Hallo,
@stupormundi
leider keine Lösung:

Zitat:

so...hab ihn neu installiert mit *all dem Geraffel* und dann über die Systemsteuerung deinsta ...und Neustart gemacht ...aber es sind immer noch Teile vorhanden! Und dann krieg ich wieder die Meldung, die ich oben schon als Bild angehangen hate.

@minibonsai
poste noch mal ein neues HijackThis log.


Grüße Wildone

Zitat:

Zitat von stupormundi

Servus!
Problem:
Lösung:
stupormundi

von gestern Abend:

Zitat:

Zitat von minibonsai

so...hab ihn neu installiert mit *all dem Geraffel* und dann über die Systemsteuerung deinsta ...und Neustart gemacht ...aber es sind immer noch Teile vorhanden! Und dann krieg ich wieder die Meldung, die ich oben schon als Bild angehangen hate.

@minibonsai+wildone!
Da habt Ihr mich aber ordentlich erwischt
und ich habe nicht ordentlich gelesen - sorry
Wäre ja zu leicht gewesen!
stupormundi

Zitat:

Zitat von Wildone

Hallo,
@stupormundi
leider keine Lösung:

@minibonsai
poste noch mal ein neues HijackThis log.


Grüße Wildone

Ich sollte den Hijack ja löschen und neu insta...und das geht nicht...da bekomme ich ne Fehlermeldung:

*setup was unable to create the directory "C:\programme\hijackthis"
Error 5:Zugriff verweigert*

wennich dann auf OK klicke,dannkommt als nächste Meldung:

*setup was not completed.
please correct the problem and run setup again*

Heißt das, ich muß ich (wie?) noch mal deinsta oder *nur* die exe löschen und neu laden oder was???

noch eine (sicher für euch einfache?) Frage:

ich soll doch das Archiv des AV leeren ...aber wo finde ich das? Wie mache ich das?

Hallo,
da sich HijackThis nicht installiert mußt du nur die exe löschen. Versuche mal einen anderen Pfad, wo du sie entpackst.
i

Zitat:

ch soll doch das Archiv des AV leeren ...aber wo finde ich das? Wie mache ich das?

Das weiß ich auch nicht, da gibts ein RTFM
@stupormundi
Mach dir nichts drauß, ähnliches ist mir auch schon ein paar mal passiert.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
da sich HijackThis nicht installiert mußt du nur die exe löschen. Versuche mal einen anderen Pfad, wo du sie entpackst.
i
Das weiß ich auch nicht, da gibts ein RTFM
@stupormundi
Mach dir nichts drauß, ähnliches ist mir auch schon ein paar mal passiert.


Grüße Wildone

so, hab die exe gelöscht und den HijackThis bei CHIP online geladen und einen Scan gemacht (wobei ich sehe, daß er wieder im temp.verzeichnis gelandet ist):

