Hallo,
seit etwa einer Woche kämpfe ich mit diversen ätzenden "Programmen", die ich mir bei meiner ersten und letzten Verwendung von IE gefangen habe. Spybot meldet jedes mal ich hätte Surfaccuracy und entfernt es dann, allerdings ist nach einem Neustart alles wieder beim alten - IE popups tauchen auf oder IE meldet obwohl von mir nicht gestartet Fehlermeldungen.
Norton Antivirus meldet genau wie adaware von lavasoft übrigens nichts.

Ich hoffe, ihr könnt mir weiterhelfen:
Hier mein HijackThis logfile (nach entfernen von surfaccuracy mit spybot):

C:\WINNT\System32\NALWIN32.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\LION\lion.exe
C:\WINNT\System32\dpmw32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PhilFak.Net\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LION] C:\Programme\LION\lion.exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2461B0-B997-442C-87E3-6B9AAC293DA0}: NameServer = 134.99.24.129,134.99.24.133
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\cGV0ZXJzZW4\command.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\System32\cusrvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: FireDaemon Service: Ms32dll (Ms32dll) - Unknown owner - c:\winnt\system32\vmn32\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: MSVC5 (MSVC5) - Unknown owner - c:\winnt\system32\vmn32\FireDaemon.EXE (file missing)
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Microsoft Protocol Extensions (raidSS) - Unknown owner - C:\WINNT\system32\raidss.exe
O23 - Service: raidnserver (raidsu) - Unknown owner - C:\WINNT\system32\os2\raidcommon\com1\dmp\raid-sms.exe (file missing)
O23 - Service: FireDaemon Service: SVHST (SVHST) - Unknown owner - c:\winnt\system32\vmn32\FireDaemon.EXE (file missing)
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINNT\System32\wm.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

Danke!!!

Noch zur Ergänzung,
ich habe gerade mal mein System mit xoftspy gescannt, dabei werden folgende Dinge gefunden:

ISTBar
Default Windows Setting (...windows\currentversion\thememangager\themeactive\0:@:0)
Claria/Gain/Gator/Dashbar
ZestyFind
Bargain Buddy Bundle

Wie werde ich die los?

Zusätzlich habe ich nun schon zweimal bemerkt, dass an meiner Tastatur der NUM-Schalter umgelegt wurde, ohne dass ich das bewusst getan habe, kann das auch der Effekt eines dieser Programme sein?

Vielen Dank, niewiederIE

@niewiederIE
Mache bitte Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
Wenn du HJT-Post noch Mal posten möchtest, gebe bitte auch die Systeminformationen an.

Hallo,
erstmal solltest du das gesammte Log posten einschließlich dem Kopf.
beende mal folgende Prozesse im Taskmanager:
C:\WINNT\System32\NALWIN32.EXE
C:\WINNT\system32\raidss.exe
überprüfe die zugehörigen Dateien(Dateien richtig suchen) hier und poste das Ergebnis.

[EDIT]
Mach das was Rene-gad vorschlägt, und vergiß mein Posting

[/EDIT]
Grüße Wildone

Hallo Wildone,

danke für die schnelle Reaktion.
Schade, deine zweite Antwort habe ich zu spät gelesen, aber bei der Überprüfung ist auch nichts aufgefallen.
Ich werde jetzt rene-gads Anweisungen befolgen.

Danke, niewiederIE

Hallo Rene-gad,

bevor ich mich jetzt gleich in den abgesicherten Modus begeben werde, noch zwei Fragen zu deinen Anweisungen:
1.) Wie finde ich die Infected-Ordner der Antivirenprogramme, ich habe jetzt mal alle in Quarantäne befindlichen Dateien gelöscht, muss ich noch mehr tun?
2.) Was ist RTFM? Die Versionsinformation?

Danke, niewiederIE

PS: gibt es eigentlich eine Möglichkeit, wie man den IE vollständig abschalten bzw. deinstallieren kann? Ich habe ihn bereits vor Jahren aus den optionalen Windowskomponenten entfernt, aber irgendwie ist der Explorer ja auch immer ein abgespeckter IE, oder?

