guten morgen alle zusammen!

bitte nicht lachen, bin komplett demoralisiert und wäre eben fast vom stuhl gekippt, als ich sah, daß escan 32 viren entdeckt hat ! ! !

norman av und spybot hatten außer lsa nix gefunden!!! hat es überhaupt sinn, da noch etwas reparieren zu wollen?

ist bestimmt ´ne zumutung, aber vielleicht findet sich ja doch jemand, der sich das ganze mal anschaut. ich stelle mal erst das hijack-logfile und dann das escan-ergebnis hier rein.

wie kann das denn passieren und was kann ich tun...
vielen dank schonmal im voraus,
troy








Logfile of HijackThis v1.99.1
Scan saved at 00:16:15, on 19.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\downloads\progs\trojaner\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVRaidService] C:\WINNT\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Microsoftf DDEs Control] lxes.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] svghosts.exe
O4 - HKLM\..\Run: [msngta32] msngta32.exe
O4 - HKLM\..\Run: [Startup Configuration] mvsp32.exe
O4 - HKLM\..\Run: [winreups] winreups.exe
O4 - HKLM\..\Run: [wingr64] winer.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] lxes.exe
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] svghosts.exe
O4 - HKLM\..\RunServices: [msngta32] msngta32.exe
O4 - HKLM\..\RunServices: [Startup Configuration] mvsp32.exe
O4 - HKLM\..\RunServices: [winreups] winreups.exe
O4 - HKLM\..\RunServices: [wingr64] winer.exe
O4 - HKCU\..\Run: [Windows_Protect] wisystem32.exe
O4 - HKCU\..\Run: [msngta32] msngta32.exe
O4 - HKCU\..\Run: [winreups] winreups.exe
O4 - HKCU\..\Run: [wingr64] winer.exe
O4 - HKCU\..\RunServices: [msngta32] msngta32.exe
O4 - HKCU\..\RunServices: [winreups] winreups.exe
O4 - HKCU\..\RunServices: [wingr64] winer.exe
O4 - Global Startup: Microsoft Office.lnk = G:\progs\Office10\OSA.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\progs\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://h**p://static.windupdates.com...bridge-c11.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - h**p://advnt01.com/dialer/int_ver30.CAB
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe




und hier escan:

Fri Aug 19 02:24:05 2005 => ***** Scan vollständig. *****
Fri Aug 19 02:24:05 2005 => Gescannte Dateien: 51359
Fri Aug 19 02:24:05 2005 => Gefundene Viren: 33
Fri Aug 19 02:24:05 2005 => Anzahl der desinfizierten Dateien: 0
Fri Aug 19 02:24:05 2005 => Umbenannte Dateien: 0
Fri Aug 19 02:24:05 2005 => Anzahl der gelöschten Dateien: 0
Fri Aug 19 02:24:05 2005 => Anzahl Fehler: 84
Fri Aug 19 02:24:05 2005 => Zeit vergangen: 01:21:01
Fri Aug 19 02:24:05 2005 => Virus Datenbank Datum: 2005/08/17
Fri Aug 19 02:24:05 2005 => Virus Datenbank Zähler: 144049

Fri Aug 19 02:24:05 2005 => Scan vollständig.


