so...ich habe also mit Killbox die Dateien, die Escan anzeigte, beseitigt.
Dann habe ich EScan aktualisiert und im abgesicherten erneut suchen lassen, nachdem ich das alte Logfile von EScan gelöscht habe.

Hier ist was bei raus kam. Was sollte ich nun tun? Hilfe...der Schrecken muß ein Ende haben
ESCAN:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 18:12:10 2005 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Mon Oct 24 18:12:13 2005 => System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: No Action Taken.
Mon Oct 24 18:12:21 2005 => System found infected with rapidblaster Spyware/Adware (install.html)! Action taken: No Action Taken.
Mon Oct 24 18:12:24 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Mon Oct 24 18:12:26 2005 => System found infected with rapidblaster Spyware/Adware (install.html)! Action taken: No Action Taken.
Mon Oct 24 20:52:07 2005 => Scanning Folder: D:\Programme\AntiVir_personal_funktnicht\INFECTED\*.*
Mon Oct 24 20:52:13 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 24 21:03:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKCU\Software\kazaa !!!
Mon Oct 24 18:12:13 2005 => Offending file found: C:\WINDOWS\alchem.ini
Mon Oct 24 18:12:15 2005 => Offending Folder found: C:\Programme\powerstrip
Mon Oct 24 18:12:16 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Anwendungsdaten\macromedia\dreamweaver mx 2004\configuration\toolbars\mm
Mon Oct 24 18:12:18 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\ea games\die sims 2\music\cas
Mon Oct 24 18:12:21 2005 => Offending file found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\virginias\guestbook\install.html
Mon Oct 24 18:12:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Startmenü\programme\limewire
Mon Oct 24 18:12:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Startmenü\Programme\limewire
Mon Oct 24 18:12:24 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Mon Oct 24 18:12:26 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\ea games\die sims 2\music\cas
Mon Oct 24 18:12:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\virginias\guestbook\install.html...WAS BEDEUTET DAS HIER EIGENTLICH?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 21:03:34 2005 => Total Virus(es) Found: 15
Mon Oct 24 21:03:34 2005 => Total Errors: 410
Mon Oct 24 21:03:34 2005 => Time Elapsed: 02:51:32
Mon Oct 24 21:03:34 2005 => Total Objects Scanned: 156013
Mon Oct 24 21:03:34 2005 => Virus Database Date: 2005/10/24
Mon Oct 24 21:12:26 2005 => Virus Database Date: 2005/10/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Und nochmal HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:18:31, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://w*w.bitdefender.com/scan8/oscan8.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hey

#Versuch mal unter Start/Ausführen,ob folgende Bfehle funktionieren cmd und regedit
#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:Falls vorhanden
C:\WINDOWS\system32\winlog.exe
C:\Programme\winsupdater

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Code: Alles auswählenAufklappen

ATTFilter

@ECHO OFF
attrib -s -r -h %windir%\system32\bszip.dll 
attrib -s -r -h %windir%\system32\CMD.COM 
attrib -s -r -h %windir%\system32\netstat.com 
attrib -s -r -h %windir%\system32\ping.com 
attrib -s -r -h %windir%\system32\regedit.com 
attrib -s -r -h %windir%\system32\tasklist.com 
attrib -s -r -h %windir%\system32\taskkill.com 
attrib -s -r -h %windir%\system32\tracert.com 
del %windir%\system32\bszip.dll 
del %windir%\system32\CMD.COM 
del %windir%\system32\netstat.com 
del %windir%\system32\ping.com 
del %windir%\system32\regedit.com 
del %windir%\system32\tasklist.com 
del %windir%\system32\taskkill.com 
del %windir%\system32\tracert.com
pause
         

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#PC neustarten
#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#PC neustarten
#Neue HijackThis Log & den Report des Ewido Scans posten

Gruss
Expert

ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?

Zitat:

Zitat von shad

ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?

Auf keinen falls die Datei C/Windows/System32/Winlogon loeschen (Legitime Datei)

Gruss
Expert

hey

Zitat:

#Versuch mal unter Start/Ausführen,ob folgende Bfehle funktionieren cmd und regedit

Beide funktionieren?

Gruss
Expert

ZWISCHENSTAND:

-cmd und regedit funktionieren.
-winsupdater wurde gelöscht
-die selbst erstellte fix.bat hat nicht gefunden und gelöscht

Im Voraus auch Dank an Experte

hey

hast du noch Probleme?

Gruss
expert

Zitat:

Zitat von Expert

hey

hast du noch Probleme?

Vll. könntest du mir das sagen, nachdem ich die Logfile von HJT und Ewido gepostet habe??? Oder meinst, dass jetzt alles gut aussieht?

@shad

Am besten posten

Gruss
Expert

Hier die Logfiles / Reports...und wie siehts aus!?!


Logfile of HijackThis v1.99.1
Scan saved at 14:32:55, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Downloads_2\AntiViren\Ewido\security suite\ewidoctrl.exe
D:\Downloads_2\AntiViren\Ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - D:\Downloads_2\AntiViren\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Downloads_2\AntiViren\Ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:00:15, 25.10.2005
+ Report-Checksumme: CD13F736

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{00AF6BF7-1C8A-2F68-11A6-3DD4FD5A3DED} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{38D4E2FB-BB30-60CB-0D77-12064B5A0EE4} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{81A4261C-171F-77DC-FD21-B540588D285C} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{A45C982E-5E8A-94C9-33A0-1F6E1789AC7E} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{BC7CDD90-0B77-5C0F-AD1F-789795AD1AC3} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{C9708EE9-2213-493f-B7B1-C7DE7FADB688}\\AppID -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{C9708EE9-2213-493f-B7B1-C7DE7FADB688}\TypeLib\\ -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{81481291-AFAF-11D1-8F8A-E8CB12000000}\TypeLib\\ -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{B65AD801-ABAF-11D0-BB8B-00A0C90F2744}\TypeLib\\ -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Shad\Cookies\shad@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\fsdginst.logihum -> TrojanDownloader.WinShow.ak : Gesäubert mit Backup
C:\WINDOWS\FSSYSUPD.LOG:uwocw -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\fwinst.log:mxghy -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\iccsigs.dat:stfxl -> TrojanDownloader.WinShow.ak : Gesäubert mit Backup
C:\WINDOWS\Rtcw.INI:cxqqq -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\Sof2.INI:jvxus -> TrojanDownloader.Agent.bq : Gesäubert mit Backup


::Report Ende

noch eine kl. Frage:
ist es sinnvoll AntiVirGuard UND Ewido parallel im Hintergrund laufen zu lassen?

Habe schon Antwort erhalten. Ist alles wieder gut. Vielen Dank nochmal an das Forum und alle mich so hilfsbereit unterstützt haben!!!

hey

Alles soll ok sein!
EWIDO kannst du wieder deinstallieren(Test Version)

Gruss
Expert