Hallo,

Zitat:

2.) Was ist RTFM? Die Versionsinformation?

klick damit sollte 1.) auch beantwortet sein.

Zitat:

PS: gibt es eigentlich eine Möglichkeit, wie man den IE vollständig abschalten bzw. deinstallieren kann? Ich habe ihn bereits vor Jahren aus den optionalen Windowskomponenten entfernt, aber irgendwie ist der Explorer ja auch immer ein abgespeckter IE, oder?

Eine ganz schlechte Idee, wie willst du dein Betriebssystem ohne IE updaten. Und warum willst du ihn zwanghaft entfernen, du kannst ihn doch einfach nicht verwenden.


Grüße Wildone

Hallo rene-gad!

Erstmal danke für die Erklärung von RTFM, ich hätte selber kurz suchen sollen. Der Scan mit eScan hat 17 Stunden gedauert und war offensichtlich mehr als notwendig, leider. Hier also mein Scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:45:01 2005 => File C:\WINNT\system32\raidss.exe infected by "Trojan.Win32.Stealther" Virus! Action Taken: No Action Taken.
Tue Nov 15 18:45:10 2005 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Tue Nov 15 18:45:10 2005 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Tue Nov 15 18:45:11 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.
Tue Nov 15 18:45:15 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Nov 15 18:45:17 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 18:45:17 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 18:45:18 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Tue Nov 15 18:47:09 2005 => Total Disinfected Files: 0
Tue Nov 15 19:20:44 2005 => File C:\WINNT\system32\raidss.exe infected by "Trojan.Win32.Stealther" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:20:51 2005 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Tue Nov 15 19:20:52 2005 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Tue Nov 15 19:20:53 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.
Tue Nov 15 19:20:56 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Tue Nov 15 19:20:58 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 19:20:58 2005 => System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: No Action Taken.
Tue Nov 15 19:20:59 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Tue Nov 15 19:22:37 2005 => File C:\WINNT\System32\mmset500.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:24:13 2005 => File C:\WINNT\System32\work.exe infected by "Backdoor.Win32.HacDef.q" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:34:45 2005 => File C:\drsmartload.exe infected by "Trojan-Downloader.Win32.VB.ri" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:36:40 2005 => File C:\mte3ndi6odoxng.exe infected by "Trojan-Downloader.Win32.Small.buy" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:49:38 2005 => File C:\Programme\Intiktex\ace.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:52:10 2005 => File C:\Programme\Intiktex\msrgxpr5.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:52:10 2005 => File C:\Programme\Intiktex\WinGenerics.dll infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 19:52:10 2005 => File C:\Programme\Intiktex\wstlehlp.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:23:34 2005 => File C:\Programme\Shockwave.com\Zuma\run.exe infected by "Trojan-Downloader.Win32.Adload.j" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:28:32 2005 => File C:\regular_plugin.exe infected by "Trojan-Downloader.Win32.INService.ja" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:56:16 2005 => File C:\WINNT\system32\mmset500.exe infected by "Trojan.Win32.Crypt.t" Virus! Action Taken: No Action Taken.
Tue Nov 15 20:59:21 2005 => File C:\WINNT\system32\work.exe infected by "Backdoor.Win32.HacDef.q" Virus! Action Taken: No Action Taken.
