Hallo,
ich habe eScan im abgesicherten Modus laufen lassen, nachstehend das Ergebnis.
Wie bekomme ich "MyBar" und Konsorten wieder weg?
Vielen Dank für die Hilfe.
mfg

Sat May 21 08:45:40 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat May 21 09:35:52 2005 => System found infected with MyBar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Sat May 21 09:35:52 2005 => Object "MyBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat May 21 09:35:58 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sat May 21 09:35:58 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat May 21 10:37:22 2005 => ***** Scanning complete. *****

Sat May 21 10:37:22 2005 => Total Objects Scanned: 45398
Sat May 21 10:37:22 2005 => Total Virus(es) Found: 3
Sat May 21 10:37:22 2005 => Total Disinfected Files: 0
Sat May 21 10:37:22 2005 => Total Files Renamed: 0
Sat May 21 10:37:22 2005 => Total Deleted Objects: 0
Sat May 21 10:37:22 2005 => Total Errors: 137
Sat May 21 10:37:22 2005 => Time Elapsed: 01:47:00
Sat May 21 10:37:23 2005 => Virus Database Date: 2005/05/21
Sat May 21 10:37:23 2005 => Virus Database Count: 131135

Sat May 21 10:37:23 2005 => Scan Completed.

Sat May 21 10:47:31 2005 => Virus Database Date: 2005/05/21
Sat May 21 10:47:31 2005 => Virus Database Count: 131135
Sat May 21 10:47:37 2005 => AV Library Unloaded (3)...

Dann poste zusätzlich noch ein Hijackthislogfile:

Anleitung

Zitat:

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Hier das HJT Logfile. Ich habe es (zunächst) nicht im abgesicherten Modus erstellt. Wenn das erforderlich sein sollte, bitte ich um eine kurze Info.

Logfile of HijackThis v1.99.1
Scan saved at 17:49:41, on 21.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBPOLL.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
D:\EIGENE DATEIEN\MEINE EMPFANGENEN DATEIEN\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.waterpoloworld.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Roxio\GoBack\GBPoll.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O15 - Trusted Zone: h**p://chat.msn.de

Danke für die Mühe.
mfg

mit hjt sollte auch nicht im abgesicherten modus gescannt werden, da sonnst der prozess nicht angezeigt wird.

fixe den R0 eintrag

@Universum007

über systemsteuerung, software, Mybar deinstallieren.
danach Adaware und spybot
downloaden.
installieren und updaten, danach in den abgesicherten modus nacheinander scannen lassen.
löschen was die programme vorschlagen.
chaosman

@The Don - D.R.
Danke für deine Antwort.
Es sind insgesamt drei R0 Einträge. Den Ersten kenne ich gut. Die letzen beiden habe ich mit HJT gefixt.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.waterpoloworld.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

@chaosman
Ad-aware und spybot sind aktuell. Werde sie nach dem Deinstallieren von MyBar im abgesicherten Modus über den Rechner jagen und mich dann hier noch einmal melden.
Auch dir dank für die schnelle Antwort.
mfg