hi,

ich sitze gerade an einem rechner, von dem ich einen trojaner nicht weg bekomme. vielleicht kann mir ja hier jemand helfen..

zum verhalten:

-> lässt sich über winlogon.exe laden (womit ich ihn nicht einfach löschen kann)
-> erscheint 3x in C:\WINDOWS\system32 in kryptischen dateinamen mit ~250kb (unterschiedlich)
-> wird von ad-aware als coolwebsearch identifiziert, aber cws shredder findet nichts
-> kaspersky av lässt das ding völlig kalt
-> dank der namensgebung á random kannich auch nicht im web suchen
-> abgesicherter modus hat auch noch nicht geholfen, da das drecksding wie gesagt mit winlogon geladen wird
-> hijackthis meldet, dass es sowas nicht entfernen kann
-> öffnet zwischendurch webseiten mit werbung

ach ja .. system = xp home sp2

bin für jede hilfe dankbar..

das HijackThis log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:06:15, on 2006-03-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Asia\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Zegarynka] C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Zegarynka.exe
O4 - Startup: Zegarynka.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{01511956-4256-4325-80D8-0D804F2656C5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{01511956-4256-4325-80D8-0D804F2656C5}: NameServer = 192.168.1.1
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

fixe folgende einträge mit hijackthis

O4 - HKCU\..\Run: [Zegarynka] C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Z egarynka.exe

O4 - Startup: Zegarynka.exe

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)

und leg' dir ein antiviren-programm und evtl. eine software-firewall zu. schützt zumindest vor den üblichen scriptkiddies

@TRex2003
Starte im abgesicherten Modus und suche im <systemroot>/alle Dateien, die Namen deren mehr als 8 Zeichen enthalten (die Suchmaske ????????*.*) und schmeiße die weg.

Hallo,

C:\WINDOWS\system32\m4jule191h.dll

sieht nach look2me aus. Lade Dir look2me Remover.

Scanne

C:\Dokumente und Einstellungen\Asia\Startmenü\Programme\Autostart\Zegarynka.exe
C:\WINDOWS\system32\msiexec.exe
bei Jotti online ( siehe Signatur) und poste das Ergebnis.

@Markus1234:

Zitat:

und leg' dir ein antiviren-programm und evtl. eine software-firewall zu. schützt zumindest vor den üblichen scriptkiddies

1) Nein
2) scriptkiddies
3) eine PFW schützt vor nichts!



Gruß

Edit: Hallo Rene-gad

Schrulli

Zitat:

Zitat von Markus1234

fixe folgende einträge mit hijackthis

Zitat:

Warum muss man das fixen? Nur weil es auf polnisch ist?

Zitat:

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m4jule191h.dll

Die Datei wird ihre Name nach jedem Neustart wechseln (s. dazu meinen vorigen Posting)

Zitat:

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)

Ist wohl nur der Windows-Installer

Zitat:

und leg' dir ein antiviren-programm

hat er schon

Zitat:

und evtl. eine software-firewall zu.

Brauch man nicht, um so mehr KAV5 hat schon eine in sich.
@Markus1234
Dein Wunsch zu helfen ist lobesnwert, was ich vom Inhalt deines Postings nicht behaupten kann.
EDIT: Mion Schrulli

danke für die schnelle reaktion..

also ich hab jetzt mal mit spybot search & destroy gewerkelt und bin soweit gekommen, dass der mir sehr viel mehr angezeigt hat. da der aber auch nicht alles entfernen konnte, hab ich mal eine reparaturinstallation gemacht (ging am schnellsten, wennauch eine Neuinstallation möglicherweise noch nötig ist) und siehe da, spybot findet nur noch einen

Log:

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-03-12 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-03-10 Includes\Cookies.sbi (*)
2006-03-10 Includes\Dialer.sbi (*)
2006-03-10 Includes\Hijackers.sbi (*)
2006-03-10 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-03-10 Includes\Malware.sbi (*)
2006-03-10 Includes\PUPS.sbi (*)
2006-03-10 Includes\Revision.sbi (*)
2006-03-10 Includes\Security.sbi (*)
2006-03-10 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-03-10 Includes\Trojans.sbi (*)


den command service konnte er jetzt nich direkt beheben..muss erst neu starten. zumindest hab ich einen anhaltspunkt. look2me scheint es nicht gewesen zu sein, denn das tool dafür fand nix..


edit: nach einem anderen tool gibts keinen cmdservice mehr (laut spybot) aber es gehen immer noch fenster auf mit werbung - und zwar im minutentakt .. das ist extrem nervig.. gibts noch ne lösung?