Datei C:\WINNT\system32\svghosts.exe infiziert von "Backdoor.Win32.Rbot.gen" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\system32\mvsp32.exe infiziert von "Virus.Win32.Parite.b" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\mcsecure.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\system32\svghosts.exe infiziert von "Backdoor.Win32.Rbot.gen" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\system32\mvsp32.exe infiziert von "Virus.Win32.Parite.b" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\SYSTEM32\HPDRIVER.SYS infiziert von "Rootkit.Win32.Agent.ae" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\mcsecure.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: No Action Taken.
Object "alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WebSearch Toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "clickspring Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Media Access Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "clickspring Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Media Pass Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "roings Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINNT\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}" refers to invalid object "V:\bin\mscomctl.ocx". Action Taken: No Action Taken.
Datei C:\WINNT\system32\soff.pif infiziert von "Backdoor.Win32.Rbot.xe" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\DOKUME~1\DEFAUL~1\LOKALE~1\TEMPOR~1\Content.IE5\SDMFC1MN\BoOtIoS2[1].exe infiziert von "Trojan.WinREG.LowZones.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\configsys infiziert von "Trojan-PSW.Win32.Small.ai" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDMFC1MN\BoOtIoS2[1].exe infiziert von "Trojan.WinREG.LowZones.a" Virus. Aktion vorgenommen: No Action Taken.
File C:\downloads\progs\trojaner\OiUninstaller.exe tagged as "not-a-virus:AdWare.MediaTickets.n". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaAccX.dll tagged as "not-a-virus:AdWare.WinAD.ba". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaGatewayX.dll tagged as "not-a-virus:AdWare.WinAD.bg". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx tagged as "not-a-virus:AdWare.MediaTickets.f". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\MediaAccX.dll tagged as "not-a-virus:AdWare.WinAD.ba". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\MediaGatewayX.dll tagged as "not-a-virus:AdWare.WinAD.bg". Action Taken: No Action Taken.
Datei C:\WINNT\system32\soff.pif infiziert von "Backdoor.Win32.Rbot.xe" Virus. Aktion vorgenommen: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaAccX.dll tagged as "not-a-virus:AdWare.WinAD.ba". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaGatewayX.dll tagged as "not-a-virus:AdWare.WinAD.bg". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx tagged as "not-a-virus:AdWare.MediaTickets.f". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\MediaAccX.dll tagged as "not-a-virus:AdWare.WinAD.ba". Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\MediaGatewayX.dll tagged as "not-a-virus:AdWare.WinAD.bg". Action Taken: No Action Taken.
Datei C:\WINNT\system32\soff.pif infiziert von "Backdoor.Win32.Rbot.xe" Virus. Aktion vorgenommen: No Action Taken.

Zitat:

Zitat von troy

hat es überhaupt sinn, da noch etwas reparieren zu wollen?

Nein.

Zitat:

wie kann das denn passieren und was kann ich tun...

Zitat:

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Dein Betriebssystem ist veraltet. http://www.windowsupdate.com existiert und sollte regelmäßig besucht werden. Macht man dies nicht, so fängt man sich so etwas ein:

Zitat:

Datei C:\WINNT\mcsecure.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\system32\svghosts.exe infiziert von "Backdoor.Win32.Rbot.gigeen" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\system32\mvsp32.exe infiziert von "Virus.Win32.Parite.b" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\SYSTEM32\HPDRIVER.SYS infiziert von "Rootkit.Win32.Agent.ae" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINNT\mcsecure.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: No Action Taken.

Einzige Möglichkeit: Formatieren und Neuaufsetzen lt. Anleitung in der Signatur. Warum dir keine andere Wahl bleibt steht dort ebenfalls.

Gruß
Yopie

Dein System ist dermassen verseucht da hilft nur noch neu aufsetzen ! du hast unter anderem aktive Backdoors und Rootkits auf deinem rechner !

Du solltest dein System schnellstens vom Netz nehmen und nach dieser Anleitung neu aufsetzen :

http://www.trojaner-board.de/showthread.php?t=12154

Du findest dort auch Links warum es keinen Sinn macht zu versuchen noch etwas zu bereinigen also aufmerksam durchlesen

Edit: ups da war einer schneller

....bin noch dabei, den schock zu verdauen, aber ich glaube ich habe eine lektion gelernt.....

ganz ganz lieben dank für die schnelle und prof. hilfe auch zu nachtschlafender zeit ! ! !
:aplaus: :aplaus: :aplaus: :aplaus: :aplaus: :aplaus:

ihr hört bestimmt bald wieder von mir...
weiter so und alles gute!
gruß
troy

Zitat:

Zitat von troy

ihr hört bestimmt bald wieder von mir...
weiter so und alles gute!
gruß
troy

hi, warum, willst du das escan ergenis toppen

...hehe, sehr lustig !



geht das denn überhaupt zu toppen?- mit frischem system versteht sich...


war das nicht schon absoluter rekord? sind da nicht schon viren drauf, die´s eigentlich noch garnicht gibt?
-wie wär´s mit nem escan-wettbewerb -> wer hat die MEISTEN und FIESESTEN (unbeabsichtigt natürlich) ? -dafür gibt´s dann als 1. preis nen crashkurs mit hirnwäsche in sachen datensicherheit:



dann wäre dem ganzen ja auch noch was richtig gutes abzugewinnen... naja, ich muß schon sagen, daß ich froh bin, daß sich bei mir format c: wenigstens richtig lohnt... versuche optimistisch zu bleiben... immerhin kann ich hier noch posten... und noch mal eben 20 bewerbungen ´rauskloppen bevor´s ans eingemachte geht...

gruß
troy

Zitat:

Zitat von troy

...hehe, sehr lustig !



geht das denn überhaupt zu toppen?- mit frischem system versteht sich...


war das nicht schon absoluter rekord?

