Hallo,
ich habe einen sehr unvorsichtigen 16jährigen Sohn, der immer wieder etwas vom PC herunterlädt. Jetzt fürchte ich hat er den Pc vollständig verseucht. Um das zu klären wollte ich Euch bitten, das nach Anleitung erstellte Logfile anzukucken, was damit los ist. Bin leider nur Nutzerin, keine Spezialistin, und brauche deshalb die "Anleitung und Auskunft für Doofe".


Logfile of HijackThis v1.99.1
Scan saved at 18:42:01, on 21.06.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\LEXMARK 2200 SERIES\LXBVBMGR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\LEXMARK 2200 SERIES\LXBVBMON.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\PROGRAMME\ISTBAR\ISTBARCM.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICON\AOLMIcon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\PROGRAMME\T-ONLINE\WLAN-ACCESS FINDER\TOWLAACF.EXE /StartMinimized
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab


Hoffe es ist noch was zu retten
Grüße Euch
rosie
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Dann check zunächst mal diese Datei :

C:\WINDOWS\PTSNOOP.EXE

hier:

http://virusscan.jotti.org/de/

Teile uns das Ergebnisse mit.

Die kann bösartig sein, muß es aber nicht.

@rosi one

Zitat:

Jetzt fürchte ich hat er den Pc vollständig verseucht.

Das ist leider korrekt:

Zitat:

F1 - win.ini: load=ptsnoop.exe

ist ein Backdoor-Trojaner. Da die Backdoors einen PC absolut ungeschützt gegen die Fremdangriffe machen, empfielt Microsoft, PC neu aufzusetzen.
Eigene Dateien können gesichert werden, vor dem Zurückspielen aber müssen sie mit einem aktullen Virenscanner gecheckt werden.
Anleitung zum Neuaufsetzen findest du , wenn du auf den grünen Link in meiner Signatur draufklickst.

Hallo,
hier erst mal die Prüfung, habe jetzt aber gesehen, dass schon weitere Unterstützung da ist. Gibt es gar keine andere Möglichkeit als neu aufzusetzen?. Habe leider so überhaupt keine Ahnung.
Trotzdem schon mal Danke

Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:FalseAlarm.Symantec.Ptsnoop gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

@rosi one
das wäre der hier
http://www.viruslist.com/en/viruses/...?virusid=62270

überprüfe dein system erst mal mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman
Edit: Hi cronos

In diesem Fall denke ich, dass der PC noch zu retten ist.Um zu sehen, was sich noch an Malware auf deinem PC versteckt, checke dein System mit Escan und teile uns anschliessend die Ergebnisse mit.

Edit:@chaosman : Ahoi

Ich hoffe, ich habe jetzt alles. Das was da unten jetzt kommt habe ich aus der mwav.log herauskopiert. Ich hoffe Ihr könnt was damit anfangen.
Grüße und Danke
rosi one

Tue Jun 21 20:33:47 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jun 21 20:33:47 2005 => System found infected with YourSiteBar Spyware/Adware ({42F2C9BA-614F-47C0-B3E3-ECFD34EED658})! Action taken: No Action Taken.
Tue Jun 21 20:33:47 2005 => Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:51 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sidefind !!!
Tue Jun 21 20:33:51 2005 => Offending value found in HKLM\Software\sidefind !!!
Tue Jun 21 20:33:51 2005 => Offending Folder C:\PROGRA~1\SIDEFIND present...
Tue Jun 21 20:33:51 2005 => Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:57 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\istsvc !!!
Tue Jun 21 20:33:57 2005 => Offending value found in HKLM\Software\istsvc !!!
Tue Jun 21 20:33:57 2005 => Offending Folder C:\PROGRA~1\ISTSVC present...
Tue Jun 21 20:33:57 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.


Tue Jun 21 20:34:26 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ysbactivex.dll". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\AOL 6.0\Aol.chm". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\SONYCD~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\ERICDA~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\ERICFO~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NOKIAG~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NOKIAH~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NOKIAT~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NULLFO~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\SMARTL~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\07_07F~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\SAMCDM~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\CDMA1F~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\MITSUB~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:27 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\unvise32.exe". Action Taken: No Action Taken.

Tue Jun 21 20:34:27 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP25.DIR\_ISTMP0.DIR\FileGrp\MSVCRT10.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\dot.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\will.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\genius.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\All Users\Anwendungsdaten\Adobe\Photoshop Album\Kataloge\My Catalog.psa". Action Taken: No Action Taken.

Tue Jun 21 20:34:29 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ysbactivex.dll". Action Taken: No Action Taken.

Tue Jun 21 20:34:29 2005 => Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:31 2005 => Entry "HKCR\CLSID\{8BBDA254-CE76-11D3-A2CE-00108335731F}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:31 2005 => Entry "HKCR\CLSID\{80373D03-D993-11D3-A2CE-00108335731F}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{6E5526E3-4B91-11d4-876F-005004BCDA99}" refers to invalid object "E:\PJSTREAM.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{6E5526E4-4B91-11d4-876F-005004BCDA99}" refers to invalid object "E:\PJSTREAM.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{567DB2D4-9B01-4EBF-9FFA-543491BF3379}" refers to invalid object "E:\PJSTREAM.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}" refers to invalid object "a3dapi.dll". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{E399C722-ADBF-42A8-90F9-14C278E15C7D}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE8-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE7-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE9-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE0-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE4-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE5-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{B2BE75F4-9197-11CF-ABF4-08000996E931}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{B2BE75F3-9197-11CF-ABF4-08000996E931}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.