Zitat:

@Markus1234
Dein Wunsch zu helfen ist lobesnwert, was ich vom Inhalt deines Postings nicht behaupten kann.

der versuch zählt, meine "tips" waren nicht schädlich und hätten auch geholfen.

der windows installier war zumindest fehlerhaft, die polnische datei - hab ich nix gegen .. nur im startmenü kam mir ein bisschen spanisch vor.

eine software firewall hilft übrigens sehr wohl gegen "scriptkiddies", sprich wannabe-hacker

Hallo,

mache einen eScan, Anleitung in meiner Signatur verlinkt uns poste den Inhalt der C:\eScan_neu.txt hier.

Gruß

Schrulli

Zitat:

Zitat von Markus1234

der versuch zählt, meine "tips" waren nicht schädlich und hätten auch geholfen.

Mach's wie ich (wenn ich mir nicht 1000%ig sicher bin, was selten vorkommt): poste Deine Erkenntnis unter Vorbehalt.

Zitat:

eine software firewall hilft übrigens sehr wohl gegen "scriptkiddies", sprich wannabe-hacker

Dafür reicht auch ein gerüttelt Maß an sinnvoller Systemkonfiguration. Mal abgesehen von den zusätzlichen Angriffsvektoren, die so ein Softwareklotz mit sich bringt, erlebe ich tagein tagaus, dass eine PFW regelmäßig Ärger verursacht ("Zur Hülf! Das Programm ***hier den Namen einer x-beliebigen Anwendung die auf's Netz zugreift einsetzen*** spinnt").

also die polnische datei ist ein programm, das die uhrzeit zwischendurch vorliest und gehört der stolzen besitzerin eines virenverseuchten pcs.

ich komm leider erst wieder nächstes we dahin, aber die meisten dinger hab ich ja unten. allerdings hat mir die zeit nimmer gereicht, um zu testen, ob noch was übrig ist (der remover für cmdService hat zumindest ohne neustart dafür gesorgt, dass spybot nix mehr findet - nach dem reboot musste ich dann weg).

bisher hab ich noch keine email bekommen, was evt heißt, dass ich alles erwischt hab.. wird sich noch rausstellen.

in weiser vorraussicht hab ich einem etwas versierterem mitbewohner ne email geschickt mit der escan anleitung

