Hallo
Ich habe mit unserem PC seit Gestern große Probleme und ich komme einfach nicht weiter....

entschuldigt bitte wenn ich mich event. unklar ausdrücke oder so, aber ich bin in Sachen PC eher eine blutige Anfängerin...

Also,

gestern Morgen war plötzlich der Windowshintergrund verschwunden, nur noch blau und ein Warnfenster teilte mir irgendetwas von spyware oder so mit und ich solle ein Virenprogramm drüber laufen lassen (mein Englisch ist leider sehr schlecht *zugeb)
ich hab Antivir laufen lassen.....zig Funde...
danach noch Adaware und auch Spybot....

online zur Sicherheit noch Panda und Bitdefender....

danach schien der PC wieder sauber zu sein....

aber leider tauchten dann immer wieder Fenster auf....

"Windows security" mit Meldungen von wegen spyware, ect....
wenn ich auf ok drückte kamen immer Seiten die mir irgendwelche Virenprogramme verkaufen wollen...

auch waren heute Morgen nach dem Hochfahren auch wieder zig Trojaner auf dem Rechner (hatte sofort Antivir upgedatet und laufen lassen)

jetzt weiß ich nicht recht weiter, ich fürchte ich hab mir da was übles eingefangen...

ich hab auch brav die Suchfunktion bemüht, nur bringt mich das einfach nicht weiter

Das Betriebssystem ist übrigens Windows XP

Ich wäre für Tips und Hinweise sehr dankbar

Gruß
Mondstein

Edith: Ups, sorry, ich hab im falschen Bereich gepostet....kann man das vielleicht verschieben? Tut mir leid

Lade dir mal Tuneup runter!
und räume dein Cache Internet Chache leer!
www.tuneup.de

vielleicht hilft das!
räume mal alles damit mal auf!

Oder lass mal in dem abgesicherten Modus laufen !
und lass mal antiVir6 laufen !

@ Bodi

der Rat ist zwar gut gemeint aber IMHO hilft er hier nicht weiter, es handelt sich vermutlich um eine Version die hier beschrieben steht

@ Mondstein

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Hallo

@Bodi vielen Dank für die Tips

@Gigamail

So, ich hoffe ich hab es so richtig gemacht und nichts übersehen das ich ändern müßte:


Logfile of HijackThis v1.99.1
Scan saved at 12:49:55, on 22.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\system32\ADIMonEx.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINDOWS\system32\ADIMonEx.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]h**p://aolcc.aol.de/computercheckup/qdiagcc.cab[/***
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game13.zylomgames.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61460AFF-64E5-4059-B0C8-E5C5F0837D94}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\HANS-H~1.RIT\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das sind für mich "böhmische Dörfer" *zugeb, aber vielleicht kannst du ja was damit anfangen.

Gruß
Mondstein

beende die Prozesse im Taskmanager und lasse mal die Dateien hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

C:\WINDOWS\system32\ADIMonEx.exe
C:\WINDOWS\System32\msole32.exe

Hallo Gigamail

Ok, hier die Ergebnisse:

Datei: msole32.exe
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.g gefunden
NOD32 probably a variant of Win32/TrojanClicker.Agent.CR gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Clicker.Agent.1 gefunden (mögliche Variante)



Datei: ADIMonEx.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Und was mach ich jetzt?

Vielen Dank auf alle Fälle für deine Mühe

Gruß
Mondstein

also, erstes Problem was du hast ist ein veraltetes System

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2

Lade dir eScan und lese gleich die Anleitung mit, aber noch nicht scannen (siehe meine Signatur)

da nicht alle Virenscanner die Datei erkannt haben solltest du die folgende Datei: msole32.exe bei Malewareupload hochladen (siehe meine Signatur), du bekommst dann eine eMail mit dem Ergebnis und in Zukunft wird sie dann mit eingebunden (hoffen wir )

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

lösche von Hand:

msole32.exe

scanne jetzt dein System mit eScan, boote danach neu und teile uns das Ergebnis mit Hilfe der Find.bat mit und poste auch ein neues HJT

*schwitz....

ich hoff ich bekomme das Alles hin

wenn ich mich nicht mehr melde hab ich den PC gekillt *zwinker

Gruß
Mondstein

die jetzt mal brav alle Anweisungen befolgt

Hallo
Edith : Hat sich erledigt
Bin doch noch fündig geworden , also weiter die Punkte "abarbeiten"

Ich fürchte ich blamiere mich jetzt gänzlich ....

aber, ich habe jetzt das Update von Windows XP runtergeladen und da heißt es so schön "eine Sicherung des Systems durchführen".....

und jetzt die super doofe Frage....wie geht das denn, sowas hab ich ja noch nie gemacht und die Suchfunktion hat mir auch keine Antworten geliefert.

