Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
Lade dir Regseeker und säubere damit deine Registry, achte darauf damit unten links der Haken drin ist, da wird ein Backup zur Wiederherstellung gemacht!!

Zitat:

Fri Jul 22 19:34:04 2005 => Virus Database Date: 2005/06/28

Da eScan nicht richtig upgedatet wurde solltest du Ihn nochmal laufen lassen,Update folgendermassen durchführen, bei laufender Internetverbindung im Ordner C:\Bases_X

die Datei KavUpd.exe ausführen und escan updaten.
--> boote in den abgesicherten Modus und deaktiviere die Systemwiederherstellung und lösche noch folgendes:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AVGold.zip
C:\Programme\AVPersonal\INFECTED\WLDR.DLL.001


lösche die Logdatei von eScan im Verzeichnis C:\Bases_X
und scanne jetzt nochmal mit eScan, teile danach das Ergebnis mit. Entweder du kopierst es wieder von Hand raus oder machst es dir leichter mit der Find.bat (siehe Anleitung)

Das Prblem mit dem IE müssen wir getrennt behandel, du solltest in Zukunft sowieso auf einen anderen Browser/Mailprogramm umsteigen. IE und Outlook sind als unsicher einzustufen. Sichere Browser siehe hier
http://filepony.de/download-opera/
http://www.mozilla.org/
http://www.thunderbird-mail.de/thunderbird/

Hallo Gigamail

Ich hab jetzt Alles gemacht.....

allerdings hab ich ein kleines Prob....

"mwav.log" finde ich zwar, aber ich kann die Datei nicht öffnen...es erscheint nur für einen ganz kurzen Moment ein Fenster, das aber sofort wieder verschwindet...

daher hab ich wieder den "Umstandsweg" gewählt...

hier das Ergebnis:

Sat Jul 23 20:57:52 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
ul 23 20:57:57 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Sat Jul 23 20:58:02 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\dot.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\will.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:04 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\genius.act". Action Taken: No Action Taken.

Sat Jul 23 20:58:20 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Sat Jul 23 20:58:35 2005 => Entry "HKCR\AOLBrand_Client.AOLBrand_Client" refers to invalid object "{79498D83-FEFE-4e36-8B7E-E9CF79F010B0}". Action Taken: No Action Taken.

Sat Jul 23 20:58:35 2005 => Entry "HKCR\AOLBrand_Client.AOLBrand_Client.1" refers to invalid object "{752B9690-7A0B-4c67-8A09-AE3885CFCDF4}". Action Taken: No Action Taken.