Tue Nov 15 21:55:33 2005 => File D:\aktuelles backup\backup_19_07_02.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Tue Nov 15 23:56:04 2005 => File D:\aktuelles backup\Mail.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 01:01:50 2005 => File D:\Anwendungsdateien\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\ebay infected by "Trojan-Spy.HTML.Bayfraud.hn" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:03:29 2005 => File D:\Anwendungsdateien\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:06:11 2005 => File D:\Anwendungsdateien\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\Trash infected by "Trojan-Spy.HTML.Bankfraud.jf" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:15:46 2005 => File D:\backup_19_07_02.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 02:23:34 2005 => File D:\cd_brennen.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:11:46 2005 => File D:\programme\Netscape.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:19:02 2005 => File D:\temp\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Müll infected by "Trojan-Proxy.Win32.Webber.10.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:21:55 2005 => File D:\temp\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 04:59:33 2005 => File D:\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\ebay infected by "Trojan-Spy.HTML.Bayfraud.hn" Virus! Action Taken: No Action Taken.
Wed Nov 16 06:00:25 2005 => File D:\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 06:03:08 2005 => File D:\Thunderbird\Profiles\w60btiqo.default\Mail\mail.rz.uni-***.de\Trash infected by "Trojan-Spy.HTML.Bankfraud.jf" Virus! Action Taken: No Action Taken.
Wed Nov 16 06:08:38 2005 => File D:\***\Mail\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 10:34:12 2005 => File X:\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 10:49:20 2005 => File X:\mozilla.rar infected by "Trojan-Proxy.Win32.Webber.10.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:05:11 2005 => File Y:\Mozilla.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:15:08 2005 => File Y:\Profiles\Mail.rar infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:15:23 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\ebay infected by "Trojan-Spy.HTML.Bayfraud.g" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:26:25 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Müll infected by "Trojan-Proxy.Win32.Webber.10.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:37:05 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\INBOX.sbd\Viren infected by "Email-Worm.Win32.Magistr.a" Virus! Action Taken: No Action Taken.
Wed Nov 16 11:39:44 2005 => File Y:\Profiles\***\l45zz5am.slt\Mail\mail.rz.uni-***.de\Trash infected by "Email-Worm.Win32.NetSky.c" Virus! Action Taken: No Action Taken.
Wed Nov 16 13:16:42 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:44:54 2005 => File C:\WINNT\cGV0ZXJzZW4\command.exe tagged as "not-a-virus:AdWare.Win32.CommAd.a". Action Taken: No Action Taken.
Tue Nov 15 18:45:40 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Tue Nov 15 19:20:38 2005 => File C:\WINNT\cGV0ZXJzZW4\command.exe tagged as "not-a-virus:AdWare.Win32.CommAd.a". Action Taken: No Action Taken.
Tue Nov 15 19:21:19 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Tue Nov 15 19:23:17 2005 => File C:\WINNT\System32\pnc.exe tagged as not-a-virus:RemoteAdmin.Win32.NetCat. No Action Taken.
Tue Nov 15 19:23:19 2005 => File C:\WINNT\System32\psexec.exe tagged as not-a-virus:RiskTool.Win32.PsExec.13. No Action Taken.
Tue Nov 15 19:23:58 2005 => File C:\WINNT\System32\vcmd.exe tagged as not-a-virus:RemoteAdmin.Win32.SrvCmd. No Action Taken.
Tue Nov 15 19:24:04 2005 => File C:\WINNT\System32\winhelper.exe tagged as not-a-virus:RiskTool.Win32.HideWindows. No Action Taken.
Tue Nov 15 19:34:48 2005 => Scanning File C:\fsa\fsa\Examples\GerdemannVannoord99\tagged_examples
Tue Nov 15 19:36:06 2005 => File C:\installer.exe tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Tue Nov 15 20:34:29 2005 => File C:\WINNT\cGV0ZXJzZW4\asappsrv.dll tagged as "not-a-virus:AdWare.Win32.CommAd.a". Action Taken: No Action Taken.
Tue Nov 15 20:40:24 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Tue Nov 15 20:46:05 2005 => File C:\WINNT\system32\.helpfiles\sp12.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.25.l. No Action Taken.
Tue Nov 15 20:57:39 2005 => File C:\WINNT\system32\pnc.exe tagged as not-a-virus:RemoteAdmin.Win32.NetCat. No Action Taken.
Tue Nov 15 20:57:41 2005 => File C:\WINNT\system32\psexec.exe tagged as not-a-virus:RiskTool.Win32.PsExec.13. No Action Taken.
Tue Nov 15 20:58:53 2005 => File C:\WINNT\system32\vcmd.exe tagged as not-a-virus:RemoteAdmin.Win32.SrvCmd. No Action Taken.
Tue Nov 15 20:59:12 2005 => File C:\WINNT\system32\winhelper.exe tagged as not-a-virus:RiskTool.Win32.HideWindows. No Action Taken.
