Hallo zusammen! Bin soeben auf diese Seite gestoßen da ich par Probleme hatte antivir hat mir plötzlich nen trojaner gezeigt und das par mal die letzten tag immer irgendwas mit aboxinst...... usw.
Konnte dazu nichts richtiges finden im Netz. Bin also mal auf Datei löschen mit anti vir naja und nun frag ich mich ob dann auch alles wieder ok ist oder ich noch irgendwo was habe.

hab schonmal nen Hijack Log mitgebracht:
Hab Windows xp home edition glaub mit sp2 ?!

Wäre froh wenn mir jemand helfen kann, habe nur anti vir und die xp firewall drauf das müsste doch eigentlich sicher sein?!




Logfile of HijackThis v1.99.1
Scan saved at 10:57:37, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Save\Save.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Thunder\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=192093
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{18BB02E0-8759-48AD-B607-655D8FE07AB7}: NameServer = 217.237.148.17 217.237.148.49
O17 - HKLM\System\CS1\Services\Tcpip\..\{18BB02E0-8759-48AD-B607-655D8FE07AB7}: NameServer = 217.237.148.17 217.237.148.49
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

Servus, ThuNd3r
In Deinem Logfile finde ich außer ein bißchen adware

Zitat:

C:\Programme\Save\Save.exe
...
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

nichts zu beanstanden!
http://doxdesk.com/parasite/SaveNow.html
Du kannst es über Systemsteuerung-->Software deinstallieren!

Zitat:

...hatte antivir hat mir plötzlich nen trojaner gezeigt ...

welchen und wo (Pfad, Name) wären halt schon interessant.
Zur Sicherheit lass´ mal escan im abgesicherten Modus nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen. Poste im Anschluss das Ergebnis von Haui45´s find.bat (ist in der Anleitung beschrieben und verlinkt). Achte auf die richtigen Einstellungen wie beschrieben!
bis dann, stupormundi

Oki super ja die adware ist mir bekannt die beseitige ich dann mal.

Also zum Trojaner hier mal die Auszüge der letzten Tage aus dem Anti Vir Report:

27.09.2005,10:37:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
27.09.2005,10:37:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
27.09.2005,10:38:44 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE
[INFO] Die Datei wurde gelöscht!


oh oh ich sehe ja grade erst da steht immer konnte nicht gelöscht werden also hab ich das ding immernoch drauf?!
Hab Temporary Internet files mal leer gemacht allerdings wurde mir dann immernoch angezeigt 26000 dateien und 1Gb groß. Hab dann mal die Temporären Internetdateien über rechtsklick auf internetexplorer gelöscht und das hat anscheinend geklappt. Trotzdem wird mir angezeigt im ordner temporary internet files wären noch 32 ordner und par hundert dateien. Ich versteh das nich wenn ich drauf gehe ist der so gut wie leer

Hm... also wie bekomm ich das ganze da jetzt in den griff? Ich mach auch Online Banking ist das noch sicher?


Und hier noch von gestern da war genau dasselbe

26.09.2005,01:02:47 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KZQVYL6P\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht überschrieben und gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
26.09.2005,01:03:21 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KZQVYL6P\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.



Und vor par tagen hab ich mir noch den hier gefangen:
24.09.2005,12:17:47 [WARNUNG] Enthält Signatur des Wurmes WORM/Alcra.B!
C:\TEMP\SETUP.EXE
[INFO] Die Datei wurde gelöscht!

Aber der sollte ja erledigt sein oder?

Schonmal danke für die Hilfe, ist echt schlimm heutzutage mit der sicherheit

Servus, ThuNd3r!
Lass´ auf jeden Fall mal escan laufen und poste wie beschrieben das Ergebnis!
Was die Datei

Zitat:

C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE

angeht, versuchs mal mit der killbox http://www.bleepingcomputer.com/files/killbox.php mit der Option "delete on reboot" im abgesicherten modus bei abgeschalteter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html zu löschen!
Cu, stupormundi

Also hab jetz mal dieses Virenprogramm wie beschrieben drüberlaufen lassen. Es hat aber nicht alles geklappt wie in der anleitung, ich hab den virus log einfach mal direkt aus dem programm kopiert, mit den andern methoden bin ich nicht klargekommen.

