Nervige Toolbar im IE

60surfer · 31.07.2005, 08:19

Hallo Leute,

habe seit einiger Zeit folgende Probleme mit meinem Internet Explorer und bei der Suche nach Hilfe auf dieses Forum gestossen, wo sehr engagiert geholfen zu werden scheint.
Also, bei mir hat sich vor kurzem eine ziemlich nervige Toolbar installiert (Gambling, Internet, Pharmacy,..), die sich auch nicht mehr entfernen lässt. Ausserdem wird auf Seiten gesprungen, die ich nicht eingebe, Startseite geändert, etc. - offensichtlich die üblichen Probleme..

Habe nun das Hijackthis-Logfile erstellt (1) und mein System mit eScan überprüft (2). Da ich kein Experte bin, würde ich mich sehr über möglichst allgemeinverständliche Hilfe freuen. Was ich schon verstanden habe, ist, dass der IE nix taucht, werde seine Verwendung einschränken und auf Firefox oder Modzilla umsteigen.

Hoffe, die Infos unten reichen aus.

Vielen Dank für Hilfe!
60surfer

++++++++++++++++++++++++
Ergebnisse der beiden Scans:
(1)
Logfile of HijackThis v1.99.1
Scan saved at 14:21:12, on 30.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Network Associates\VirusScan\mcconsol.exe
C:\Programme\Network Associates\VirusScan\SCNCFG32.EXE
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wsggl.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Siemens MPM\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe
O4 - HKLM\..\Run: [dmdok.exe] C:\WINDOWS\system32\dmdok.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www6.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04530131-A4F3-4BE1-9EE5-F7FDBB80FBF0}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{662DDF2C-6890-4F23-B49C-21F5266DC198}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B74AE92-7017-47AD-A4DD-E8ED5DEF616C}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{04530131-A4F3-4BE1-9EE5-F7FDBB80FBF0}: NameServer = 195.95.218.1,85.255.112.7
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe

(2)
[..]

Sat Jul 30 15:14:53 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Jul 30 15:14:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:14:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe". Action Taken: No Action Taken.

Sat Jul 30 15:14:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Roxio Shared\DLLShared". Action Taken: No Action Taken.

Sat Jul 30 15:14:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Tele-Info\BDE\IDAPINST.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:02 2005 => Entry "HKCR\CLSID\{29FF67FF-8050-480f-9F30-CC41635F2F9D}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:06 2005 => Entry "HKCR\CLSID\{70B51430-B6CA-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:07 2005 => Entry "HKCR\CLSID\{8298d101-f992-43b7-8eca-5052d885b995}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:07 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.

Sat Jul 30 15:15:09 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.

Sat Jul 30 15:15:09 2005 => Entry "HKCR\CLSID\{A9E69612-B80D-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:14 2005 => Entry "HKCR\CLSID\{f612954d-3b0b-4c56-9563-227b7be624b4}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:17 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Sat Jul 30 15:15:17 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Sat Jul 30 15:15:23 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.

Sat Jul 30 15:15:23 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Sat Jul 30 15:15:23 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Sat Jul 30 15:15:27 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat Jul 30 15:15:27 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat Jul 30 15:15:28 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Sat Jul 30 15:15:28 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Sat Jul 30 15:15:30 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Sat Jul 30 15:15:30 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

+++++++++++++++++++++++++

Sat Jul 30 16:36:09 2005 => ***** Scan vollständig. *****

Sat Jul 30 16:36:09 2005 => Gescannte Dateien: 49110
Sat Jul 30 16:36:09 2005 => Gefundene Viren: 4
Sat Jul 30 16:36:09 2005 => Anzahl der desinfizierten Dateien: 0
Sat Jul 30 16:36:09 2005 => Umbenannte Dateien: 0
Sat Jul 30 16:36:09 2005 => Anzahl der gelöschten Dateien: 0
Sat Jul 30 16:36:09 2005 => Anzahl Fehler: 24
Sat Jul 30 16:36:09 2005 => Zeit vergangen: 01:22:43
Sat Jul 30 16:36:09 2005 => Virus Datenbank Datum: 2005/07/30
Sat Jul 30 16:36:09 2005 => Virus Datenbank Zähler: 141108

Rene-gad · 31.07.2005, 09:49

@60surfer

Zitat:

Sat Jul 30 16:36:09 2005 => Gefundene Viren: 4

Und wo sind die im Log? Kann es sein, dass du den Log nicht vollständig gepostet hast?