Hilfe *ganz kleinlaut

Gruß
Mondstein

scheint so als sollten gewisse Frauen lieber die Finger von PC's lassen

Zitat:

ich hoff ich bekomme das Alles hin

das wird schon nur Mut,
bei dem Hinweis eine Sicherung des Systems erstellen, ist ein Backup/Image deiner Platte gemeint, falls beim Update etwas schief läuft damit der Urzustand wieder hergestellt werden kann.
Aber ich meine es reicht wenn du dir deine persönlichen Daten (Bilder, Musik, Dokumente usw.) auf Cd oder DVD, oder USB Stick sicherst, für alle Fälle.
Danach das Update durchführen

Zitat:

und jetzt die super doofe Frage....

BTW es gibt keine doofen Fragen

Hallo

Hier ist jetzt erstmal der neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 19:54:32, on 22.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\system32\ADIMonEx.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0b\waol.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\******\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\*******\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\*******\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]h**p://www.msn.de/[/**]
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINDOWS\system32\ADIMonEx.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]h**p://aolcc.aol.de/computercheckup/qdiagcc.cab[/**]
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - [url]h**p://www.pandasoftware.com/activescan/as5/asinst.cab[/**l]
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - [url]h**p://game13.zylomgames.com/activex/zylomgamesplayer.cab[/**]
O17 - HKLM\System\CCS\Services\Tcpip\..\{61460AFF-64E5-4059-B0C8-E5C5F0837D94}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\HANS-H~1.RIT\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

dann die Ergebnisse von escan....da hab ich wohl irgendwie Mist gebaut
....ich find einfach das Scanergebnis nicht, bzw es gibt beim mir auf dem PC kein "mwav.log"......ich find nur ein "MWAVL" und das läßt sich nicht öffnen. Irgendwelche Ideen was ich falsch gemacht habe?
Gefunden hat escan 20 Viren,bzw Trojaner und 30 Errors

Ich habe übrigens soeben auch eine Antwort von Malewareupload bekommen:

" Wir haben Ihre Datei msole32.exe überprüft und kamen zu folgendem Ergebnis:
TrojanClicker.Agent.CR "

Inzwischen recht entnervte Grüße (wegen dem PC, nicht wegen der Hilfe hier )

Mondstein

Zitat:

dann die Ergebnisse von escan....da hab ich wohl irgendwie Mist gebaut

also mal keine Panik wir werden das schon hinbekommen
Wichtig beim eScan ist das Verzeichnis C:\Bases_X dorthin muss er entpackt werden,und nicht in das Verzeichnis

Zitat:

C:\DOKUME~1\******\LOKALE~1\Temp\mwavscan.com

dann updaten wie in der Anleitung beschrieben, scannen im abgesicherten Modus, dann befindet sich im Ordner Bases_X auch eine mwav.log.
Normalerweise brauchst du die garnicht suchen wenn du nähmlich die Find.rar runtergeladen und z.B. nach Desktop entpackt hast. Einfach einen doppelklick auf die bat und der sucht den ganzen Kram selbst (Dank Haui45, einem Boardmitglied).Du findest danach auf C:\
einen neue Datei mit Namen eScan_neu.txt den Inhalt posten. Wenn das so nicht funktioniert ist in der Anleitung auch eine Alternative angeboten

Zitat:

Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.:

Du kannst auch nochmal nachlesen unter Punkt [5]

BTW: das Logfile sieht jetzt mal unauffällig aus

Hallo

Nene, in Panik gerate ich noch nicht

Ich hab aber vielleicht schon eine Lösung für meinen "Mist" gefunden....
ich hab mir den Log anzeigen lassen und die Funde rauskopiert....
sieht vielleicht ein wenig schlimm aus , aber vielleicht kann man damit was anfangen....