so..war leider doch nicht weg :/


hier die escan_neu datei:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Mar 13 18:56:38 2006 => System found infected with ezula Spyware/Adware (cheap holiday travel.url)! Action taken: No Action Taken.
Mon Mar 13 18:56:38 2006 => System found infected with ezula Spyware/Adware (free online music.url)! Action taken: No Action Taken.
Mon Mar 13 18:56:38 2006 => System found infected with ezula Spyware/Adware (online dating.url)! Action taken: No Action Taken.
Mon Mar 13 18:56:41 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Mon Mar 13 18:56:39 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Mar 13 18:56:43 2006 => Object "casinoclient Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Mar 13 18:56:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Desktop\cheap holiday travel.url
Mon Mar 13 18:56:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Desktop\free online music.url
Mon Mar 13 18:56:38 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Desktop\online dating.url
Mon Mar 13 18:56:41 2006 => Offending file found: C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\temp\outlook logging\firstrun.log
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Mar 13 18:56:22 2006 => File C:\WINDOWS\system32\LPCMP11n.DLL tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 18:56:46 2006 => File C:\!KillBox\kedtat.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 18:57:01 2006 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GLZPCAI7\AppWrap[1].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:01:48 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\F6F10.tmp tagged as "not-a-virus:AdWare.Win32.Suggestor.q". Action Taken: No Action Taken.
Mon Mar 13 19:01:50 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\i13.tmp tagged as "not-a-virus:AdWare.Win32.SurfSide.j". Action Taken: No Action Taken.
Mon Mar 13 19:02:11 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr05F3 tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:11 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr2523 tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:11 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr66C3 tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:12 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\temp.fr698E tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:02:41 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\W86NAN7H\package_NNSTP5[1].exe tagged as "not-a-virus:AdWare.Win32.BargainBuddy.ak". Action Taken: No Action Taken.
Mon Mar 13 19:03:01 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[1].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:01 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[2].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:01 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[3].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:02 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\AppWrap[4].exe tagged as "not-a-virus:AdWare.Win32.Zestyfind". Action Taken: No Action Taken.
Mon Mar 13 19:03:02 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D2C4T91N\package_NNSTP5[1].exe tagged as "not-a-virus:AdWare.Win32.BargainBuddy.ak". Action Taken: No Action Taken.
Mon Mar 13 19:03:02 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NU1534E9\NNSCAA638[1].EXE tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NU1534E9\ventfe1[1].exe tagged as "not-a-virus:AdWare.Win32.BookedSpace.e". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAEVCK05\AppWrap[1].exe tagged as "not-a-virus:AdWare.Win32.AdURL.c". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAEVCK05\jw4p[1].cab tagged as "not-a-virus:AdWare.Win32.Suggestor.q". Action Taken: No Action Taken.
Mon Mar 13 19:03:03 2006 => File C:\Dokumente und Einstellungen\Asia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAEVCK05\ZICORN001[1].exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc10.EXE tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc12\newdotnet7_22.dll tagged as "not-a-virus:AdWare.Win32.NewDotNet.i". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc12\uninstall6_38.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc12\uninstall7_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet.e". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc13.tmp tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc14.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc15.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc16.tmp tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc2.exe tagged as "not-a-virus:AdWare.Win32.Suggestor.o". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc4.exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:28:42 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc5.exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:28:43 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc6.exe tagged as "not-a-virus:AdWare.Win32.Suggestor.q". Action Taken: No Action Taken.
Mon Mar 13 19:28:43 2006 => File C:\RECYCLER\S-1-5-21-1355623154-800948640-3927292414-500\Dc7.exe tagged as "not-a-virus:AdWare.Win32.ZenoSearch.m". Action Taken: No Action Taken.
Mon Mar 13 19:29:00 2006 => File C:\ventfe1.exe tagged as "not-a-virus:AdWare.Win32.BookedSpace.e". Action Taken: No Action Taken.
Mon Mar 13 19:30:31 2006 => File C:\WINDOWS\876056.exe tagged as "not-a-virus:AdWare.Win32.Mirar.d". Action Taken: No Action Taken.
Mon Mar 13 19:39:31 2006 => File C:\WINDOWS\iconu.exe tagged as "not-a-virus:AdWare.Win32.Zestyfind". Action Taken: No Action Taken.
Mon Mar 13 19:41:11 2006 => File C:\WINDOWS\NDNuninstall7_22.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet.e". Action Taken: No Action Taken.
Mon Mar 13 19:41:14 2006 => File C:\WINDOWS\Ooitmzrd.dll tagged as "not-a-virus:AdWare.Win32.BookedSpace.g". Action Taken: No Action Taken.
Mon Mar 13 19:47:55 2006 => File C:\WINDOWS\Temp\bw2.com tagged as "not-a-virus:AdWare.Win32.Zestyfind". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Mar 13 18:56:39 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Asia\Eigene Dateien\ea games\die sims 2\music\cas
Mon Mar 13 18:56:43 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Asia\Eigene Dateien\ea games\die sims 2\music\cas
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Mar 13 19:57:05 2006 => Total Errors: 81
Mon Mar 13 19:57:05 2006 => Time Elapsed: 01:01:14
Mon Mar 13 19:57:05 2006 => Total Objects Scanned: 68889
Mon Mar 13 18:48:20 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 18:49:51 2006 => Virus Database Date: 3/13/2006
Mon Mar 13 18:55:06 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 19:57:06 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 19:59:06 2006 => Virus Database Date: 3/7/2006
Mon Mar 13 20:10:33 2006 => Virus Database Date: 3/7/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

edit: hab ich schon erwähnt, dass da kaspersky drauf is?!?!

Versuche mal folgendes:

1. Installiere Clearprog. Starte es und setze den Haken bei "alles löschen" und dann Löschen drücken. http://www.clearprog.de

2. Lade Dir folgende Datei http://rapidshare.de/files/15442636/trex2003.bat.html und starte sie im abgesicherten Modus.

Danach nochmal eScan laufen lassen und berichten.

also das hat nich geholfen..ich hab dann die radikalmethode genommen und C:\WINDOWS\, dokumente und einstellungen sowie alle ordner in programme, die nicht von spielen oder so waren, gelöscht.

nun ist windows neu installiert und sämtliche würmer, viren & trojaner

(wenns mal wieder länger dauert, nimm format C: )

danke für die bemühungen, aber hier war das system nimmer zu retten..sogar die windows firewall war irgendwie deinstalliert..