Hallo,

ich habe heute plötzlich eine Windows-Meldung erhalten mit dem Inhalt mein PC sei mit dem Backtera-Virus infiziert. Ich habe auf OK geklickt und wurde zu einer, mir dubios vorkommenden Seite weitergeleitet, wo ich einen AntiVirusScan2006 runterladen sollte. Die Seite habe ich dann geschlossen. Leider habe ich versäumt Screens davon zu machen. Anschließend habe ich nach dem Virus gegoogelt und bin auf dieses Forum hier gestoßen Forum-Beitrag . Leider hat die Beschreibung mir nicht weiterhelfen können. Ich habe weder einen HBTool Ordner noch eine gnui***.exe im System32-Ordner.
Ich habe mich hier etwas belesen und die Programme HijackThis sowie eScan gesogen. Leider tritt ein Problem beim installieren von eScan auf - zum Ende der Installation bleibt der auf 'Finishing Installation' hängen und der Rechner resetet nach ca. 30sec. Beim Versuch eScan zu starten findet er die jeweiligen .exe nicht für Scan bzw Update.
Deshalb poste ich zunächst einmal meine HiJack-Log und hoffe sie korrekt bearbeitet zu haben:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:08, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\HSeries\iHPDetect.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
E:\Programme\ICQ\Icq.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
E:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://excalibur.homeunix.net/index.php
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2EC2FCF8-3F2A-9FA0-90A4-C31DCA001854} - C:\DOKUME~1\Jedrzej\ANWEND~1\AXISLO~1\Ace License.exe
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - h**p://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120989646906
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.tbcode.com/ist/softwares/v4.0/0006_cracks.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://217.97.134.62/activex/AxisCamControl.ocx
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.cheat-bereich.de/InstallationsAssistent.ocx
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Die Frage ist nun, ob mein System infiziert ist (Norton AntiVirus 2005 hat nichts gefunden) und warum eScan sich nicht installieren lässt.
Des weiteren öffnet sich seit heute auch immer ein IExplorer-Werbe-PopUp bei starten von Mozialla Firefox.

/edit Mir ist ebengrade aufgefallen, das ich zwei IEXPLORE.EXE zu laufen habe, könnte das etwas mit dem Trojaner zu tun haben?

/edit Fehlermeldung hat sich erneut gezeigt, konnte auch ein Screenshot machen, sowie die url an die weitergeleitet wurde

/edit nach dem deinstallieren von Norton konnte ich eScan problemlos installieren und lasse immo über das System laufen, log folgt sobald der Scan durch ist

Gruß

Hallo,

fixe folgende Einträge mittels HJT im agbesicherten Modus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://excalibur.homeunix.net/index.php
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: (no name) - {2EC2FCF8-3F2A-9FA0-90A4-C31DCA001854} - C:\DOKUME~1\Jedrzej\ANWEND~1\AXISLO~1\Ace License.exe
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - h**p://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.tbcode.com/ist/softwares/v4.0/0006_cracks.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://217.97.134.62/activex/AxisCamControl.ocx
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.cheat-bereich.de/InstallationsAssistent.ocx

Lade Dir Killbox und lösche die folgenden Dateien / Ordner:

C:\WINDOWS\nem220.dll
C:\DOKUME~1\Jedrzej\ANWEND~1\AXISLO~1\
C:\Programme\SideFind
C:\WINDOWS\system32\msbe.dll

Lasse die Dateien

C:\Programme\Messenger\MSMSGS.EXE
C:\PROGRA~1\MSNMES~1\msnmsgr.exe

online bei virustotal.com scannen und poste das Ergebnis hier.

Dannach lade Cleanup, säube Dein System wie beschrieben und poste dann die vier Logs der datfind.bat, nur die Dateien der letzten drei Monate.

Gruß

Schrulli

omplete scanning result of "msmsgs.exe", received in VirusTotal at 05.30.2006, 14:02:33 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.34 05.30.2006 no virus found
Authentium 4.93.8 05.28.2006 no virus found
Avast 4.6.695.0 05.29.2006 no virus found
AVG 386 05.29.2006 no virus found
BitDefender 7.2 05.30.2006 no virus found
CAT-QuickHeal 8.00 05.29.2006 no virus found
ClamAV devel-20060426 05.29.2006 no virus found
DrWeb 4.33 05.30.2006 no virus found
eTrust-InoculateIT 23.72.21 05.29.2006 no virus found
eTrust-Vet 12.6.2233 05.30.2006 no virus found
Ewido 3.5 05.30.2006 no virus found
Fortinet 2.77.0.0 05.29.2006 no virus found
F-Prot 3.16f 05.29.2006 no virus found
Ikarus 0.2.65.0 05.30.2006 no virus found
Kaspersky 4.0.2.24 05.30.2006 no virus found
McAfee 4772 05.29.2006 no virus found
Microsoft 1.1441 05.30.2006 no virus found
NOD32v2 1.1567 05.30.2006 no virus found
Norman 5.90.17 05.30.2006 no virus found
Panda 9.0.0.4 05.29.2006 no virus found
Sophos 4.05.0 05.30.2006 no virus found
Symantec 8.0 05.30.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.29.2006 no virus found

Aditional Information
File size: 1498032 bytes
MD5: 9ef1cdde5a18c2a5b0eac80f18695dba
SHA1: 7cf7a9486bf56213d99c33844c6b2f1e4d533583

Hallo,

fehlen noch die Logs

Hallo dartus, danke für die Info.