Logfile of HijackThis v1.99.1
Scan saved at 11:53:22, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Packer\WinRAR\WinRAR.exe
C:\DOKUME~1\Petra\LOKALE~1\Temp\Rar$EX00.796\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {CC965E9F-D143-83AB-C171-115A57929FB8} - C:\DOKUME~1\Petra\ANWEND~1\Fragblah\Long wma.exe (file missing)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Aim setup name bows] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeobjaimsetup\MAIL TEAM.exe
O4 - HKLM\..\RunOnce: [Removing Internet Explorer...] RunDll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\IErad.inf,Step_1
O4 - HKLM\..\RunOnce: [IEU01] regsvr32.exe /u /s C:\WINDOWS\system32\msrating.dll
O4 - HKLM\..\RunOnce: [IEU02] regsvr32.exe /u /s C:\WINDOWS\system32\ASCTRLS.OCX
O4 - HKLM\..\RunOnce: [IEU03] regsvr32.exe /u /s C:\WINDOWS\system32\TDC.OCX
O4 - HKLM\..\RunOnce: [IEU05] regsvr32.exe /u /s C:\WINDOWS\system32\INETCFG.DLL
O4 - HKLM\..\RunOnce: [IEU06] regsvr32.exe /u /s C:\WINDOWS\system32\PLUGIN.OCX
O4 - HKLM\..\RunOnce: [IEU07] regsvr32.exe /u /s C:\WINDOWS\system32\XENROLL.DLL
O4 - HKLM\..\RunOnce: [IEU08] regsvr32.exe /u /s C:\WINDOWS\system32\IEMENU.OCX
O4 - HKLM\..\RunOnce: [IEU12] regsvr32.exe /u /s C:\WINDOWS\system32\msieftp.DLL
O4 - HKLM\..\RunOnce: [IEU13] regsvr32.exe /u /s C:\WINDOWS\system32\MSJAVA.DLL
O4 - HKLM\..\RunOnce: [IEU14] regsvr32.exe /u /s C:\WINDOWS\system32\MSAWT.DLL
O4 - HKLM\..\RunOnce: [IEU15] regsvr32.exe /u /s C:\WINDOWS\system32\VMHELPER.DLL
O4 - HKLM\..\RunOnce: [IEU16] regsvr32.exe /u /s C:\WINDOWS\system32\javaprxy.dll
O4 - HKLM\..\RunOnce: [IEU17] regsvr32.exe /u /s C:\WINDOWS\system32\javacypt.dll
O4 - HKLM\..\RunOnce: [IEU18] regsvr32.exe /u /s C:\WINDOWS\system32\DX3J.DLL
O4 - HKLM\..\RunOnce: [IEU19] regsvr32.exe /u /s C:\WINDOWS\system32\scrobj.DLL
O4 - HKLM\..\RunOnce: [IEU20] regsvr32.exe /u /s C:\WINDOWS\system32\LICMGR10.DLL
O4 - HKLM\..\RunOnce: [IEU21] regsvr32.exe /u /s C:\WINDOWS\system32\ACTXPRXY.DLL
O4 - HKLM\..\RunOnce: [IEU22] regsvr32.exe /u /s C:\WINDOWS\system32\DISPEX.DLL
O4 - HKLM\..\RunOnce: [IEU23] regsvr32.exe /u /s C:\WINDOWS\system32\webcheck.dll
O4 - HKLM\..\RunOnce: [IEU25] regsvr32.exe /u /s C:\WINDOWS\system32\mobsync.dll
O4 - HKLM\..\RunOnce: [IEU27] regsvr32.exe /u /s \hmmapi.dll
O4 - HKLM\..\RunOnce: [IEU28] regsvr32.exe /u /s \Triedit\triedit.dll
O4 - HKLM\..\RunOnce: [IEU29] regsvr32.exe /u /s \Triedit\dhtmled.ocx
O4 - HKLM\..\RunOnce: [IEU30] regsvr32.exe /u /s C:\WINDOWS\system32\mmefxe.ocx
O4 - HKLM\..\RunOnce: [IEU31] regsvr32.exe /u /s C:\WINDOWS\system32\mstime.dll
O4 - HKLM\..\RunOnce: [IEU34] C:\WINDOWS\system32\mshta.exe /unregister
O4 - HKLM\..\RunOnce: [IEU36] regsvr32.exe /u /s C:\WINDOWS\system32\occache.dll
O4 - HKLM\..\RunOnce: [IEU37] regsvr32.exe /u /s C:\WINDOWS\system32\imgutil.dll
O4 - HKLM\..\RunOnce: [IEU38] regsvr32.exe /u /s C:\WINDOWS\system32\pngfilt.dll
O4 - HKLM\..\RunOnce: [IEU50] regsvr32.exe /u /s C:\WINDOWS\system32\corpol.dll
O4 - HKLM\..\RunOnce: [IEU51] regsvr32.exe /u /s C:\WINDOWS\system32\cryptdlg.dll
O4 - HKLM\..\RunOnce: [IEU52] regsvr32.exe /u /s C:\WINDOWS\system32\cryptext.dll
O4 - HKLM\..\RunOnce: [Step_2] RunDll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\IErad.inf,Step_2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/fotoalbum/activex/upload_1125.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE27B93-2E50-44B7-B8D4-1DB8CA4D9704}: NameServer = 195.247.247.195 62.27.27.62
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe

Anm.
-----------------------
Aktive Links editiert!

Gruß Cidre
Admin TB

Hallo,
so jetzt gehst du in den abgesicherten Modus (F8 beim booten drücken) und löschst folgende Ordner:
C:\DOKUME~1\Petra\ANWEND~1\Fragblah
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeobjaimsetup\

dann fixt du folgende Einträge(immernoch im abgesicherten Modus):

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Aim setup name bows] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeobjaimsetup\MAIL TEAM.exe
O2 - BHO: (no name) - {CC965E9F-D143-83AB-C171-115A57929FB8} - C:\DOKUME~1\Petra\ANWEND~1\Fragblah\Long wma.exe (file missing)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - hxxp://adserver.sharewareonline.com/adserver/Install.cab

dann postest du ein neues Logfile.

