gemacht...soll ich jetzt noch mal n online scan oder so laufen lassen...oder ists gut so?

Logfile of HijackThis v1.99.1
Scan saved at 23:03:13, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Ordnung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dobermania.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Sieht schon echt gut aus.
Jetzt nur mal zur Kontrolle:
Lade dir die beiden folgenden Programme runter:
AdAware SE und
Spybot S&D 1.4 runter und update beide!!
Lass sie im abgesicherten Modus laufen und alles löschen, was sie finden.
Poste dann, ob und ggf. was gefunden wurde. Dann sollte aber auch gut sein.
Und noch viel Spaß mit dem (den) Hund(en)...
cacatoa

danke...der kleine schwarze muss gleich nochmal gassi...;-)

ich hab adaware und spybot drauf..werd das jetzt laufen lassen...

antivir sagt :


C:\WINDOWS\SYSTEM32\RDSNDIN.EXE

ist ein trojaner

und nu?

27.10.2005,09:30:37 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{CE03096C-4200-467B-90CD-CAFB40AE07B5}\RP1\A0000057.EXE
27.10.2005,09:46:59 [WARNUNG] Ist das Trojanische Pferd TR/Click.526!
C:\WINDOWS\SYSTEM32\RDSNDIN.EXE

und dieses "your computer might be a risk...." unten rechts geht immer noch auf...

Hi, Ina:
1. C:\WINDOWS\SYSTEM32\RDSNDIN.EXE diese Datei im abgesicherten Modus bei deaktivierter Systemwiederherstellung löschen.
im Logfile war diese Datei noch nicht.
2. C:\SYSTEM VOLUME INFORMATION\_RESTORE{CE03096C-4200-467B-90CD-CAFB40AE07B5}\RP1\A0000057.EXE
Das ist in der Systemwiederherstellung. Wenn du, wie empfohlen, die Systemwiederherstellung ausgeschaltet hattest und dann wieder neu bootest und die Systemwiederherstellung wieder anschaltest, dann sind solche Dinge weg. D.h., Du hast Dir das ganze später eingefangen. Also nochmal Systemwiederherstellung aus, Rechner aus, Rechner an, Systemwiederherstellung wieder an.
3. Dann bitte neu berichten.
4. Du kannst aber mal Ewido runterladen (Testversion) und laufen lassen. Schau mal, was der noch so findet. Bei mir läuft die Vollversion ständig.
cacatoa

hab ich mich erschrocken bei dem alarm von ewido..fall gleich vom stuhl ;-)

bericht kommt gleich

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:20:27, 27.10.2005
+ Report-Checksumme: FE1F104B

+ Scanergebnis:

HKU\S-1-5-21-682003330-1078145449-725345543-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{BF69DF00-2734-477F-8257-27CD04F88779} -> TrojanDownloader.Wareout : Gesäubert mit Backup
HKU\S-1-5-21-682003330-1078145449-725345543-500\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{08BEC6AA-49FC-4379-3587-4B21E286C19E} -> Spyware.SBSoft : Gesäubert mit Backup
HKU\S-1-5-21-682003330-1078145449-725345543-500\Software\WareOut -> TrojanDownloader.Wareout : Gesäubert mit Backup
HKU\S-1-5-21-682003330-1078145449-725345543-500\Software\WareOut\Options -> TrojanDownloader.Wareout : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@e-2dj6wfkouhazsgp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@e-2dj6wjloagc5oco.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@e-2dj6wjlyahd5cho.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\Nail.exe.q_2CFCE00_q -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\AuroraHandler.dll_tobedeleted -> Adware.BetterInternet : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5U_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWFX5U_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Gesäubert mit Backup


::Report Ende

So, bitte jetzt den Quarantäne-Ordner von Ewido vollständig und endgültig leeren.
Auch Antivir dürfte jetzt nichts mehr anzeigen.
Ist dein Prob: your computer might be a risk.... jetzt weg?
cacatoa

hey super...im moment scheint ruhe eingekehrt zu sein....vielen vielen lieben dank!!!!!

Gern geschehen...
cacatoa