Hallo Leute !

Habe das Problem das bei normalem Betrieb die Bildlaufleiste hoch und runter springt. Scheint als würde jemand einen Spaß zu machen !?????Habe mit Virenscan und anderen diversen Programmen Spybot Antivir usw. schon versucht das zu lösen, habe auch zwei Viren/bzw.Würmer entfernt. Doch das Problem ist immer noch da.Hinzu kommt jetzt das der Rechner seit heute ab und zu abstürzt. Heute habe ich mir eine neue Firewall installiert. Ging eingentlich davon aus das mein 1und1 Phonebox sowas drauf hat. Kann es vielleicht auch mit der Internet:Telefonie zusammen hängen?
Was ist mit der Datei sarah.dll und AcroIEhelper,dll brauch ich diese?

Hab echt keine Lust meine festplatte zu formatieren .....



Vielleicht habt Ihr paar Ideen...Danke schonmal



Logfile of HijackThis v1.99.1
Scan saved at 21:13:50, on 21.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Schönherr Personal Firewall\bin\sppfw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\Downloads-NEU\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe

Hallo madtz,

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

hast Du jemals Dein System upgedatet? SP2 und alle weiteren Sicherheitspatches müssen installiert sein!

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes.
Scanne dann Dein System mit Escan . Bitte erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit.

dartus

Hi,

habe soweit das System aufgerüstet dann mit claerprogramm im gesäubert und dann nach Anleitung, soweit ich verstanden habe, gescannt.
Habe die Killbox installiert und versucht schon ein paar Pfade zu löschen.....bin aber zu blöd dazu!

Hier der Logfile:

Sun Jan 22 15:48:02 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Jan 22 15:48:02 2006 => Loading Spyware Signatures from new External Database (Size: 152145).
Sun Jan 22 15:48:02 2006 => Indexed Spyware Databases Successfully Created...

Sun Jan 22 15:48:43 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Sun Jan 22 15:48:43 2006 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Sun Jan 22 15:48:44 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Jan 22 15:48:44 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Jan 22 15:48:44 2006 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Sun Jan 22 15:48:44 2006 => System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Sun Jan 22 15:48:44 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.
Sun Jan 22 15:48:44 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Jan 22 15:48:45 2006 => Offending Key found: HKCU\appevents\eventlabels\bearsharechatnotifymsg !!!
Sun Jan 22 15:48:45 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending Key found: HKCU\appevents\schemes\apps\bearshare !!!
Sun Jan 22 15:48:45 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending Key found: HKLM\Software\magnet\handlers\bearshare !!!
Sun Jan 22 15:48:45 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending Key found: HKLM\Software\bearshare !!!
Sun Jan 22 15:48:45 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\weathercast !!!
Sun Jan 22 15:48:45 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\weathercast !!!
Sun Jan 22 15:48:45 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending value found in HKLM\Software\Licenses: {i56b3cf0d9ab991e1} !!!
Sun Jan 22 15:48:45 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:45 2006 => Offending value found in HKLM\Software\Licenses: {056b3cf0d9ab991e1} !!!
Sun Jan 22 15:48:45 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:47 2006 => Offending Folder found: C:\Programme\bearshare
Sun Jan 22 15:48:47 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:47 2006 => Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Sun Jan 22 15:48:47 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:48 2006 => Offending file found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\c64games\load.exe
Sun Jan 22 15:48:48 2006 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.

Sun Jan 22 15:48:49 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\cod\call of duty\main\save
Sun Jan 22 15:48:49 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:48:49 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\cod\call of duty\uo\save
Sun Jan 22 15:48:49 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:49:21 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\downloads-neu\programme\halflife\hl2\save
Sun Jan 22 15:49:21 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:49:35 2006 => Offending file found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\eigene webs\eigenesweb\search.htm
Sun Jan 22 15:49:35 2006 => System found infected with weathercast Spyware/Adware (search.htm)! Action taken: No Action Taken.

Sun Jan 22 15:49:35 2006 => Offending file found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\eigene webs\eigenesweb\_vti_cnf\search.htm
Sun Jan 22 15:49:35 2006 => System found infected with weathercast Spyware/Adware (search.htm)! Action taken: No Action Taken.

Sun Jan 22 15:49:40 2006 => Offending file found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\c64games\load.exe
Sun Jan 22 15:49:40 2006 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken.

Sun Jan 22 15:49:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\cod\call of duty\main\save
Sun Jan 22 15:49:41 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:49:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\cod\call of duty\uo\save
Sun Jan 22 15:49:41 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:49:43 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\downloads-neu\programme\halflife\hl2\save
Sun Jan 22 15:49:43 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Jan 22 15:49:45 2006 => Offending file found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\eigene webs\eigenesweb\search.htm
Sun Jan 22 15:49:45 2006 => System found infected with weathercast Spyware/Adware (search.htm)! Action taken: No Action Taken.

Sun Jan 22 15:49:45 2006 => Offending file found: C:\Dokumente und Einstellungen\Matthias\Eigene Dateien\eigene webs\eigenesweb\_vti_cnf\search.htm
Sun Jan 22 15:49:45 2006 => System found infected with weathercast Spyware/Adware (search.htm)! Action taken: No Action Taken.


Ist nicht der komplette Logfile nur das was mir wichtig erscheint!
Gibt es nicht ein Programm zum Löschen der Adware/Spyware für dummies?
Sbybot research oder so ähnlich hatte ich schon versucht...

Vielen Dank für die Tipps!!

..noch eines, vielleicht zu Info!

habe den Scan dreimal durchlaufen lassen und jedesmal hing sich bei dem Spiel coll of duty mit der Adressenendung .....cod /main* der Scan auf. Das Game wird ziemlich oft Online gespielt.....

mfg

Vielen Dank für die Mühen!

Hallo madtz,

deinstalliere über Systemsteuerung/Software "bearshare" sowie weitere Dir unbekannte Software.

Downloade Dir z.B Regseeker und bereinige Deine Registry.

Diesen Ordner im abgesicherten Modus löschen:
C:\Programme\Gemeinsame Dateien\whenu

Alles weitere sehe ich als Fehlalarme.

dartus

Hi !

Vielen Dank für die Hilfe! Es scheint jetzt wieder alles in Ordnung zu sein.

Besten Dank!