P:S. Hast du etwa versucht den IE zu deinstallieren?
Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
so jetzt gehst du in den abgesicherten Modus (F8 beim booten drücken) und löschst folgende Ordner:
C:\DOKUME~1\Petra\ANWEND~1\Fragblah
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeobjaimsetup\

dann fixt du folgende Einträge(immernoch im abgesicherten Modus):

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Aim setup name bows] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cakeobjaimsetup\MAIL TEAM.exe
O2 - BHO: (no name) - {CC965E9F-D143-83AB-C171-115A57929FB8} - C:\DOKUME~1\Petra\ANWEND~1\Fragblah\Long wma.exe (file missing)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/...er/Install.cab

dann postest du ein neues Logfile.

P:S. Hast du etwa versucht den IE zu deinstallieren?
Grüße Wildone

das stand in meinem ersten Post:

Zitat:

Zitat von minibonsai

Hallo und Hilfe!

Ich bin seit Tagen am Verzweifeln, weil ich *ihn* nicht loswerde.

Bitte erklärt mir was ich machen soll/muß so, daß ich es verstehe ...bin echt ein wenig blond, was den PC angeht und hab auch *Angst* vor dem Rumlöschen!

Spybot findet *ihn* nicht, HousemicroOnlinescan findet ihn, Im Log isser auch drin... *fett* gekennzeichnet. Und was mach ich nun?

Hab gestern versucht, den IE komplett aus dem System zu schmeissen, aber das geht auch nicht...weil ich eigentl nämlich eh nur noch den FF nutze (der nicht betroffen ist).

werde mir jetzt deine Anleitung ausdrucken und dann versuche ich mein Glück mal... wobei ...was heißt in dem Zusammenhang *fixen*???

Danke für die Geduld...aber für mich ist der PC echt ein Geheimnis...Hauptsache, er funzt (und wehe, wenn nicht)

Hallo,
wahrscheinlich hat das schon jemand in dem Thread gesagt, aber den IE zu deinstallieren war keine gute Idee.
Und fixen heißt, bei HijackThis einen Haken vor den jeweiligen Eintrag machen und auf "fix checked" klicken.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
wahrscheinlich hat das schon jemand in dem Thread gesagt, aber den IE zu deinstallieren war keine gute Idee.
Und fixen heißt, bei HijackThis einen Haken vor den jeweiligen Eintrag machen und auf "fix checked" klicken.


Grüße Wildone

also muß ich im abgesicherten Modus in den Hijackthis?

Entschuldige die dummen Fragen, aber ...wenn ich erst mal off bin, dann komm ich ja hier nicht rein um nachzufragen...

Hallo,
schon richtig, lieber jetzt nachfragen. Exakt du mußt im abgesicherten Modus in Hijackthis.


Grüße Wildone

Zitat:

Zitat von PCNerD

@minibonsai

{...}
11.[/B]
Ist dir diese IP-Adresse bekannt, gehört sie zu deinem ISP (InternetServiceProvider)? Wenn nicht, werden wir sie später beseitigen. Sie wäre dann als nicht vertrauenswürdig einzustufen.

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE27B93-2E50-44B7-B8D4-1DB8CA4D9704}: NameServer = 195.247.247.195 62.27.27.62

Hier kannst du sie prüfen IKS.

Melde dich bitte unbedingt mit den Ergebnissen der Scans zurück und erstelle und poste auch ein neues HJT logfile, danke.


PCNerD

die IP ist mein Provider (Tiscali)

ich hab ja auch noch die Frage offen, wie das gemeint war:

Zitat:

2.
Leere den Quarantäne-Ordner deines AV-Programms.

Habe eben im AV-Forum geschaut und da den Hinweis gefunden auf C:\Programme\AVPersonal\INFECTED ...der Ordner ist aber leer ...das kann also nicht gemeint sein damit, oder?

Beim EwidoMalware hab ich ja ein Probeversion geladen ...und da habe ich jetzt eben die gefundenen SpywareCookies gelöscht aus dem Quarantäneordner.

Fällt dir noch was auf, was sonst gemeint sein könnte?

Hallo,
wenn er leer ist, ist das doch wunderbar(und die cookies im Ewido Ordner richten schon gar keinen Schaden an), ist übrigens nicht so wichtig das der Qurantäneordner geleert wird (zumindest nicht für deine momentane Lage), wenn es im Prinzip auch richtig ist das man nicht jahrelang die gefundenen Viren(inaktiv) mit sich rumschleifen muss.


Grüße Wildone