Zitat:

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wsggl.dll
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe
O4 - HKLM\..\Run: [dmdok.exe] C:\WINDOWS\system32\dmdok.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe

Ich würde auf diesen Vierer tippen. Um dir etwas Weiteres empfehlen zu können, benötigen wir die Infos, welche Viren und wo wurden gemeldet.
Zweifellfalls bitte die fraglichen Dateien bei http://virusscan.jotti.org/ überprüfen.

60surfer · 31.07.2005, 15:03

Sorry, habe da wohl zu viel gelöscht, da die Datei so gross war.
Hier ein zweiter Versuch eines Auszugs aus dem MWAV-File.

Habe nun versucht, nur Zeilen zu löschen, die "Scanne Datei/Verzeichnis.." beinhalten. Hoffe, es ist alles dabei, was Ihr braucht!
Die gelöschten Bereiche habe ich durch .... markiert.

Viele Grüsse,
60surfer

Hier der Auszug:

Sat Jul 30 15:11:39 2005 => **********************************************************
Sat Jul 30 15:11:39 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Sat Jul 30 15:11:39 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Sat Jul 30 15:11:39 2005 => **********************************************************
Sat Jul 30 15:11:39 2005 => Version 6.6.5 (C:\Bases_X\mwavscan.com)
Sat Jul 30 15:11:39 2005 => Log File: C:\Bases_X\MWAV.LOG
Sat Jul 30 15:11:39 2005 => MWAV Registered: FALSE.
Sat Jul 30 15:11:39 2005 => MWAV Mode: Only Scan files.
Sat Jul 30 15:11:43 2005 => Latest Date of files inside MWAV: 30 Jul 2005 10:41:00.
Sat Jul 30 15:11:49 2005 => AV Library Loaded...
Sat Jul 30 15:11:49 2005 => MWAV doing self scanning...
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\kavss.exe
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\Getvlist.exe
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\kavss.dll
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\kavssdi.dll
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\kavssi.dll
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\kavvlg.dll
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\msvlclnt.dll
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\ipc.dll
Sat Jul 30 15:11:49 2005 => Scanning File C:\Bases_X\main.avi
Sat Jul 30 15:11:50 2005 => Scanning File C:\Bases_X\virus.avi
Sat Jul 30 15:11:50 2005 => MWAV files are clean.
Sat Jul 30 15:12:08 2005 => Virus Datenbank Datum: 2005/07/30
Sat Jul 30 15:12:08 2005 => Virus Datenbank Zähler: 141108

Sat Jul 30 15:13:01 2005 => **********************************************************
Sat Jul 30 15:13:01 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Sat Jul 30 15:13:01 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Sat Jul 30 15:13:01 2005 =>
Sat Jul 30 15:13:01 2005 => Support: support@mwti.net
Sat Jul 30 15:13:01 2005 => Web: http://www.mwti.net
Sat Jul 30 15:13:01 2005 => **********************************************************
Sat Jul 30 15:13:01 2005 => Version 6.6.5
Sat Jul 30 15:13:01 2005 => Log File: C:\Bases_X\MWAV.LOG
Sat Jul 30 15:13:01 2005 => User Account: Administrator
Sat Jul 30 15:13:01 2005 => Windows Root Folder: C:\WINDOWS
Sat Jul 30 15:13:01 2005 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Jul 30 15:13:01 2005 => OS: Windows NT
Sat Jul 30 15:13:01 2005 => Letztes Datum der MWAV Dateien: 30 Jul 2005 10:41:00.