Sat Jul 23 20:58:35 2005 => Entry "HKCR\AOLBrand_Client.AOLBrand_Client.2" refers to invalid object "{79498D83-FEFE-4e36-8B7E-E9CF79F010B0}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\Aolprefs.AolPreferences" refers to invalid object "{BBDA76FB-B05C-4A30-8E75-A96499A840D1}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\Aolprefs.AolPreferences.1" refers to invalid object "{BBDA76FB-B05C-4A30-8E75-A96499A840D1}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_AddressBook.AOL_AddressBook.1" refers to invalid object "{602DB47D-DFE2-4553-8C54-0522A9DC74AC}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_BuddyManager.AOL_BuddyManager.1" refers to invalid object "{19038319-D799-4819-94C0-1A115A590BF8}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client" refers to invalid object "{8FC6A820-6BFC-11d6-A10D-0010A49A288A}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client.1" refers to invalid object "{225789FB-CCA8-11D2-A719-0060B0B41584}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client.2" refers to invalid object "{AC44023F-D183-4397-9D02-27D34F120CB2}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Client.AOL_Client.3" refers to invalid object "{8FC6A820-6BFC-11d6-A10D-0010A49A288A}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_ClientCommands.AOL_ClientCommands.1" refers to invalid object "{BB4AEB43-D0AB-11D2-A719-0060B0B41584}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Communications.AOL_Communications.1" refers to invalid object "{00e0313F-8627-45db-863d-fd41083c3d32}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Favorites.AOL_Favorites.1" refers to invalid object "{C8A7FDAD-94D1-4da6-8D95-75888FB12DD4}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_IMManager.AOL_IMManager.1" refers to invalid object "{E3393F8F-B0C2-4103-A9E6-E0EB74645770}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_MailInfo.AOL_MailInfo.1" refers to invalid object "{7BD901A3-39BA-419b-AF57-EAA3145420DF}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_MailInfo2.AOL_MailInfo2.1" refers to invalid object "{14DB4DBD-FB4A-458e-8699-F9EB4BDAFEBC}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_Publish.AOL_Publish.1" refers to invalid object "{C689CA08-726F-4676-8876-99F163685B32}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AOL_SAPMoniker.AOL_SAPMoniker.1" refers to invalid object "{9482BC28-EAA5-4b6e-82E9-C6832320936E}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.License" refers to invalid object "{187A8428-BD94-470D-A178-A2347F940519}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.License.1" refers to invalid object "{187A8428-BD94-470D-A178-A2347F940519}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Quarantine" refers to invalid object "{B60A0E56-548D-40AE-9383-D752531F653F}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Quarantine.1" refers to invalid object "{B60A0E56-548D-40AE-9383-D752531F653F}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.RealTime" refers to invalid object "{04F3168F-5AFC-4531-B3B4-16CA93720415}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.RealTime.1" refers to invalid object "{04F3168F-5AFC-4531-B3B4-16CA93720415}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.SafeMode" refers to invalid object "{6AE3ACA6-1BE3-4443-98DD-EFFCFA793D35}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.SafeMode.1" refers to invalid object "{6AE3ACA6-1BE3-4443-98DD-EFFCFA793D35}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Scaner" refers to invalid object "{49B72A72-01F5-4AE8-BBD7-DAA67F1E303B}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Scaner.1" refers to invalid object "{49B72A72-01F5-4AE8-BBD7-DAA67F1E303B}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Update" refers to invalid object "{3A3A8C24-8FF0-4140-9731-54D9483EA70B}". Action Taken: No Action Taken.

Sat Jul 23 20:58:36 2005 => Entry "HKCR\AVECore.Update.1" refers to invalid object "{3A3A8C24-8FF0-4140-9731-54D9483EA70B}". Action Taken: No Action Taken.
Sat Jul 23 21:04:13 2005 => ERROR!!! Invalid Entry winlogon.exe = msole32.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). No Action Taken.
Sat Jul 23 21:16:32 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe is Not Scanned
Sat Jul 23 21:16:32 2005 => C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe not Scanned. Possibly password protected...
Sat Jul 23 21:17:24 2005 => Loading Spyware Signatures from External Database...
Sat Jul 23 21:17:24 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sat Jul 23 21:17:24 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jul 23 21:17:28 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

ich habe auch das Update gemacht, dennoch steht da "Virus Database Date: 2005/06/28"....das versteh ich nicht, ich bin ja gefragt worden ob die vorhandenen Daten ersetzt werden sollen....Gestern hatte meine bessere Hälfte (er hat mir mal kurz geholfen) den Update gemacht....
anscheinend sind wir beide zu blond für sowas *schäm

Ob ich Escan nochmal ganz vom PC löschen sollte und dann nochmal von vorne anfange????

Das kostet echt Nerven *zwinker....und dabei darf ich den PC ja nur zeitweise nutzen *grummel

Vielen Dank auf jeden Fall für die Mühe die du mit mir hast

Gruß
Mondstein

also nach dem Scann ist erst mal nichts mehr drauf was Sorgen bereiten könnte, dei vielen Registryeinträge hätte ich gemeint sind nach der Anwendung von Regseeker verschwunden, na ja ist aber nicht ganz so schlimm
Führe auch mal das Tool aus(Seite ganz unten), obwohl ich eigentlich sicher bin damit da nichts gefunden wird

Zitat:

Zitat von Mondstein: "mwav.log" finde ich zwar, aber ich kann die Datei nicht öffnen...es erscheint nur für einen ganz kurzen Moment ein Fenster, das aber sofort wieder verschwindet...

das ist eigentlich normal, danach ist eine neu Datei mit Namen eScan_neu.txt auf C:\
zu finden, da befindet sich der Inhalt den wir hier brauchen.