Tue Jun 21 20:34:39 2005 => Entry "HKCR\Automap.Map.EU.8" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.

Tue Jun 21 20:34:39 2005 => Entry "HKCR\Automap.Map.EU" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.

Tue Jun 21 20:34:39 2005 => Entry "HKCR\Automap.Template.EU.8" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.

Tue Jun 21 20:34:41 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.

Tue Jun 21 20:34:41 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.

Tue Jun 21 20:34:41 2005 => Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.

Wie zu erwarten, handelt es sich bis jetzt noch um nichts wildes.
Um deine Ergebnisse richtig interpretieren zu können, gib sie mal folgendermaßen wieder:

Zitat:

Rechtsklick auf diesen Link -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

womit soll ich die Datei denn öffnen? Mit editor kommt ziemlicher Kauderwelsch raus.

rosi one

Lese in der Anleitung zum eScan den Abschnitt zur Datei find.bat.

Hallo, langsam aber sicher bin ich furchtbar genervt. Ich habe Find.rar unter C gespeichert, es ist aber keine Find.bat zu finden, das Einzige was auffindbar ist ist eine DOS-Datei Find (über Suchlauf). eScan habe ich jetzt 2x durchlaufen lassen. Wenn ich auf View Log drücke kommt das Ergebnis als WordPad. Eine MWAV.log ist auffindbar, aber wenn ich sie öffnen will kommt: Das Archiv besitzt ein unbekanntes Format oder ist beschädigt. Jetzt sitze ich bei dem schönen Wetter ständig am PC und komme zu nichts, wenn nicht bald Erfolg sichtbar wird gebe ich auf, oder schmeiß das Ding raus
rosi one

So, jetzt habe wahrscheinlich das Umständlichste von allem gemacht. Ich habe alle tagged und infected Dateien per Hand rausgesucht und auf ein Worddokument kopiert und versuche es jetzt hier drauf zu bekommen.

Tagged:
Tue Jun 21 20:33:45 2005 => File C:\WINDOWS\ptsnoop.exe tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.

Tue Jun 21 21:04:09 2005 => File C:\Programme\AVPersonal\INFECTED\EE748A00.16D tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.

Tue Jun 21 22:20:27 2005 => File D:\WINDOWS\PTSNOOP.EXE tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.

Infected
Tue Jun 21 20:33:47 2005 => System found infected with YourSiteBar Spyware/Adware ({42F2C9BA-614F-47C0-B3E3-ECFD34EED658})! Action taken: No Action Taken.
Tue Jun 21 20:33:47 2005 => Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:34:25 2005 => System found infected with ISTsvc Spyware/Adware (shortcuts.txt)! Action taken: No Action Taken.
Tue Jun 21 20:34:25 2005 => Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:34:25 2005 => System found infected with ISearchTech Spyware/Adware (istactivex.dll)! Action taken: No Action Taken.
Tue Jun 21 20:34:25 2005 => Object "ISearchTech Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:46:40 2005 => File C:\WINDOWS\Downloaded Program Files\istactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Tue Jun 21 20:46:47 2005 => Scanning File C:\WINDOWS\Temporary Internet Files\Content.IE5\DK4V5DCL\infected6xz[1].gif

Tue Jun 21 21:04:09 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Tue Jun 21 21:04:09 2005 => Scanning File
C:\Programme\AVPersonal\INFECTED\866C2486.09F

Tue Jun 21 21:04:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\#INDEX#

Tue Jun 21 21:04:09 2005 => Scanning File
C:\Programme\AVPersonal\INFECTED\EE748A00.16D

Tue Jun 21 21:04:09 2005 => File C:\Programme\AVPersonal\INFECTED\EE748A00.16D tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.

Tue Jun 21 21:04:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\FFE85A80.271

Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\FFE85A80.271 infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\5BB2C7FA.234
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\5BB2C7FA.234 infected by "Trojan-Downloader.Win32.IstBar.gi" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CAAFB7B3.2C7
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\CAAFB7B3.2C7 infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\74F5F6EA.212
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\74F5F6EA.212 infected by "Trojan-Downloader.Win32.IstBar.gi" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\ISTSVC.VIR
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\ISTSVC.VIR infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Ging ja doch ganz gut
Hoffentlich könt Ihr daraus etwas ersehen. Danke nochmal für Eure Mühe

rosi one

Tue Jun 21 20:46:40 2005 => File C:\WINDOWS\Downloaded Program Files\istactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Das sollte der sein:
http://www.sophos.de/virusinfo/analy...jistbaray.html

Aha, und was mache ich jetzt damit. Diese Datei PowerScan habe ich schon gelöscht bevor ich mich an Euch gewendet habe, weil sie unerwünscht aufgetaucht ist.

Danke schon mal
rosi

Ich würde Dir raten, den PC nach Cidres Anleitung neu zu installieren.
http://www.trojaner-board.de/showthread.php?t=12154