Sat Jul 30 15:13:01 2005 => Optionen vom Benutzer ausgewählt:
Sat Jul 30 15:13:01 2005 => Specherüberprüfung: Aktiviert
Sat Jul 30 15:13:01 2005 => Registry Überprüfung: Aktiviert
Sat Jul 30 15:13:01 2005 => StartUp Verzeichniss Überprüfung: Deaktiviert
Sat Jul 30 15:13:01 2005 => System Verzeichniss Überprüfung: Deaktiviert
Sat Jul 30 15:13:01 2005 => System Area Überprüfung: Deaktiviert
Sat Jul 30 15:13:01 2005 => Überprüfung der Dienste: Aktiviert
Sat Jul 30 15:13:01 2005 => Überprüfung der Festplatten: Deaktiviert
Sat Jul 30 15:13:01 2005 => Überprüfung aller Festplatten :Aktiviert
Sat Jul 30 15:13:01 2005 => Verzeichniss Überprüfung: Deaktiviert

Sat Jul 30 15:13:01 2005 => ***** Scanne Speicher Dateien *****
....

Sat Jul 30 15:13:21 2005 => ***** Scanne Registry Dateien *****

Sat Jul 30 15:13:21 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Sat Jul 30 15:13:21 2005 => Scanne Datei C:\WINDOWS\system32\SHELL32.dll
Sat Jul 30 15:13:21 2005 => Scanne Datei C:\WINDOWS\system32\SHELL32.dll
Sat Jul 30 15:13:21 2005 => Scanne Datei C:\WINDOWS\System32\webcheck.dll
Sat Jul 30 15:13:21 2005 => Scanne Datei C:\WINDOWS\System32\stobject.dll

Sat Jul 30 15:13:21 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Sat Jul 30 15:13:21 2005 => Scanning HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension

Sat Jul 30 15:13:22 2005 => Scanning HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Sat Jul 30 15:13:22 2005 => Scanne Datei c:\programme\google\googletoolbar1.dll
Sat Jul 30 15:13:22 2005 => Scanne Datei C:\WINDOWS\system32\wsggl.dll
Sat Jul 30 15:13:47 2005 => File C:\WINDOWS\system32\wsggl.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.

Sat Jul 30 15:13:47 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Sat Jul 30 15:13:47 2005 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
Sat Jul 30 15:13:47 2005 => Scanne Datei C:\PROGRA~1\Adobe\ACROBA~1.0\ActiveX\ACROIE~1.DLL
Sat Jul 30 15:13:47 2005 => {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} = C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
Sat Jul 30 15:13:47 2005 => Scanne Datei C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
Sat Jul 30 15:13:47 2005 => {AA58ED58-01DD-4d91-8333-CF10577473F7} = c:\programme\google\googletoolbar1.dll
Sat Jul 30 15:13:47 2005 => Scanne Datei c:\programme\google\googletoolbar1.dll
Sat Jul 30 15:13:47 2005 => {B56A7D7D-6927-48C8-A975-17DF180C71AC} = C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
Sat Jul 30 15:13:47 2005 => Scanne Datei C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

Sat Jul 30 15:13:47 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler
Sat Jul 30 15:13:47 2005 => Scanne Datei C:\WINDOWS\System32\browseui.dll
Sat Jul 30 15:13:47 2005 => Scanne Datei C:\WINDOWS\System32\browseui.dll

Sat Jul 30 15:13:47 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
...

Sat Jul 30 15:13:55 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Sat Jul 30 15:13:55 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
......

Sat Jul 30 15:13:56 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Sat Jul 30 15:13:56 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Sat Jul 30 15:13:56 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Sat Jul 30 15:13:56 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AEDEBUG
Sat Jul 30 15:13:56 2005 => Scanne Datei C:\WINDOWS\system32\drwtsn32.exe

Sat Jul 30 15:13:56 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Sat Jul 30 15:13:56 2005 => Scanne Datei C:\WINDOWS\system32\ntsd.exe

Sat Jul 30 15:13:56 2005 => Scanning HKCU\Control Panel\Desktop
Sat Jul 30 15:13:56 2005 => Scanne Datei C:\WINDOWS\System32\logon.scr

Sat Jul 30 15:13:56 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Control\WOW
Sat Jul 30 15:13:56 2005 => Scanne Datei C:\WINDOWS\system32\ntvdm.exe
Sat Jul 30 15:13:57 2005 => Scanne Datei C:\WINDOWS\system32\ntvdm.exe

Sat Jul 30 15:13:57 2005 => Scanning HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
......