Tue Nov 15 21:57:23 2005 => File D:\aktuelles backup\backup_c\backup_c.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 22:22:40 2005 => File D:\aktuelles backup\backup_cdrom\install.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 22:57:01 2005 => File D:\aktuelles backup\backup_d_11_9_01.rar tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
Tue Nov 15 23:23:23 2005 => File D:\aktuelles backup\d_25_4_01.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 23:39:27 2005 => File D:\aktuelles backup\festplatte_D.rar tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Tue Nov 15 23:42:53 2005 => File D:\aktuelles backup\install.rar tagged as "not-a-virus:AdWare.Win32.Aureate". Action Taken: No Action Taken.
Wed Nov 16 02:44:46 2005 => File D:\install\install2.rar tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
Wed Nov 16 02:54:47 2005 => File D:\install\InternetTools\Up_Downloadtools\CuteFtp\cute4032.exe tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
Wed Nov 16 02:54:48 2005 => File D:\install\InternetTools\Up_Downloadtools\Getright\getrt42b.exe tagged as "not-a-virus:AdWare.Win32.Aureate.a". Action Taken: No Action Taken.
Wed Nov 16 03:24:49 2005 => File D:\install\shareware\GetRight\getrt400.exe tagged as "not-a-virus:AdWare.Win32.Aureate". Action Taken: No Action Taken.
Wed Nov 16 03:24:50 2005 => File D:\install\shareware\GetRight\getrt411.exe tagged as "not-a-virus:AdWare.Win32.Aureate.a". Action Taken: No Action Taken.
Wed Nov 16 03:41:55 2005 => File D:\install\Wörterbücher und anderes\babylon\babylon30.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Wed Nov 16 03:41:57 2005 => File D:\install\Wörterbücher und anderes\babylon\babylon31.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.
Wed Nov 16 03:57:35 2005 => File D:\papa\CuteFtp\cute4032.exe tagged as "not-a-virus:AdWare.Win32.TimeSink". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:45:10 2005 => Offending file found: C:\installer.exe
Tue Nov 15 18:45:10 2005 => Offending file found: C:\WINNT\gpinstall.exe
Tue Nov 15 18:45:11 2005 => Offending file found: C:\WINNT\System32\instsrv.exe
Tue Nov 15 18:45:15 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\winedt\config\restore\settings.dat
Tue Nov 15 18:45:17 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 18:45:17 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 18:45:18 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Tue Nov 15 19:20:51 2005 => Offending file found: C:\installer.exe
Tue Nov 15 19:20:52 2005 => Offending file found: C:\WINNT\gpinstall.exe
Tue Nov 15 19:20:53 2005 => Offending file found: C:\WINNT\System32\instsrv.exe
Tue Nov 15 19:20:56 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\winedt\config\restore\settings.dat
Tue Nov 15 19:20:58 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 19:20:58 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\systemtools\powerdesk 4.0 pro\toolbar.lnk
Tue Nov 15 19:20:59 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Nov 15 18:47:09 2005 => Total Virus(es) Found: 10
Wed Nov 16 13:16:42 2005 => Total Virus(es) Found: 70
Tue Nov 15 18:47:09 2005 => Total Errors: 300
Wed Nov 16 13:16:42 2005 => Total Errors: 312
Tue Nov 15 18:47:09 2005 => Time Elapsed: 00:07:17
Wed Nov 16 13:16:42 2005 => Time Elapsed: 17:10:33
Tue Nov 15 18:47:09 2005 => Total Objects Scanned: 23856
Wed Nov 16 13:16:42 2005 => Total Objects Scanned: 223115
Tue Nov 15 18:22:33 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 18:39:01 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 18:47:09 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 18:47:12 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 19:15:20 2005 => Virus Database Date: 2005/11/15
Wed Nov 16 13:16:35 2005 => Virus Database Date: 2005/11/15
Wed Nov 16 13:17:54 2005 => Virus Database Date: 2005/11/15
Wed Nov 16 13:29:46 2005 => Virus Database Date: 2005/11/15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Einige der Viren liegen in gepackten backups meiner emails, bzw in email-Foldern, von denen ich weiß, daß da gefährliche Malware liegen kann. Die Viren auf C: geben mir allerdings schon zu denken. Besteht eine Möglichkeit, daß ich noch 2 Monate mit meinem System weiterarbeiten kann, ohne es komplett neu installieren zu müssen?