Fri Jul 22 18:08:05 2005 => ERROR!!! Invalid Entry winlogon.exe = msole32.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). No Action Taken.

Result: ERROR!!! File C:\Dokumente und Einstellungen\******\Desktop\virenschutz\adawarese.exe is Not Scanned
Fri Jul 22 18:20:42 2005 => C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe not Scanned. Possibly password protected...

***** Scanning Registry and File system for Adware/Spyware *****
Fri Jul 22 18:21:49 2005 => Loading Spyware Signatures from External Database...
Fri Jul 22 18:21:50 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Fri Jul 22 18:21:54 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jul 22 18:22:01 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.

Fri Jul 22 18:22:06 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\dot.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\will.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\genius.act". Action Taken: No Action Taken.

Fri Jul 22 18:22:24 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:25 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:26 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:26 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.

Fri Jul 22 18:22:28 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Fri Jul 22 18:22:40 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Fri Jul 22 18:22:40 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Fri Jul 22 18:22:55 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Fri Jul 22 18:22:55 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Fri Jul 22 18:22:56 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Fri Jul 22 18:22:56 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Fri Jul 22 18:23:01 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Fri Jul 22 18:23:01 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Result: ERROR!!! File C:\DOKUME~1\****\LOKALE~1\Temp\PSGuardInstall.exe is Not Scanned
Fri Jul 22 18:26:06 2005 => C:\DOKUME~1\*****\LOKALE~1\Temp\PSGuardInstall.exe not Scanned. Possibly password protected...

File C:\DOKUME~1\****\LOKALE~1\TEMPOR~1\Content.IE5\X77ZL5GE\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Fri Jul 22 18:28:28 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AVGold.zip is Not Scanned
Fri Jul 22 18:28:28 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AVGold.zip not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Dokumente und Einstellungen\******\Desktop\virenschutz\adawarese.exe is Not Scanned
Fri Jul 22 18:43:27 2005 => C:\Dokumente und Einstellungen\*****\Desktop\virenschutz\adawarese.exe not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\PSGuardInstall.exe is Not Scanned
Fri Jul 22 18:45:05 2005 => C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\PSGuardInstall.exe not Scanned. Possibly password protected...

File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1RZXBXRC\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

 File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7G55J08O\dia148[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A7M7YDQN\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CJ2RA5EP\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ8DUHKZ\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X77ZL5GE\dia326[1].html infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Fri Jul 22 18:46:49 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys

File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\AOL 9.0a\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\AOL 9.0b\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.001 infected by "Trojan-Downloader.Win32.Agent.le" Virus! Action Taken: No Action Taken.

Fri Jul 22 18:54:32 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR
Fri Jul 22 18:54:32 2005 => File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.le" Virus! Action Taken: No Action Taken.

File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot.

Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned
Fri Jul 22 19:02:35 2005 => C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask not Scanned. Possibly password protected...

22 19:34:04 2005 => Total Objects Scanned: 86497
Fri Jul 22 19:34:04 2005 => Total Virus(es) Found: 20
Fri Jul 22 19:34:04 2005 => Total Disinfected Files: 0
Fri Jul 22 19:34:04 2005 => Total Files Renamed: 0
Fri Jul 22 19:34:04 2005 => Total Deleted Objects: 0
Fri Jul 22 19:34:04 2005 => Total Errors: 30
Fri Jul 22 19:34:04 2005 => Time Elapsed: 01:26:20
Fri Jul 22 19:34:04 2005 => Virus Database Date: 2005/06/28
Fri Jul 22 19:34:04 2005 => Virus Database Count: 136804

wenn das nix taugt mach ich den ganzen Kram morgen Abend nochmal

Gruß
Mondstein

Hallo

Jetzt hab ich auch noch zusätzliche Probleme/Merkwürdigkeiten *grummel

Ich kann über den IE nicht mehr surfen :-(....

wahrscheinlich (Vermutung ins Blaue) hab ich wohl gestern bei den ganzen Aktionen irgendetwas gelöscht was der IE braucht....

kann ich das irgendwie wieder beheben???

Naja, wichtiger ist wohl aber erstmal dass ich den Rest wieder auf die Reihe bekomme.

Gruß
Mondstein