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu/savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu/savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "startsurfing Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxwma.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AXDist.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\MSXML3A.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\amdcpu.exe" refers to invalid object "C:\Programme\AMD\Athlon 64 Processor Driver\amdcpu.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\system32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\Dokumente und Einstellungen\Thunder\Lokale Einstellungen\Temp\hijackthis.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\PCI_FR_40" refers to invalid object "C:\Programme\PC Inspector File Recovery\PCI_FR_40". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\RegCloneDVD2.exe" refers to invalid object "C:\Programme\Elaborate Bytes\CloneDVD2\RegCloneDVD2.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WMPBurn.exe" refers to invalid object "\WMPBurn\WMPBurn.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\Programme\Creative\EAX Unified\yourapp.Exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\games\yugioh\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\KONAMI\Yu-Gi-Oh! Power of Chaos YUGI\". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbl". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "DC++". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mafia Game". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Stellar Phoenix DMR_is1". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{16D2C649-CBA8-44EE-B730-12584667D487}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{3571656A-575D-4CED-809D-5547587121FF}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{896D642C-7125-44F0-AC49-A23ABF82209C}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{C8310658-4019-4934-A7AC-AD1E35EDD8F5}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{F9B915DF-B79C-4747-9BA3-9705A57DC717}". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{4BEFA071-8258-4884-A67B-26AF915214CB}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5C4C8078-24CF-4c71-B05E-8B1D935DB5AC}" refers to invalid object ""C:\Programme\MSN Messenger\msnmsgr.exe"". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{762DAFB9-15BD-4b41-B919-F3D5023D1E78}" refers to invalid object ""C:\Programme\MSN Messenger\msnmsgr.exe"". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A3E84F97-4A68-4e42-9976-DA8DF946B571}" refers to invalid object ""C:\Programme\MSN Messenger\msnmsgr.exe"". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{AB1D8565-40E9-4616-984D-98465687E82C}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B69003B3-C55E-4b48-836C-BC5946FC3B28}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C0BA9CF8-96E0-4C34-B5DE-E92C3FC05ED6}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{DCD6EADC-EE69-47DD-B934-95573296039C}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{DF5E5E34-AE22-483D-94C3-9DD02FFF231E}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{E0B8F398-BB08-4298-87F0-34502693902E}" refers to invalid object ""C:\Programme\Messenger\msmsgs.exe"". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FB7199AB-79BF-11d2-8D94-0000F875C541}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{53CED51D-432B-45B2-A3E0-0CE2C24235D4}" refers to invalid object "C:\Programme\Messenger\msmsgs.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{6B3ED9AF-FE66-45B6-85D3-BA9A3371DD30}" refers to invalid object "C:\DOKUME~1\Thunder\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{E02AD29E-80F5-46C6-B416-9B3EBDDF057E}" refers to invalid object "C:\Programme\Messenger\msmsgs.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{FD721792-A66F-44EA-B660-B5841C584976}" refers to invalid object "C:\DOKUME~1\Thunder\LOKALE~1\Temp\VBE\MSForms.exd". Action Taken: No Action Taken.
Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.
Entry "HKCR\axp_ext\shell\open\command" refers to invalid object "C:\Programme\CDBurnerXP Pro 3\cdbxp.exe /oa %1". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\dxp_ext\shell\open\command" refers to invalid object "C:\Programme\CDBurnerXP Pro 3\cdbxp.exe /od %1". Action Taken: No Action Taken.
Entry "HKCR\F-Strippoker 2\shell\open\command" refers to invalid object "D:\temp\poker\sg.exe "%1"". Action Taken: No Action Taken.
Entry "HKCR\licf\shell\open\command" refers to invalid object ""C:\Programme\eMCrypt\eMCrypt.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\Messenger.MsgrSessionManager" refers to invalid object "{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}". Action Taken: No Action Taken.
Entry "HKCR\Messenger.MsgrSessionManager.1" refers to invalid object "{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}". Action Taken: No Action Taken.
Entry "HKCR\msbackupfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\ntbackup.exe". Action Taken: No Action Taken.
Entry "HKCR\sfdl\shell\open\command" refers to invalid object ""C:\Programme\eMCrypt\eMCrypt.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\Valve.Source\shell\open\command" refers to invalid object ""d:\games\steam\steamapps\web.th@gmx.net\counter-strike source\hl2.exe" "%1"". Action Taken: No Action Taken.
File C:\Programme\BearShare\incoming\(PC Game) Playboy The Mansion - Crack.zip tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken.
File C:\Programme\BearShare\Installer\BSInstall5.1.0.26.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
File C:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
File D:\download\progs\girc436.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
File D:\download\progs\Windows_2003_and_XP_Anti_Product_Activation_Crack_v1.6.2.zip infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken.







Und was diesen hier angeht: C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE

Also ich kann die Datei auf meinem Pc nirgends finden obwohl sie angeblich von Anti vir nicht gelöscht werden konnte, echt komisch

Servus, ThuNd3r!
Tja, für das Posten der Infos aus escan gibt es in der Beschreibung zwei Alternativen: die find.bat, welche nur bei genauer Einhaltung der Beschreibung funktioniert (Sprache, Speicherort von escan) oder eben das auch beschriebene manuelle Suchen der "infected"- und "tagged"-Einträge.
Ein ganzes Logfile wäre schon interessant, weil auch die Basisinfos zu escan wie zB

Zitat:

Tue Sep 27 13:17:36 2005 => ***** Scanning complete. *****
Tue Sep 27 13:17:36 2005 => Total Objects Scanned: ******
Tue Sep 27 13:17:36 2005 => Total Virus(es) Found: *
Tue Sep 27 13:17:36 2005 => Total Disinfected Files: *
Tue Sep 27 13:17:36 2005 => Total Files Renamed: *
Tue Sep 27 13:17:36 2005 => Total Deleted Objects: *
Tue Sep 27 13:17:36 2005 => Total Errors: **
Tue Sep 27 13:17:36 2005 => Time Elapsed: **:**:**
Tue Sep 27 13:17:36 2005 => Virus Database Date: ****/**/**
Tue Sep 27 13:17:36 2005 => Virus Database Count: ******
Tue Sep 27 13:17:36 2005 => Scan Completed.

wichtig für die Aussagekraft des Logfiles sind. Bitte versuche daher noch einmal, alle relevanten Infos aus dem Logfile hier zu posten! Mir selbst ist es am Anfang auch am leichtesten gefallen, das Logfile zu öffnen (idR. mit notepad) und darin wie in einem Wordtext mit der Menüfunktion "suchen" alle "infected"- und "tagged"-Einträge, sowie die "Error"-Einträge eben zu suchen, diese zu markieren und mit "kopieren"-->"einfügen" im thread zu posten. Wichtig sind wie gesagt auch die Rahmeninfos am Ende des Logfiles.
Lass´mal Spybot S&D http://www.safer-networking.org/de/download/index.html und Adaware http://www.lavasoft.de/ nach Update im abgesicherten Modus laufen und entferne alles Vorgeschlagene!
Diesen Eintrag hier:

Zitat:

C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE

probier mal (falls Du das nicht schon versucht hast) so zu finden:

Zitat:

Im Explorer auf Menüpunkt "Extras" --> Ordneroptionen --> Karteireiter "Ansicht" und folgende Einträge beachten: "Geschützte Systemdateien ausblenden (empfohlen)" Häkchen entfernen und "Inhalte von Systemordnern anzeigen" anhaken!

Die ganzen "Invalid" Verweise kannst Du mit RegSeeker http://www.winload.de/download/26877...1.35.1203.html mit der Option "Clear Registry" reduzieren/wegbekommen.
Alles Gute, stupormundi

Gut also habe es jetzt wie beschrieben gemacht allerdings auf die manuelle art mit der find.bat komm ich nicht klar... hier alle infected und tagged files + allgemeine infos vom scan:




Thu Sep 29 08:48:09 2005 => Options Selected by User:
Thu Sep 29 08:48:09 2005 => Memory Check: Enabled
Thu Sep 29 08:48:09 2005 => Registry Check: Enabled
Thu Sep 29 08:48:09 2005 => StartUp Folder Check: Disabled
Thu Sep 29 08:48:09 2005 => System Folder Check: Disabled
Thu Sep 29 08:48:09 2005 => System Area Check: Disabled
Thu Sep 29 08:48:09 2005 => Services Check: Enabled
Thu Sep 29 08:48:09 2005 => Drive Check: Disabled
Thu Sep 29 08:48:09 2005 => All Drive Check :Enabled
Thu Sep 29 08:48:09 2005 => Folder Check: Disabled


Thu Sep 29 09:30:41 2005 => ***** Scanning complete. *****

Thu Sep 29 09:30:41 2005 => Total Objects Scanned: 57586
Thu Sep 29 09:30:41 2005 => Total Virus(es) Found: 20
Thu Sep 29 09:30:41 2005 => Total Disinfected Files: 0
Thu Sep 29 09:30:41 2005 => Total Files Renamed: 0
Thu Sep 29 09:30:41 2005 => Total Deleted Objects: 0
Thu Sep 29 09:30:41 2005 => Total Errors: 61
Thu Sep 29 09:30:41 2005 => Time Elapsed: 00:42:15
Thu Sep 29 09:30:41 2005 => Virus Database Date: 2005/09/27
Thu Sep 29 09:30:41 2005 => Virus Database Count: 151405

Thu Sep 29 09:30:41 2005 => Scan Completed.




Thu Sep 29 08:48:58 2005 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Thu Sep 29 08:48:58 2005 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Thu Sep 29 08:48:59 2005 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Thu Sep 29 08:48:59 2005 => System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Thu Sep 29 08:48:59 2005 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.

2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\bearshare.lnk
Thu Sep 29 08:49:01 2005 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken.

2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\bearshare.lnk
Thu Sep 29 08:49:01 2005 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken.

2005 => Offending file found: C:\Dokumente und Einstellungen\Thunder\Eigene Dateien\stronghold 2\config.dat
Thu Sep 29 08:49:01 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.


Thu Sep 29 09:25:07 2005 => File D:\download\progs\Windows_2003_and_XP_Anti_Product_Activation_Crack_v1.6.2.zip infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken.<-- huch das hab ich schon ewig aufm pc is der aktiv?


Thu Sep 29 08:55:41 2005 => File C:\Programme\BearShare\incoming\(PC Game) Playboy The Mansion - Crack.zip tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken.
Thu Sep 29 09:04:35 2005 => File C:\Programme\BearShare\Installer\BSInstall5.1.0.26.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Thu Sep 29 09:05:01 2005 => File C:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Thu Sep 29 09:24:44 2005 => File D:\download\progs\girc436.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.