Nein, da kam hier schon schlimmeres vorbei.
Für den Rekord musst Du Dich schon etwas mehr anstrengen

Also Spass beiseite: Format C, auf gehts...

Zitat:

Zitat von troy

immerhin kann ich hier noch posten... und noch mal eben 20 bewerbungen ´rauskloppen bevor´s ans eingemachte geht...

gruß
troy

also, daten sollte man so nicht mehr versenden, dein rechner sollte nach J.Malte und wikipedia, sofort aus dem netz genommen werden

.....danke für die tips, ich werd´mich beeilen.......



gruß
troy

hallo alle miteinander!

also, mein obenbenannter rechner hatte noch am selben tag komplett den geist aufgegeben (natürlich BEVOR ich noch alle wichtigen daten retten konnte ). dies äußerte sich zunächst in merkwürdigen ungleichmäßigen klicker- und klackergeräuschen, die von einem zischenden pfeifen beendet wurden (als ob ´nem ballon die luft ausgeht). danach bootete er überhaupt nicht mehr. neustart auch mit boot-cds und-disketten erfolglos, findet die fp nicht mehr. windows-setup bricht ab mit bluescreen: "...das system wird ausgeschaltet um weiteren schaden zu verhindern...bla bla" -oder so ähnlich. gottseidank ist der rechner noch neu und hat noch garantie, d.h. die nächsten tage kommt ein techniker.

kann die fp und/oder das system durch die viren zerstört worden sein???!!!

nun ja... dieses poste ich jetzt von meinem uralt-rechner und hoffe, daß ich hier auf der sichereren seite bin. -wäre lieb, wenn ihr hierzu noch einmal eure meinung beisteuern würdet (hauptsächlich diese alexa-sache)...

vielen dank und grüße
troy




hijackthis-logfile (normalmodus):

Logfile of HijackThis v1.99.1
Scan saved at 15:52:32, on 22.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\NORMAN\BIN\ZANDA.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\NORMAN\NVC\BIN\CCLAW.EXE
C:\NORMAN\NVC\BIN\NVCSCHED.EXE
C:\NORMAN\NVC\BIN\NIP.EXE
C:\NORMAN\BIN\NJEEVES.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\INTERVIDEO\FASTTVSYNC\FASTTVSYNC.EXE
C:\NORMAN\BIN\ZLH.EXE
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\INTERVIDEO\WINDVD4PR\SCHSVR.EXE
C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACRORD32.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.metager.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [OWCCardbusTray] ocbtray.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Norman ZANDA] "C:\NORMAN\BIN\ZANDA.EXE" /LOAD
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll




escan-log (abgesicherter modus):

Mon Aug 22 18:21:35 2005 => ***** Scanning complete. *****
Mon Aug 22 18:21:35 2005 => Total Objects Scanned: 33734
Mon Aug 22 18:21:35 2005 => Total Virus(es) Found: 1
Mon Aug 22 18:21:35 2005 => Total Disinfected Files: 0
Mon Aug 22 18:21:35 2005 => Total Files Renamed: 0
Mon Aug 22 18:21:35 2005 => Total Deleted Objects: 0
Mon Aug 22 18:21:35 2005 => Total Errors: 17
Mon Aug 22 18:21:35 2005 => Time Elapsed: 01:39:55
Mon Aug 22 18:21:35 2005 => Virus Database Date: 2005/08/22
Mon Aug 22 18:21:35 2005 => Virus Database Count: 145063

Mon Aug 22 18:21:35 2005 => Scan Completed.

Object "alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\Programme\InterVideo\WinCinema\yourapp.Exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\NREN.EXE" refers to invalid object "C:\NORMAN\NVC\BIN\NREN.EXE". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\MsoHtmEd.exe" refers to invalid object "". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "C:\WINDOWS\SYSTEM\disktool.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2E1346C0-7D18-11D5-A7E7-00C02626503F}" refers to invalid object "C:\WINDOWS\DESKTOP\GERICHTE.EXE". Action Taken: No Action Taken.
Entry "HKCR\Overview.Document" refers to invalid object "{DA23B9C9-6893-11D0-8534-00C04FD7AD0C}". Action Taken: No Action Taken.
Entry "HKCR\TSHOOT.TSHOOTCtrl.1" refers to invalid object "{4B106874-DD36-11D0-8B44-00A024DD9EFF}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.
Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.

In dem Log kann ich nichts schlechtes finden. Könntest vielleicht einen Antivirenscanner installieren.

Zitat:

Zitat von troy

kann die fp und/oder das system durch die viren zerstört worden sein???!!!