Frage was ist jetzt mit dem IE ?

Zitat:

ich habe auch das Update gemacht, dennoch steht da "Virus Database Date: 2005/06/28"....das versteh ich nicht, ich bin ja gefragt worden ob die vorhandenen Daten ersetzt werden sollen....

hast du das alte Logfile gelöscht? Die Frage ob die Dateien ersetzt werden sollen ist mir auch neu

Zitat:

Ob ich Escan nochmal ganz vom PC löschen sollte und dann nochmal von vorne anfange????

ich würde das auch vorschlagen, lösche alles nochmal runter, lese die Anleitung und entpacke eScan wie beschrieben ins Verzeichnis C:\Bases_X
danach bei laufender I-Net verbindung updaten, dann im abgesicherten Modus scannen, dann neu booten und die Find.at ausführen, dann die neue Datei (eScan_neu.txt) öffnen und den Inhalt ins Forum kopieren. Ist eigentlich ganz einfach

Zitat:

Das kostet echt Nerven *zwinker....und dabei darf ich den PC ja nur zeitweise nutzen *grummel

Virenbeseitigen kann echt nervig sein, deshalb sollte man das System auch entsprechend absichern

Poste mit dem Ergebnis auch noch ein HJT
Also auf gehts

Hallo

So, ich hoffe jetzt hab ich alles richtig gemacht *Schweiß von der Stirn wischt

hier der Escan:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 13:42:02 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun Jul 24 13:43:08 2005 => File C:\WINDOWS\popuper.exe infected by "Trojan.Win32.Puper.ag" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:43:09 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:43:58 2005 => File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.af" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:44:40 2005 => File C:\WINDOWS\system32\ole32vbs.exe infected by "Trojan-Clicker.Win32.Agent.eg" Virus! Action Taken: No Action Taken.
Sun Jul 24 13:44:40 2005 => File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:13:35 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Jul 24 14:13:35 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\intel32.VIR
Sun Jul 24 14:13:35 2005 => File C:\Programme\AVPersonal\INFECTED\intel32.VIR infected by "Trojan.Win32.Small.eu" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:13:35 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR
Sun Jul 24 14:13:35 2005 => File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.le" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:44:25 2005 => File C:\WINDOWS\popuper.exe infected by "Trojan.Win32.Puper.ag" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:50:59 2005 => File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.af" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:51:11 2005 => File C:\WINDOWS\system32\LogFiles\K7182200.so infected by "Trojan-Downloader.Win32.Small.bdw" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:51:47 2005 => File C:\WINDOWS\system32\ole32vbs.exe infected by "Trojan-Clicker.Win32.Agent.eg" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:51:48 2005 => File C:\WINDOWS\system32\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:53:22 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sun Jul 24 14:53:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 14:53:34 2005 => Total Virus(es) Found: 15
Sun Jul 24 14:53:34 2005 => Total Errors: 49
Sun Jul 24 14:53:34 2005 => Time Elapsed: 01:26:10
Sun Jul 24 14:53:34 2005 => Total Objects Scanned: 85645
Sun Jul 24 13:26:58 2005 => Virus Database Date: 2005/07/24
Sun Jul 24 14:53:34 2005 => Virus Database Date: 2005/07/24
Sun Jul 24 14:53:41 2005 => Virus Database Date: 2005/07/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

und hier noch der neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 15:01:11, on 24.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\WINDOWS\system32\ADIMonEx.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]h**p://www.msn.de/[/**
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINDOWS\system32\ADIMonEx.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]h**p://aolcc.aol.de/computercheckup/qdiagcc.cab[/**l]
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - [url]h**p://www.pandasoftware.com/activescan/as5/asinst.cab[/**]
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - [url]h**p://game13.zylomgames.com/activex/zylomgamesplayer.cab[/**]
O17 - HKLM\System\CCS\Services\Tcpip\..\{61460AFF-64E5-4059-B0C8-E5C5F0837D94}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Fehlt jetzt noch was????
Ich hoffe nicht
Ich hatte übrigens vor der erneuten Aktion Spybot gelöscht, irgendwie hat mir Spybot immer wieder Meldungen "dazwischen gefunkt", dürfte ja aber kein Problem sein, kanns ja jederzeit wieder runterladen.