Sat Jul 30 15:13:57 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Sat Jul 30 15:13:57 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Sat Jul 30 15:13:57 2005 => Scanning HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Run

Sat Jul 30 15:13:57 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run

Sat Jul 30 15:13:57 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sat Jul 30 15:13:57 2005 => Scanne Datei C:\PROGRA~1\NETWOR~1\VIRUSS~1\SHSTAT.EXE
Sat Jul 30 15:13:58 2005 => Scanne Datei C:\PROGRA~1\NETWOR~1\COMMON~1\UPDATE~1.EXE
Sat Jul 30 15:13:58 2005 => Scanne Datei C:\WINDOWS\Logi_MwX.Exe
Sat Jul 30 15:13:58 2005 => Scanne Datei C:\PROGRA~1\GEMEIN~1\ROXIOS~1\System\EngUtil.exe
Sat Jul 30 15:13:58 2005 => Scanne Datei C:\PROGRA~1\Roxio\EASYCD~1\AUDIOC~1\RxMon.exe
Sat Jul 30 15:13:59 2005 => Scanne Datei C:\Programme\FreePDF_XP\fpassist.exe
Sat Jul 30 15:13:59 2005 => ERROR!!! Invalid Entry ScheduleSync.Siemens.SmartSync.5.2.exe = C:\Programme\Siemens MPM\SmartSync\ScheduleSync.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
Sat Jul 30 15:13:59 2005 => Scanne Datei C:\WINDOWS\system32\hclean32.exe
Sat Jul 30 15:13:59 2005 => Datei C:\WINDOWS\system32\hclean32.exe infiziert von "Trojan.Win32.Qhost.qr" Virus. Aktion vorgenommen: No Action Taken.

Sat Jul 30 15:13:59 2005 => Scanne Datei C:\WINDOWS\system32\dmdok.exe
Sat Jul 30 15:13:59 2005 => Scanne Datei C:\WINDOWS\system32\yaemu.exe
Sat Jul 30 15:13:59 2005 => Datei C:\WINDOWS\system32\yaemu.exe infiziert von "Trojan.Win32.DNSChanger.s" Virus. Aktion vorgenommen: No Action Taken.

Sat Jul 30 15:13:59 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Sat Jul 30 15:13:59 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Sat Jul 30 15:13:59 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Sat Jul 30 15:13:59 2005 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Sat Jul 30 15:13:59 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sat Jul 30 15:13:59 2005 => Scanne Datei C:\WINDOWS\system32\ctfmon.exe
Sat Jul 30 15:13:59 2005 => Scanne Datei C:\Programme\Messenger\msmsgs.exe
Sat Jul 30 15:14:00 2005 => Scanne Datei C:\PROGRA~1\SPYWAR~1\swdoctor.exe

Sat Jul 30 15:14:00 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Sat Jul 30 15:14:00 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Sat Jul 30 15:14:00 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Sat Jul 30 15:14:00 2005 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup

Sat Jul 30 15:14:00 2005 => Scanning HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sat Jul 30 15:14:00 2005 => Scanne Datei C:\WINDOWS\System32\CTFMON.EXE

Sat Jul 30 15:14:00 2005 => Scanning HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Sat Jul 30 15:14:00 2005 => Scanning HKCR\txtfile\shell\open\command

Sat Jul 30 15:14:00 2005 => Scanning HKCR\comfile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\exefile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\dllfile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\batfile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\piffile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\scrfile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\scrfile\shell\config\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\regfile\shell\open\command

Sat Jul 30 15:14:01 2005 => Scanning HKCR\htmlfile\shell\open\command
Sat Jul 30 15:14:01 2005 => Scanne Datei C:\PROGRA~1\INTERN~1\iexplore.exe

Sat Jul 30 15:14:01 2005 => Scanning HKCR\htafile\shell\open\command
Sat Jul 30 15:14:01 2005 => Scanne Datei C:\WINDOWS\System32\mshta.exe

Sat Jul 30 15:14:01 2005 => Scanning HKCR\jsfile\shell\open\command
Sat Jul 30 15:14:01 2005 => Scanne Datei C:\WINDOWS\System32\WScript.exe

Sat Jul 30 15:14:01 2005 => Scanning HKCR\jsefile\shell\open\command
Sat Jul 30 15:14:01 2005 => Scanne Datei C:\WINDOWS\System32\WScript.exe

