Internetbrowser startet automatisch

Stefan Wille · 09.11.2005, 11:01

Hallo Zusammen,
ich hab das Problem, dass mir seit kurzem der Browser(Mozilla) ständig - nach einer Minute - aufgemacht wird. Egal ob ein Fenster schon geöffnet ist oder nicht. es startet trotzdem. Nach Recherchen im inet konnte ich diese Seite ausfindig machen. Ich hab mir einen Log gezogen und möchte euch bitte mir eventuelle Probleme aufzuzeigen. Ich konnte soweit nichts auffälliges finden.

Hier mein Log:

Code:

ATTFilter

Logfile of HijackThis v1.99.1

Logfile of HijackThis v1.99.1
Scan saved at 10:50:36, on 09.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\xampp\mysql\bin\winmysqladmin.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\plugins\GetFlash.exe
C:\Programme\Kazaa Lite\clean.kmd
H:\Anwendungen\Verschiedenes\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} - 
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} - 
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - 
O16 - DPF: {D81CA86B-EF63-42AF-BEE3-4502D9A03C2D} - 
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\j0l40a3qed.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: MySql - Unknown owner - C:/Programme/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

Danke für eure Hilfe,

Stefan

Wildone · 09.11.2005, 11:13

Hallo,
mach mal folgendes danach gehst du noch mit Ewido drüber und postest dann ein neues HijackThis Logfile.

Grüße Wildone

Stefan Wille · 09.11.2005, 14:30

Hallo,
ich hab mal die zwei Programme ausgeführt. Dauerte etwas fand auch das eine oder andere.
Jetzt nach dem entfernen der Dateien und Einträge der Registry hab ich nochmals diesen Scan laufen lassen:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:29:44, on 09.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\xampp\apache\bin\Apache.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\xampp\mysql\bin\winmysqladmin.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\plugins\GetFlash.exe
C:\Programme\Kazaa Lite\clean.kmd
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\twain_32\escndv\escndv.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\Anwendungen\Verschiedenes\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} - 
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} - 
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - 
O16 - DPF: {D81CA86B-EF63-42AF-BEE3-4502D9A03C2D} - 
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\j0l40a3qed.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: MySql - Unknown owner - C:/Programme/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

Danke für die Hilfe,

stefan

Wildone · 09.11.2005, 15:28

Hallo,
hmm, das scheint nichts gebracht zu haben, seltsam der Eintrag:
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\j0l40a3qed.dll
ist immernoch da.
Poste mal das Spysweeper Log, (und kürze es um Cookiemeldungen und, falls vorhanden, um die mehrzahl der blocked Meldungen (bis auf eine).
Hast du auch Spysweeper genau so eingesetzt wie beschrieben?

Grüße Wildone

Stefan Wille · 09.11.2005, 18:52

Hallo,
danke für deine Hilfe soweit.
Hier ist der Log von Spy Sweeper.

Code:

ATTFilter

********
17:33: |···  Beginn der Sitzung, Mittwoch, 9. November 2005  ···|
17:33: Spy Sweeper gestartet
17:33: Suchvorgang unter Verwendung der Definitionsversion eingeleitet. 569
17:33: Suchvorgang im Arbeitspeicher wird gestartet
17:34:   Warnung: Failed to check file "C:\WINDOWS\system32\m6lslg3716.dll". Cannot open file "C:\WINDOWS\system32\m6lslg3716.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:37:   Warnung: Failed to check file "C:\WINDOWS\system32\cbrtmgr.dll". Cannot open file "C:\WINDOWS\system32\cbrtmgr.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:38:   Warnung: Failed to check file "C:\WINDOWS\system32\cbrtmgr.dll". Cannot open file "C:\WINDOWS\system32\cbrtmgr.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:41: Suchvorgang im Arbeitspeicher abgeschlossen, Dauer: 00:07:53
17:41: Suchvorgang in Registrierung wird gestartet
17:41:   Gefunden System Monitor: icusurf
17:41:   HKLM\software\microsoft\code store database\distribution units\{b91aedbe-93df-4017-8bb3-f1c300c0ec51}\  (4 Teilspuren) (ID = 127892)
17:41:   Gefunden Adware: winad
17:41:   HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\winadx.dll (ID = 147226)
17:41:   HKLM\software\winad client\  (1 Teilspuren) (ID = 147237)
17:41:   Gefunden Adware: cws_secure32.html hijack
17:41:   HKU\S-1-5-21-1417001333-329068152-725345543-500\software\microsoft\internet explorer\main\ || default_page_url (ID = 946026)
17:41: Suchvorgang in Registrierung abgeschlossen, Dauer:00:00:34
17:41: Suchvorgang in Cookies wird gestartet
17:41: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:00
17:41: Suchvorgang in Dateien wird gestartet
17:43:   Gefunden Adware: spysheriff
17:43:   secure32.html (ID = 184319)
17:43:   Gefunden Trojan Horse: trojan-backdoor-us15info
17:43:   kl[1].txt (ID = 184421)
17:43:   kl.exe (ID = 184421)
17:43:   Gefunden Adware: isearch desktop search
17:43:   command.exe (ID = 144946)
17:44:   spysheriff.lnk (ID = 143527)
17:45:   Warnung: Failed to read file "c:\windows\system32\m6lslg3716.dll". System Error.  Code: 32.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:45:   null[1].txt (ID = 183857)
17:45:   secure32.html (ID = 184319)
17:46:   Warnung: Failed to open file "c:\windows\winsxs\\mfc42u.dll". Das System kann die angegebene Datei nicht finden
17:46:   Warnung: Failed to open file "c:\windows\winsxs\\mfc42.dll". Das System kann die angegebene Datei nicht finden
17:46:   Warnung: Failed to open file "c:\windows\winsxs\\msvcp60.dll". Das System kann die angegebene Datei nicht finden
17:46:   Gefunden Adware: coolwebsearch (cws)
17:46:   paytime[1].txt (ID = 183553)
17:46:   paytime.exe (ID = 183553)
17:46:   desktop.html (ID = 178574)
********
17:32: Warnung: Failed to check file "C:\WINDOWS\system32\m6lslg3716.dll". Cannot open file "C:\WINDOWS\system32\m6lslg3716.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:32: Warnung: Failed to check file "C:\WINDOWS\system32\cbrtmgr.dll". Cannot open file "C:\WINDOWS\system32\cbrtmgr.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:32: Warnung: Failed to check file "C:\WINDOWS\system32\cbrtmgr.dll". Cannot open file "C:\WINDOWS\system32\cbrtmgr.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
17:33: |···  Ende der Sitzung, Mittwoch, 9. November 2005  ···|

