Back web einfach net!!!

Wo finde ich der, die, das???

Damit mein Frage nicht verschwindet, musste ich sie leider noch einmal hochholen!

Wie bekomme ich die Dinger jetzt wech? Die zwei genannten Anleitungen verstehe ich nicht richtig! Auf jeden Fall kann ich so nichts finden!

Ist in der Systemsteuerung unter Software ein Eintrag zu diesem Programm vorhanden?
Ja, deinstallieren.
Nein, wieder melden.

Zu welcher Software? In der Systensteuerung sind nur Programme, die da auch erwünscht sind. Nichts, was ich nicht haben wollte!

Zitat:

Zitat von michiman

HKEY_USERS\S-1-5-18\Software\BackWeb
und
HKEY_USERS\Default\Software\BackWeb
Aber ich kann solche Dateien nicht finden.

Hier handelt es sich um die Registry-Einträge. Diese Dateien existieren nicht.