Wer kann mir weiterhelfen, kämpfe immer noch um ein sauberes System.
Den "F2=regedit" Kram hab ich löschen könne, dAfür finden sich nun folgende zweifelhafte Log-Einträge.
Müssen die Dateien auch weg?

C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\knlwrap.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\iKernel.exe


Spybot, die sophos Notfall CD und spysubtracct und CW-Shredder und easyspywarescanner finden nix. Mc Afee anscheinend sowieso nicht.

Der komplette log:

Logfile of HijackThis v1.99.1
Scan saved at 12:40:13, on 02.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Nero\NeroNET\NeroNET.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\OmniPage\OmniPage.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\knlwrap.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\iKernel.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Programme\Spysub\SpySub.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NeroNET - Ahead Software AG - D:\Programme\Nero\NeroNET\NeroNET.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Speedmanager\tsmsvc.exe

Hi,
lasse die beiden Dateien mal bei Jotti online scannen und berichte über das Ergebnis.
cacatoa

Scan noch

D:\Programme\OmniPage\OmniPage.exe

C:\Programme\lycos\Lyc_SysTray.exe

@ combine:
Wieso omnipage? Ist ein Zeichen-/Leseprogramm.
cacatoa

Danke für die Hilfe

Habe die beiden Dateien bei Jotti online checken lassen und síe sind für OK befunden worden.
Die automatischeHijack Logfile Auswertung postet zu den beiden Dateien: unbekannte Prozesse.

Hoffe mal das sie clean sind.

Dafür habe ich "intmonp.exe" gefunden, welches wohl eindeutig ein Trojaner ist. Hat keiner der Scanner gefunden, ich hab es manuell über das Datum der Erstinfizierung gefunden.
Auf jeder Platte liegt diese Datei in einem Ordner "Recycler" abgelegt.
Hoffe die krieg ich manuell im abgesicherten Modus gelöscht.

Nun über Jotti weitere verdächtige Dateien gescannt:
Ergebnis

TR/Dldr.Agent.LX.1
Trojan.Click.378
Trojan.Favadd.U

Bin für jede Hilfe dankbar.
Diese Datei krieg ich übrigens nicht zu Jotti hochgeladen. Gibt ne Fehlermeldung - wohl nicht ohne Grund (

Die Dateien, die infiziert waren im abgesicherten Modus löschen.
Dann empfehle ich dir, clearprog 1.4.1 final runterzuladen und auf "alles löschen" clicken. Das Programm beseitigt alle temporary files und bereinigt den Papierkorb. Der Einsatz empfiehlt sich übrigens nach jeder INet-Sitzung.
Dann Systemwiederherstellung aus, Rechner aus, Rechner an, Systemwiederherstellung an.
Desweiteren dann unbedingt einen
eScan
Beachtre alle Anweisungen in der Anleitung. die Version, die Du aktuell runterlädst ist version 6.0.* , also in der Anleitung danach vorgehen.
Der scan (im abgesicherten Modus!!) dauert ca. 1 Stunde.
Die Auswertung bitte hier reinposten.
cacatoa

Also zunächst nochmal Danke für die tolle Hilfe!

1 Alles gelöscht mit ClearProg.
2 Gescannt im abges. Modus:
2.1 Spybot search&destroy
2.2 escan (kommt gleich)

2.1 Das Ergebnis von Spybot Search&Destroy sieht so aus:

Error during check!: Xuron55 (Datei C:\WINDOWS\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird) ()

Congratulations!: No immediate threats were found. ()


--- Spybot - Search && Destroy version: 1.3 ---
2005-04-26 Includes\Cookies.sbi
2005-04-27 Includes\Dialer.sbi
2005-04-27 Includes\Hijackers.sbi
2005-04-15 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2005-04-27 Includes\Malware.sbi
2005-04-27 Includes\PUPS.sbi
2005-04-27 Includes\Revision.sbi
2005-02-09 Includes\Security.sbi
2005-04-27 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2005-04-27 Includes\Trojans.sbi

Na, für´s Erste schon mal gut; warten wir den eScan ab...
cacatoa

Und hier das Ergebnis vom escan (oder alles posten? ist ja extrem lang..)
Ist das normal, dass der anscheinend "nur" Drive C gescannt hat?
Egal was ich da an- oder ausgeclickt habe, gescannt hat er nur C ?
Welche Bedeutung haben die drei errors?