Gruß, Stefan

Wildone · 09.11.2005, 18:58

Hallo,
untersuche dein System mal mit Escan (Anleitung sorgfältig lesen!) im abgesicherten Modus, und poste das Logfile wie in der Anleitung beschrieben (find.bat).

Grüße Wildone

Stefan Wille · 10.11.2005, 11:14

Hallo,
ich habe jetzt den eScan durchgeführt. So wie beschrieben.
Passiert ist nicht viel. Es wird der Browser immer noch automatisch gestartet ober nun schon offen ist oder nicht spielt keine Rolle.
Mir ist aufgefallen, dass wenn ich den Scan egal welchen öfters laufen lasse, dass immer die gleichen "Dinge" gefunden werden. Ist das richtig?

Hier der Log:

Code:

ATTFilter

Wed Nov 09 22:59:34 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Wed Nov 09 22:59:34 2005 => Loading Spyware Signatures from new External Database (Size: 144468).
 
Wed Nov 09 23:00:01 2005 => Offending Folder found: C:\PROGRA~1\mediaring talk
Wed Nov 09 23:00:01 2005 => Object "aureate/radiate Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Nov 09 23:00:01 2005 => Offending value found in HKCU\Software\gnu !!!
Wed Nov 09 23:00:01 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Nov 09 23:00:11 2005 => Offending value found in HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\IST Service !!!
Wed Nov 09 23:00:11 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Nov 09 23:00:12 2005 => Offending value found in HKCU\Software\kazaa !!!
Wed Nov 09 23:00:12 2005 => Offending value found in HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\kazaa !!!
Wed Nov 09 23:00:12 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Nov 09 23:00:55 2005 => Offending file found: C:\WINDOWS\system32\uninstall.exe
Wed Nov 09 23:00:55 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\system32\uninstall.exe)! Action taken: No Action Taken.
 
Wed Nov 09 23:01:03 2005 => Offending file found: C:\WINDOWS\DOWNLO~1
Wed Nov 09 23:01:03 2005 => System found infected with FastFind Spyware/Adware (setup.dll)! Action taken: No Action Taken.
 
Wed Nov 09 23:01:11 2005 => Offending file found: C:\WINDOWS\system32\file_id.diz
Wed Nov 09 23:01:11 2005 => System found infected with Midnight Oil Spyware/Adware (file_id.diz)! Action taken: No Action Taken.

Danke für die Hilfe,
Stefan

stupormundi · 10.11.2005, 11:24

Servus!

Zitat:

Mir ist aufgefallen, dass wenn ich den Scan egal welchen öfters laufen lasse, dass immer die gleichen "Dinge" gefunden werden. Ist das richtig?

Das ist für mich ein klitzekleiner Hinweis, dass Du die Gebrauchsanweisung nicht ganz gelesen hat! Diese escan version findet die Viren nur, entfernen würde es nur die Kaufversion

Zitat:

Action taken: No Action Taken

Daher ist es nicht ganz so verwunderlich, dass bei mehrmaligem Scan ohne weitere Maßnahmen immer die gleichen Ergebnisse kommen!
Zu Deinem Logfile

Zitat:

poste das Logfile wie in der Anleitung beschrieben (find.bat).

Auch nicht ganz gelesen?

Zitat:

[5] Rechtsklick auf die Find.rar http://www.cidres-security.de/picture/Find.rar-> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor du es postest.
[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).
Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Ich würde außerdem nach offending suchen!
Also versuch bitte alle Infos zu posten, auch den Teil mit den allgemeinen Info (Scanned Files, elapsed time, etc...)
stupormundi

Internetbrowser startet automatisch

Log-Analyse und Auswertung: Internetbrowser startet automatisch