Gruß
Mondstein

na bravo das hat ja jetzt geklappt

Lade dir das Tool und installiere es
http://amok.am/index.php?page=progr&sub=descr&id=6
du findest jetzt ein neuen Icon auf dem Desktop. Jetzt nur noch die besagten Dateien per Dag&Drop auf das Icon ziehen los lassen. Wenn alle Dateien so bearbeitet wurden, Computer neu starten. Die Dateien sollten jetzt gelöscht sein. Bitte prüf das nach!!

C:\WINDOWS\popuper.exe
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\LogFiles\K7182200.so

wenn du neugebootet hast führe jetzt folgendes aus:

Start--> Ausführen--> cmd

einzeln reinkopieren:--> (nur die Eintraege der letzten 30 Tage rauskopieren und ins Forum posten)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
------------------------------------------------
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
--------------------------------------------------
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
--------------------------------------------------
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
-------------------------------------------------

Auftrag ausgeführt
Die Datein waren nach dem Neustart nicht mehr zu finden

hier die Ergebnisse:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\WINDOWS\system32

24.07.2005 16:17 889 vsconfig.xml
22.07.2005 16:18 380.350 perfh009.dat
22.07.2005 16:18 391.000 perfh007.dat
22.07.2005 16:18 52.764 perfc009.dat
22.07.2005 16:18 63.580 perfc007.dat
22.07.2005 16:18 897.954 PerfStringBackup.INI
22.07.2005 16:14 2.422 wpa.dbl
22.07.2005 16:13 90 spupdwxp.log
22.07.2005 16:12 125.320 FNTCACHE.DAT
21.07.2005 07:47 6.144 hhk.dll
21.07.2005 07:35 766 spyware.ico
21.07.2005 07:35 4.286 spam.ico
21.07.2005 07:35 2.238 pharm.ico
21.07.2005 07:35 2.238 network.ico
21.07.2005 07:35 2.238 Date.ico
21.07.2005 07:20 99.678 wp.bmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

24.07.2005 16:22 4 PMShared
24.07.2005 13:19 6.129 MWAV.LOG
24.07.2005 13:19 1.929 mwXface.log
24.07.2005 12:04 350.208 viewtcp.exe
24.07.2005 12:02 1.695 ViewTcp.lan
24.07.2005 12:02 1.695 viewtcp.old
28.06.2005 17:20 11.213 avp.klb
28.06.2005 17:20 18.112 daily.avc
28.06.2005 17:20 514 daily-x.avc
28.06.2005 17:03 118.784 esupdate.exe
28.06.2005 16:46 213.568 mwavscan.com
28.06.2005 13:35 1.419 daily-ex.avc
27.06.2005 22:53 70.938 unp016.avc
27.06.2005 22:53 60.058 unp014.avc
27.06.2005 22:53 23.477 unp025.avc
27.06.2005 22:53 53.026 unp024.avc
27.06.2005 22:53 8.121 worm006.avc
27.06.2005 22:53 5.246 unp000.avc
27.06.2005 22:53 8.159 troj030.avc
27.06.2005 22:53 1.546 avp.set
27.06.2005 22:53 50.560 troj029.avc
25.06.2005 20:28 49.988 troj015.avc
25.06.2005 20:28 50.117 troj013.avc
25.06.2005 20:28 50.706 troj010.avc
25.06.2005 20:28 52.441 troj004.avc
25.06.2005 20:28 30.673 x-files.avc
25.06.2005 20:28 30.850 ext004.avc
25.06.2005 20:28 52.126 unp009.avc
25.06.2005 20:28 22.728 virus020.avc
25.06.2005 20:28 57.819 troj003.avc
25.06.2005 20:28 21.312 malw004.avc
25.06.2005 16:15 22.420 spydb.avs
24.06.2005 11:14 50.153 troj017.avc
24.06.2005 11:14 76.468 virus015.avc
24.06.2005 11:14 71.438 virus009.avc
24.06.2005 11:14 75.191 virus008.avc
24.06.2005 11:14 63.153 virus019.avc