Tue May 03 13:44:26 2005 => Total Objects Scanned: 32866
Tue May 03 13:44:26 2005 => Total Virus(es) Found: 0
Tue May 03 13:44:26 2005 => Total Disinfected Files: 0
Tue May 03 13:44:26 2005 => Total Files Renamed: 0
Tue May 03 13:44:26 2005 => Total Deleted Objects: 0
Tue May 03 13:44:26 2005 => Total Errors: 3
Tue May 03 13:44:26 2005 => Time Elapsed: 01:24:28
Tue May 03 13:44:26 2005 => Virus Database Date: 2005/05/02
Tue May 03 13:44:26 2005 => Virus Database Count: 127997

Tue May 03 13:44:26 2005 => Scan Completed.
Und weiterhin vielen Dank: toll, dass es so ein Forum gibt.

Leider bestand noch folgendes Problem:
Der Desktop-Hintergrund ist schwarz und es lässt sich weder ein Bild als Desktophintergrund hochladen, noch gibt es unter Desktop-Eigenschaften-Anzeige die Möglichkeit etwas anderes einzustellen.
Lösung:
Dazu habe ich folgendes Helferlein gefunden und es hat gefunzt:
http://ralphcaddell.com/Uploads/Background.zip

Hi,
hast du vor dem scan angeclickt:
scan all local drives und
scan all files?
Die errors erscheinen, wenn er Dateien scannen will, die gerade benutzt werden.
Gut daß Du Deinen Desktophintergrund alleine wieder hingekriegt hast.
Poste noch ein abschließendes HJT-Logfile.
cacatoa

Hallo Cacatoa!

Bin den escan nochmal durchgegangen und er hatte gestern doch alle Platten gescannt, was ich wohl nicht so mitbekommen hatte, da ich nicht die ganze Zeit dabei saß. Damit wäre dann ja alles sauber oder?
Habe die windows Systenherstellung nun wieder eingeschaltet, war das ok?


Was ist denn mit:
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
Was mich vor allem wundert ist das da ein kleines c: steht und kein großes.
Jotti hält die Datei für ok.

Auch die "C:\Programme\Messenger\msmsgs.exe" irritiert mich etwas. Gehört diese Datei nicht in den System32 Ordner?


Hier nun noch ein abschliessendes HJT-logfile

Logfile of HijackThis v1.99.1
Scan saved at 11:18:14, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
D:\Programme\Nero\NeroNET\NeroNET.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Programme\sicherheit\Spysub\SpySub.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NeroNET - Ahead Software AG - D:\Programme\Nero\NeroNET\NeroNET.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Speedmanager\tsmsvc.exe

Hallo,
das Logfile ist soweit sauber; Lycos ist Absicht, oder?
Das mit dem kleinen c: kann ich nicht erklären; aber das ist bei vielen, die McAfee verwenden, so.
Wenn die:
C:\Programme\Messenger\msmsgs.exe im System32 Ordner liegt, dann ließe das auf einen Backdoor-Trojaner schließen.
cacatoa

Hi Cacatoa!

Lycos ist Absicht. Obwohl, dass kommt wahrscheinlich auch wieder weg.
Die Messenger\msmsgs liegt zum Glück nicht im Ordner System 32, aber ich glaube sie war mal da.

Dummerweise hat McAfee in meiner Abwesenheit wohl auch/noch einen trojaner auf der Platte gefunden und repariert, jedoch weiß ich dummerweise nicht welchen, er befand sich aber im versteckten Ordner C:\System Volume Information. An den Ordner komme ich aber nicht ran.

Ausserdem liegt in dem verstecktem Ordner "Recycler" eine Datei namens "S- 1- 521 - 1390067357-1677128483-1202660629-1003"
Weder die Datei noch der Ordner lassen sich löschen noch zu Jotti hochladen. Was mach ich damit? Umbennen bringt auch keine Lösung.

Erbitte Hilfe und Tipps