Sat Jul 30 15:14:01 2005 => Scanning HKCR\vbsfile\shell\open\command
Sat Jul 30 15:14:01 2005 => Scanne Datei C:\WINDOWS\System32\WScript.exe

Sat Jul 30 15:14:01 2005 => Scanning HKCR\vbefile\shell\open\command
Sat Jul 30 15:14:01 2005 => Scanne Datei C:\WINDOWS\System32\WScript.exe

Sat Jul 30 15:14:01 2005 => Scanning HKCR\wshfile\shell\open\command
Sat Jul 30 15:14:02 2005 => Scanne Datei C:\WINDOWS\System32\WScript.exe

Sat Jul 30 15:14:02 2005 => Scanning HKCR\wsffile\shell\open\command
Sat Jul 30 15:14:02 2005 => Scanne Datei C:\WINDOWS\System32\WScript.exe

Sat Jul 30 15:14:02 2005 => ***** Scanne Dienste *****
Sat Jul 30 15:14:02 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
.....

Sat Jul 30 15:14:16 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Sat Jul 30 15:14:16 2005 => ***** Scanne wichtige Systemdateien *****
.....

Sat Jul 30 15:14:19 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Jul 30 15:14:19 2005 => Loading Spyware Signatures from FIXED Database...

Sat Jul 30 15:14:53 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Jul 30 15:14:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:14:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\De_serv.exe". Action Taken: No Action Taken.

Sat Jul 30 15:14:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Roxio Shared\DLLShared". Action Taken: No Action Taken.

Sat Jul 30 15:14:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Tele-Info\BDE\IDAPINST.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:02 2005 => Entry "HKCR\CLSID\{29FF67FF-8050-480f-9F30-CC41635F2F9D}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:06 2005 => Entry "HKCR\CLSID\{70B51430-B6CA-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:07 2005 => Entry "HKCR\CLSID\{8298d101-f992-43b7-8eca-5052d885b995}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:07 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.

Sat Jul 30 15:15:09 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.

Sat Jul 30 15:15:09 2005 => Entry "HKCR\CLSID\{A9E69612-B80D-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:14 2005 => Entry "HKCR\CLSID\{f612954d-3b0b-4c56-9563-227b7be624b4}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.

Sat Jul 30 15:15:17 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Sat Jul 30 15:15:17 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Sat Jul 30 15:15:23 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.

Sat Jul 30 15:15:23 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Sat Jul 30 15:15:23 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Sat Jul 30 15:15:27 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat Jul 30 15:15:27 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat Jul 30 15:15:28 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Sat Jul 30 15:15:28 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Sat Jul 30 15:15:30 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Sat Jul 30 15:15:30 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Sat Jul 30 15:15:31 2005 => ***** Scanne alle Festplatten *****
Sat Jul 30 15:15:31 2005 => Scanning C:\ Drive
Sat Jul 30 15:15:31 2005 => Scanne Verzeichniss: C:\*.*
Sat Jul 30 15:15:31 2005 => Scanne Datei C:\AUTOEXEC.BAT [**]
Sat Jul 30 15:15:31 2005 => Scanne Datei C:\AVPCallback.log
Sat Jul 30 15:15:31 2005 => Scanne Verzeichniss: C:\Bases_X\*.*
....
.....
Sat Jul 30 16:33:20 2005 => File C:\WINDOWS\system32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
.....
...

Sat Jul 30 16:36:09 2005 => ***** Überprüfe spezielle ITW Viren *****
Sat Jul 30 16:36:09 2005 => Überprüfe auf Welchia Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf LovGate Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf CodeRed Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf OpaServ Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Sobig.e Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Winupie Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Swen Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf JS.Fortnight Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Novarg Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Pagabot Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Parite.b Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Parite.a Virus...
Sat Jul 30 16:36:09 2005 => Überprüfe auf Adware.SeekSeek Virus...