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\WINDOWS

24.07.2005 16:22 774 win.ini
24.07.2005 16:17 0 0.log
24.07.2005 16:17 1.296.716 WindowsUpdate.log
24.07.2005 16:17 159 wiadebug.log
24.07.2005 16:17 50 wiaservc.log
24.07.2005 16:16 2.048 bootstat.dat
24.07.2005 16:16 27.790 SchedLgU.Txt
24.07.2005 13:25 550.460 ntbtlog.txt
23.07.2005 12:38 178.800 setupact.log
23.07.2005 10:20 420.921 svcpack.log
23.07.2005 10:02 6.631 iis6.log
23.07.2005 10:02 29.855 comsetup.log
23.07.2005 10:02 27.995 tsoc.log
23.07.2005 10:02 1.374 imsins.log
23.07.2005 10:02 3.527 ocmsn.log
23.07.2005 10:02 17.554 ntdtcsetup.log
23.07.2005 10:02 3.683 KB903235.log
23.07.2005 10:02 47.613 ocgen.log
23.07.2005 10:02 3.458 msgsocm.log
23.07.2005 10:02 54.093 FaxSetup.log
23.07.2005 10:02 834.693 setupapi.log
22.07.2005 16:20 1.374 imsins.BAK
22.07.2005 16:20 3.877 KB885295.log
22.07.2005 16:14 345 OEWABLog.txt
22.07.2005 16:14 29.008 spupdsvc.log
22.07.2005 16:14 360 DtcInstall.log
22.07.2005 16:14 827 wmsetup.log
22.07.2005 16:14 316.640 WMSysPr9.prx
22.07.2005 16:14 12.082 setuplog.txt
22.07.2005 16:09 200 cmsetacl.log
22.07.2005 16:08 1.330 sessmgr.setup.log
22.07.2005 16:00 557 medctroc.Log
21.07.2005 16:36 116 NeroDigital.ini
21.07.2005 13:20 32 pavsig.txt
21.07.2005 07:37 2.172 sites.ini
21.07.2005 07:35 151 PhotoSnapViewer.INI
19.07.2005 18:41 54.156 QTFont.qfn
18.07.2005 17:41 29 popcinfo.dat
16.07.2005 11:48 227 system.ini
13.07.2005 23:19 2.099 hessen02.ini
12.07.2005 22:40 177.402 DirectX.log
12.07.2005 22:39 1.442 COM+.log
04.07.2005 08:48 23.182 MDACSET.log
01.07.2005 08:35 130 EPSON Perfection 1670G.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D235-0681

Verzeichnis von C:\

24.07.2005 16:30 0 sys.txt
24.07.2005 16:26 7.110 system.txt
24.07.2005 16:24 8.712 systemtemp.txt
24.07.2005 16:23 102.698 system32.txt
24.07.2005 16:16 805.306.368 pagefile.sys
24.07.2005 14:58 3.234 eScan_neu.txt
24.07.2005 14:53 0 23990098.$$$
24.07.2005 14:53 6 AVPCallback.log
22.07.2005 16:08 211 boot.ini
22.07.2005 16:04 47.564 NTDETECT.COM
22.07.2005 16:04 251.184 ntldr

und wenn ich jetz noch wüßte was das Alles bedeutet

Gruß
Mondstein

Zitat:

und wenn ich jetz noch wüßte was das Alles bedeutet

das ist ein kleines Inhaltsverzeichnis von deinem System. Da der Trojaner noch verschiedene andere Dateien ablegt hat man so einen kleinen Überblick über die verschiedenen Ordner, so sehe ich z.B. auch damit eScan noch nicht komplet aus dem Tempverzeichnis raus ist und da du ja jetzt die find.bat ausgeführt hast muss eScan im richtigen Ordner (Bases_X) sein

so jetzt hoffe ich machen wir noch den Rest

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
lösche zusätzlich durch Drag&Drop (ziehen der Dateien auf den Icon "Lösche Dateien bei Neustart"