Definitiv: Nein

hallo felix1!

danke erstmal für die halbwegs beruhigende antwort

habe doch den norman antivirenscanner drauf, reicht der nicht aus ?

bezüglich des "alexa related virus" und der sonstigen beanstandungen von escan - kann ich da noch was verbessern?

ansonsten wäre ich heilfroh, wenn wenigstens diese kiste halbwegs sauber ist und bleibt...

ganz lieben dank und
grüße
troy

hallo liebes forum!

bin ja jetzt gerade dabei, meinen alten ersatzrechner einigermaßen auf vordermann und "clean" zu bekommen.

nun scheint´s ja auch halbwegs OK szu sein (?) bis auf diese alexa-angelegenheit. ich bekomme sie um´s verrecken nicht ´raus. habe die beiden "web-related"-sachen (o.ä.) im hijack gefixt, die "..web-related.."-datei auf c: gelöscht. insgesamt habe ich die registry mit "regseeker" bereinigt (271 einträge ! scheint ein gutes tool zu sein (?!)), aber trotzdem tauchen bestimmte einträge und wie gesagt dieser alexa-virus immer noch auf.

nun bitte ich euch erneut um einen blick auf meine beiden scans um eure geduld und euren wohlwollen und BITTE erbarme sich jemand, mir zu verraten, wie ich den letzten dreck da auch noch ´rausbekomme....

mit vielem herzlichen dank im voraus
und lieben grüßen
troy




hjt von heute:

Logfile of HijackThis v1.99.1
Scan saved at 20:31:49, on 23.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\NORMAN\BIN\ZANDA.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\NORMAN\NVC\BIN\CCLAW.EXE
C:\NORMAN\NVC\BIN\NVCSCHED.EXE
C:\NORMAN\NVC\BIN\NIP.EXE
C:\NORMAN\BIN\NJEEVES.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE
C:\NORMAN\BIN\ZLH.EXE
C:\PROGRAMME\HANSENET\ALICE\APP\TANGOMANAGER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [OWCCardbusTray] ocbtray.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HANSENET\ALICE\APP\TANGOM~1.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Norman ZANDA] "C:\NORMAN\BIN\ZANDA.EXE" /LOAD
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll



eScan von heute:

Tue Aug 23 21:30:18 2005 => ***** Scanning complete. *****
Tue Aug 23 21:30:18 2005 => Total Objects Scanned: 31906
Tue Aug 23 21:30:18 2005 => Total Virus(es) Found: 1
Tue Aug 23 21:30:18 2005 => Total Disinfected Files: 0
Tue Aug 23 21:30:18 2005 => Total Files Renamed: 0
Tue Aug 23 21:30:18 2005 => Total Deleted Objects: 0
Tue Aug 23 21:30:18 2005 => Total Errors: 13
Tue Aug 23 21:30:18 2005 => Time Elapsed: 00:51:49
Tue Aug 23 21:30:18 2005 => Virus Database Date: 2005/08/22
Tue Aug 23 21:30:18 2005 => Virus Database Count: 145063

Tue Aug 23 21:30:18 2005 => Scan Completed.



Object "alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\.p7s" refers to invalid object "P7SFile". Action Taken: No Action Taken.
Entry "HKCR\.p7m" refers to invalid object "P7MFile". Action Taken: No Action Taken.
Entry "HKCR\.sst" refers to invalid object "CertificateStoreFile". Action Taken: No Action Taken.
Entry "HKCR\.p10" refers to invalid object "P10File". Action Taken: No Action Taken.
Entry "HKCR\.pcb" refers to invalid object "PCBFile". Action Taken: No Action Taken.
Entry "HKCR\AcroAccess.AcroAccess.1" refers to invalid object "{C523F39F-9C83-11D3-9094-00104BD0D535}". Action Taken: No Action Taken.
Entry "HKCR\AcroAccess.AcroAccess" refers to invalid object "{C523F39F-9C83-11D3-9094-00104BD0D535}". Action Taken: No Action Taken.


nochmal mercy...alexa - bitte um hilfe

Hi
Alexa entfernen

hi passat 2002,

danke für die antwort!

zitat dein link:
"....Unter Hkey_Local_Machine\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b-00aa003c157a
löscht man diesen Schlüssel mit allen Untereinträgen....."

-das hab ich unter extensions nicht. ich hab da nur einen ordner der sich:
08B0E5C0-4FcB-11CF-AAA5-00401C608501 nennt. soll ich den löschen? und wie bekomme ich den rest weg?

nochmals danke im voraus und
grüße
troy