Sat Jul 30 16:36:09 2005 => ***** Scan vollständig. *****

Sat Jul 30 16:36:09 2005 => Gescannte Dateien: 49110
Sat Jul 30 16:36:09 2005 => Gefundene Viren: 4
Sat Jul 30 16:36:09 2005 => Anzahl der desinfizierten Dateien: 0
Sat Jul 30 16:36:09 2005 => Umbenannte Dateien: 0
Sat Jul 30 16:36:09 2005 => Anzahl der gelöschten Dateien: 0
Sat Jul 30 16:36:09 2005 => Anzahl Fehler: 24
Sat Jul 30 16:36:09 2005 => Zeit vergangen: 01:22:43
Sat Jul 30 16:36:09 2005 => Virus Datenbank Datum: 2005/07/30
Sat Jul 30 16:36:09 2005 => Virus Datenbank Zähler: 141108

Sat Jul 30 16:36:09 2005 => Scan vollständig.

Sat Jul 30 19:26:31 2005 => Virus Datenbank Datum: 2005/07/30
Sat Jul 30 19:26:31 2005 => Virus Datenbank Zähler: 141108
Sat Jul 30 19:39:39 2005 => AV Library Unloaded (3)...

Zitat:

Zitat von Rene-gad

@60surfer

Und wo sind die im Log? Kann es sein, dass du den Log nicht vollständig gepostet hast?

Ich würde auf diesen Vierer tippen. Um dir etwas Weiteres empfehlen zu können, benötigen wir die Infos, welche Viren und wo wurden gemeldet.
Zweifellfalls bitte die fraglichen Dateien bei http://virusscan.jotti.org/ überprüfen.

Rene-gad · 31.07.2005, 15:08

@60surfer

Zitat:

Hier ein zweiter Versuch eines Auszugs aus dem MWAV-File.

Versuch Fehlgeschlagen. Bitte nur die Zeilen posten, die relevante Informationen enthalten. MEHR NICHTS.
Bitte bearbeite deinen Posting mit dem

-Button

60surfer · 01.08.2005, 07:23

Hallo Rene-gad,
bevor ich dann wieder zuviel lösche, welche Zeilen sind denn relevant?
Danke,
60surfer

Rene-gad · 01.08.2005, 08:56

@60surfer

Zitat:

bevor ich dann wieder zuviel lösche, welche Zeilen sind denn relevant?

Die, die Infos über Viren enthalten.

60surfer · 01.08.2005, 21:37

Hallo nochmal,

also, hab zwar keine Ahnung, ob dies die richtigen Zeilen sind, aber hier nochmal die explizit rauskopiert, wo was von Virus drinsteht:

1. Sat Jul 30 15:13:47 2005 => File C:\WINDOWS\system32\wsggl.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
2. Sat Jul 30 15:13:59 2005 => Datei C:\WINDOWS\system32\hclean32.exe infiziert von "Trojan.Win32.Qhost.qr" Virus. Aktion vorgenommen: No Action Taken.
3. Sat Jul 30 15:13:59 2005 => Datei C:\WINDOWS\system32\yaemu.exe infiziert von "Trojan.Win32.DNSChanger.s" Virus. Aktion vorgenommen: No Action Taken.
4. Sat Jul 30 16:33:20 2005 => File C:\WINDOWS\system32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.

Daneben gibts noch einige wo was von "refers to invalid object" steht. Diese kann ich auf Wunsch auch nochmal aus der Datei unten rauskopieren..

Meine Frage wäre jetzt, was ich genau tun muss, sozusagen "cleaning viruses for dummies" ;-)

Danke,
60surfer

Zitat:

Zitat von Rene-gad

@60surfer

Die, die Infos über Viren enthalten.

Rene-gad · 02.08.2005, 06:15

@60surfer

Zitat:

Meine Frage wäre jetzt, was ich genau tun muss

Bitte die als "Virus" bezeichnete Dateien im abgesicherten Modus löschen.
Danach noch mal eScan laufen lassen.
Eine Neuinstallation würde ich dir allerdings empfehlen, denn die beiden

Zitat:

Trojan.Win32.Qhost.qr
Trojan.Win32.DNSChanger.s

könnten von Dritten genutz werden, um eine DOS-Attack auf einen Server zu starten. Mehr dazu: http://de.wikipedia.org/wiki/Denial_of_Service

Nervige Toolbar im IE

Log-Analyse und Auswertung: Nervige Toolbar im IE