C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\wp.bmp
C:\Windows\sites.ini

Papierkorb leeren
Systemwiederherstellung deaktivieren, neu booten Systemwiederherstellung wieder aktivieren und kontrollieren ob alle genannten Dateien gelöscht sind. Dann sollte eigentlich der Fisch gegessen sein

Hallo Gigamail

Ich hab das jetzt gemacht.....komischerweise tauchten dann all die Datein die ich gelöscht hatte auf dem Desktop auf....ich habe aber keine davon mehr im Ordner gefunden, hab sie jetzt einfach in den Paierkorb gelegt und gelöscht.

Gruß
Mondstein

Hallo

Erst mal nochmals vielen Dank für die tolle Hilfe

Ich habe meine bessere Hälfte jetzt überreden können auf den IE zu verzichten, ich habe jetzt Firefox installiert....

das Problem mit dem IE denke ich löse ich am einfachsten durch eine Neuinstallation des Selbige (ich brauch ihn ja noch für Windows-Updates)

Antivir wird jetzt jeden Morgen upgedatet, der Guard ist immer aktiv....

Zonealarm läuft auch...

und Adaware lasse ich auch regelmäßig laufen.

Sollte ich noch was vergessen haben erinnert mich bitte daran

ich hab mir auch nochmal "Windows sicher einrichten" durchgelesen, einen Teil davon kann ich jetzt halt nicht mehr umsetzten, aber ich denke ich habe nichts Wichtiges vergessen.

Gruß
Mondstein

Zitat:

Zitat von Mondstein: das Problem mit dem IE denke ich löse ich am einfachsten durch eine Neuinstallation des Selbige (ich brauch ihn ja noch für Windows-Updates)

versuch es so: Start --> Eistellungen --> Systemsteuerung --> Software --> Windowskomponenten hinzufügen/entfernen
Haken entfernen bei IE --> weiter
danach das selbe nur den Haken wieder setzen

Zitat:

Ich habe meine bessere Hälfte jetzt überreden können auf den IE zu verzichten, ich habe jetzt Firefox installiert....

sehr gute Entscheidung

Zitat:

ich hab mir auch nochmal "Windows sicher einrichten" durchgelesen,...

meinst du damit diesen Link
Hilfe zum Neuaufsetzen und anschließende Absicherung
Dienste abschalten wäre noch interessant, wird dort auch beschrieben.
Hier mal noch was zum Thema PersonalFirewall http://www.ntsvcfg.de/#_pfw

Das mit dem IE wie du empfohlen hast hat nicht geklappt, ich kann nach wie vor keine Seite anzeigen....
also doch Neuinstallieren

trotzdem Danke für den Tip

die Links werde ich mir später noch in Ruhe zu Gemüte führen, jetzt ruft erstmal der Haushalt

Gruß
Mondstein

vielleicht hilft ja auch die Seite weiter http://www.misitio.ch/

hallo mondstein,
also, wie ich grade bemerkt habe, du hast AOL als Provider, anscheinend hast du die AOL 9.0 und die meldung die immer scheint ist ja vom "Sicherheitsdienst", wenn das alles was ich gescgrieben habe zustimmt, dann ist es es ganz einfach das problem los zu werden, es handelt sich um ein "spam popup".

du hast bestimmt auf dein desktop auch so ein link heisst " aol computer check", doppelt klicken --> sicherheitscheck durchlaufen lassen "wird alles online gemacht" dann bekommst du das ergebnis, irgendwo steht "online probleme oder sowas" und dann den schrauben schlüssel clicken und die Anleitung folgen.
und schon ist das problem gelöst "hoffe ich ma "