Danke für deine Hilfe,
niewiederIE

@niewiederIE

Zitat:

Hallo rene-gad!
Erstmal danke für die Erklärung von RTFM

Nur gerechtigkeitshalber: Dein Dank sollte Wildone adressiert werden

Zitat:

Der Scan mit eScan hat 17 Stunden gedauert und war offensichtlich mehr als notwendig, leider.

Tja...

Zitat:

Besteht eine Möglichkeit, daß ich noch 2 Monate mit meinem System weiterarbeiten kann, ohne es komplett neu installieren zu müssen?

Du musst damit rechnen, dass dein Rechner nicht nur dein mehr: Backdoors & Co. machen dein System von Dritten zugänglich, ergo: alles, was du tust, kann von Jemandem genutz werden. Info
Deine persönlichen Daten, wie DOC, XLS, JPG usw. kannst du auf einer CD oder einer anderen Partition sichern. Du kannst auch das Backup-Tool benutzen. Die gesicherten Daten müssen aber vor der Wiederherstellung auf Viren gecheckt werden.
Gehe bitte haargenau der Anleitung aus meiner Signatur nach.

Hallo,

ich habe jetzt erstmal eine relativ radikale Löschung aller Dateien vorgenommen, die infiziert sind. Ich werde gleich noch einmal einen Scan starten. Wenn es irgendwie klappt, werde ich das Neuaufsetzen des Systems wirklich noch hinausschieben, in zwei Monaten bekomme ich einen neuen Rechner und dieser hier wird dann sowieso komplett neu formatiert.

Kann ich, wenn der nächste Scan besser aussieht, den Scan noch einmal hier posten?

Danke für eure Hilfe.

Selbst wenn der Escan nichts mehr finden sollte, heißt das aber in diesem fall nicht, das der Rechner sauber ist, Grund ist u.a. folgender:

http://www.mathematik.uni-marburg.de...al.html#sec2.6

Hallo,
der Scan läuft natürlich noch, ich habe mich einfach mal an einem anderen Rechner im Büro eingeloggt.

Ich habe mich jetzt für folgenden Umgang mit dem Problem entschieden:
1. keine Adminrechte mehr beim normalen Arbeiten
2. nicht ins LAN oder Internet, wenn nicht unbedingt nötig
3. ich informiere die Systemadministration
4. Neuaufsetzen des Systems sobald wie möglich
5. alle KollegInnen sollten ihre Rechner mit eScan testen, damit das Microsoftnetzwerk den neuaufgesetzten Rechner nicht sofort wieder infiziert
6. wechsel der Passwörter

Einige Fragen habe ich jedoch noch:
Kann sich ein infizierter Rechner über das automatische Windowsupdate falsche, sprich malware, Programme runterladen?
Kann ein Virenprogramm von einem infiziertem Rechner aus, auf dem ich mich als Benutzer ohne Adminrechte einlogge, Dinge tun, für die eigentlich Adminrechte nötig sind?
Bei uns im Büro haben wir den Norton Antivirus Corporate Edition. Dieser findet jedoch an meinem Rechner nichts auszusetzen, während Escan eine Menge Viren findet. Ich habe inzwischen verstanden, daß Antivirenprogramme prinzipiell nicht das halten können, was sie vorgaukeln. Aber ist der Escan wirklich "besser" als der Norton?

Noch mal vielen Dank für eure Hilfe.
niewiederIE