Hallo,
ich habe eScan im abgesicherten Modus laufen lassen, nachstehend das Ergebnis.
Wie bekomme ich "MyBar" und Konsorten wieder weg?
Vielen Dank für die Hilfe.
mfg

Sat May 21 08:45:40 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat May 21 09:35:52 2005 => System found infected with MyBar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Sat May 21 09:35:52 2005 => Object "MyBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat May 21 09:35:58 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sat May 21 09:35:58 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat May 21 10:37:22 2005 => ***** Scanning complete. *****

Sat May 21 10:37:22 2005 => Total Objects Scanned: 45398
Sat May 21 10:37:22 2005 => Total Virus(es) Found: 3
Sat May 21 10:37:22 2005 => Total Disinfected Files: 0
Sat May 21 10:37:22 2005 => Total Files Renamed: 0
Sat May 21 10:37:22 2005 => Total Deleted Objects: 0
Sat May 21 10:37:22 2005 => Total Errors: 137
Sat May 21 10:37:22 2005 => Time Elapsed: 01:47:00
Sat May 21 10:37:23 2005 => Virus Database Date: 2005/05/21
Sat May 21 10:37:23 2005 => Virus Database Count: 131135

Sat May 21 10:37:23 2005 => Scan Completed.

Sat May 21 10:47:31 2005 => Virus Database Date: 2005/05/21
Sat May 21 10:47:31 2005 => Virus Database Count: 131135
Sat May 21 10:47:37 2005 => AV Library Unloaded (3)...

Dann poste zusätzlich noch ein Hijackthislogfile:

Anleitung

Zitat:

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Hier das HJT Logfile. Ich habe es (zunächst) nicht im abgesicherten Modus erstellt. Wenn das erforderlich sein sollte, bitte ich um eine kurze Info.

Logfile of HijackThis v1.99.1
Scan saved at 17:49:41, on 21.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBPOLL.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ROXIO\GOBACK\GBTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
D:\EIGENE DATEIEN\MEINE EMPFANGENEN DATEIEN\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.waterpoloworld.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Roxio\GoBack\GBPoll.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O15 - Trusted Zone: h**p://chat.msn.de

Danke für die Mühe.
mfg

mit hjt sollte auch nicht im abgesicherten modus gescannt werden, da sonnst der prozess nicht angezeigt wird.

fixe den R0 eintrag

@Universum007

über systemsteuerung, software, Mybar deinstallieren.
danach Adaware und spybot
downloaden.
installieren und updaten, danach in den abgesicherten modus nacheinander scannen lassen.
löschen was die programme vorschlagen.
chaosman

@The Don - D.R.
Danke für deine Antwort.
Es sind insgesamt drei R0 Einträge. Den Ersten kenne ich gut. Die letzen beiden habe ich mit HJT gefixt.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.waterpoloworld.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

@chaosman
Ad-aware und spybot sind aktuell. Werde sie nach dem Deinstallieren von MyBar im abgesicherten Modus über den Rechner jagen und mich dann hier noch einmal melden.
Auch dir dank für die schnelle Antwort.
mfg

@chaosman
So, da bin ich wieder.
über Systemsteuerung==>Software habe ich Mybar nicht gefunden!
Ad-aware hat 8 "Negligible Objects" gefunden. Die habe ich gelöscht.
Während des Scans hatte ich einen Blue screen mit der Meldung:
"Auf C: konnte nicht geschrieben werden, nicht gespeicherte Daten gehen verloren."
Oder so ähnlich. Nach "Enter" hat Ad-aware seine Arbeit fortgesetzt.

Spybot hat nichts gefunden. Hat mir gratuliert. Nettes Programm.
Was gibt es jetzt noch zu tun? Insbesondere: Wie finde und lösche ich diesen "MyBar"-Mist.
mfg

Diese darfst du manuell in der Registry löschen.
Lade RegSeeker, erstelle zuvor ein Backup deiner Registry und dann bereinigst du diese von den MyBar Einträgen.

Zitat:

Open the registry (click 'Start', choose 'Run', enter 'regedit') and open the key HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {014DA6C1-189F-421a-88CD-07CFE51CFF10}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {014DA6C9-189F-421a-88CD-07CFE51CFF10}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID\ {0494D0D1-F8E0-41ad-92A3-14154ECE70AC}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {014DA6C1-189F-421a-88CD-07CFE51CFF10}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {014DA6C9-189F-421a-88CD-07CFE51CFF10}
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {0494D0D1-F8E0-41ad-92A3-14154ECE70AC}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ My Search Uninstall \ DisplayName'
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ My Way Speedbar Uninstall \ DisplayName
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ MyWaySearchAssistant \ DisplayName
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar\{014DA6C9-189F-421a-88CD-07CFE51CFF10}
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar \ WebBrowser\{014DA6C9-189F-421a-88CD-07CFE51CFF10}

Quelle: http://www.spywareremove.com/removeMySearch.html

Hallo,
wie erstelle ich ein Backup meiner Registrierung?
Mache ich das mit "RegSeeker"?
Wer kann mir helfen?
Vielen Dank.

@Universum007
du hast noch nix getan und stellst schon die neuen Fragen. Lade mal RegSeeker herunter und lese erst die Readme oder Help-Kapitel.

@Rene-gad
Stimmt nicht ganz. Den RegSeeker habe ich mir runtergeladen. Aber du hast recht, wenn du sagst, ich hätte die Readme oder Help-Kapitel noch nicht gelesen. Asche über mein Haupt.
Wird das Nächste sein was ich mache.
Sorry.

So, da bin ich noch mal. Ich kann (leider nur) einen Teilerfolg vermelden:

Sun May 22 11:29:36 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun May 22 11:29:43 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sun May 22 11:30:47 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun May 22 11:30:48 2005 => Offending value found in HKCU\Software\mysearch !!!
Sun May 22 11:30:48 2005 => Offending value found in HKEY_USERS\.DEFAULT\Software\mysearch !!!
Sun May 22 11:30:48 2005 => Object "mysearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
EDIT: Sind leider noch vorhanden! Was kann/muss ich tun??



Hängt es vielleicht damit zusammen, dass ich das Nachstehende nicht finden konnte?
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ My Search Uninstall \ DisplayName'
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ My Way Speedbar Uninstall \ DisplayName
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ MyWaySearchAssistant \ DisplayName

Bin ziemlich ratlos. Habe ich wieder etwas falsch gemacht, wieder etwas nicht richtig verstanden? Für weitere Hilfe wäre ich weiterhin dankbar.

Keiner eine Idee für mich?

@Universum007
poste doch bitte die ergebnisse
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

chaosman

Hallo Chaosman,
nachstehend die Suchergebnisse. Nach meiner laienhaften Meinung ist es aber wohl nicht das Ergebnis, was erwartet wird? Oder?

Suchergebnis: Infected (AntiVir Personal)
Sun May 22 11:59:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 22 11:59:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\#INDEX#

Suchergebnis: Tagged (Software meiner Digitalkamera)
Sun May 22 12:01:03 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Capture_Tagged.chm
Sun May 22 12:01:03 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Basic_Tagged.chm

mfg