Gruß

Schrulli

Hi Schrulli,

danke erstma für die Hilfe. Bin grade noch dabei eScan durchlaufen zu lassen.
die Killbox-Dateien habe ich enfernt. Anschließend werde ich die HiJack-Sache machen und dann das Cleanup.
Anschließend poste ich die vier logs.

Hier erstma das fehlende virustotal-log:

Complete scanning result of "msnmsgr.exe", received in VirusTotal at 05.30.2006, 14:51:35 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.34 05.30.2006 no virus found
Authentium 4.93.8 05.28.2006 no virus found
Avast 4.6.695.0 05.29.2006 no virus found
AVG 386 05.29.2006 no virus found
BitDefender 7.2 05.30.2006 no virus found
CAT-QuickHeal 8.00 05.29.2006 no virus found
ClamAV devel-20060426 05.29.2006 no virus found
DrWeb 4.33 05.30.2006 no virus found
eTrust-InoculateIT 23.72.21 05.29.2006 no virus found
eTrust-Vet 12.6.2233 05.30.2006 no virus found
Ewido 3.5 05.30.2006 no virus found
Fortinet 2.77.0.0 05.29.2006 suspicious
F-Prot 3.16f 05.29.2006 no virus found
Ikarus 0.2.65.0 05.30.2006 no virus found
Kaspersky 4.0.2.24 05.30.2006 no virus found
McAfee 4772 05.29.2006 no virus found
Microsoft 1.1441 05.30.2006 no virus found
NOD32v2 1.1567 05.30.2006 no virus found
Norman 5.90.17 05.30.2006 no virus found
Panda 9.0.0.4 05.29.2006 no virus found
Sophos 4.05.0 05.30.2006 no virus found
Symantec 8.0 05.30.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.29.2006 no virus found

Aditional Information
File size: 7094272 bytes
MD5: cd144c89d2866404d99e39175573f8bd
SHA1: f795870b3a45485ead909ade37bd6d2ae41fb36c

/edit eScan hat keine Bedrohung gefunden

konnte leider nicht editen, da 60min vergangen sind:
also hier die datbat-logs:

system32.txt
Datentr„ger in Laufwerk E: ist Tools
Volumeseriennummer: A879-708A

Verzeichnis von E:\

30.05.2006 15:53 1.609.801.728 pagefile.sys
30.05.2006 14:11 0 23990098.$$$
2 Datei(en) 1.609.801.728 Bytes
0 Verzeichnis(se), 35.610.660.864 Bytes frei

system.txt
Datentr„ger in Laufwerk E: ist Tools
Volumeseriennummer: A879-708A

Verzeichnis von E:\

30.05.2006 15:53 1.609.801.728 pagefile.sys
30.05.2006 14:11 0 23990098.$$$
2 Datei(en) 1.609.801.728 Bytes
0 Verzeichnis(se), 35.610.660.864 Bytes frei

systemtemp.txt
Datentr„ger in Laufwerk E: ist Tools
Volumeseriennummer: A879-708A

Verzeichnis von E:\

30.05.2006 15:53 1.609.801.728 pagefile.sys
30.05.2006 14:11 0 23990098.$$$
2 Datei(en) 1.609.801.728 Bytes
0 Verzeichnis(se), 35.610.660.864 Bytes frei

sys.txt
Datentr„ger in Laufwerk E: ist Tools
Volumeseriennummer: A879-708A

Verzeichnis von E:\

30.05.2006 15:53 1.609.801.728 pagefile.sys
30.05.2006 14:11 0 23990098.$$$
2 Datei(en) 1.609.801.728 Bytes
0 Verzeichnis(se), 35.610.660.864 Bytes frei


und hier ein neues hijack log:
Logfile of HijackThis v1.99.1
Scan saved at 16:04:15, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iRiver\HSeries\iHPDetect.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Traysetup] C:\DOKUME~1\***\ANWEND~1\IDOLKN~1\CopyMapi4.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Ich habe irgendwie das Gefühl, bei der datbat-geschichte einen fehler gemacht zu haben. ich habe die datbat-zip auf einer anderen partition entpackt als wo das betriebssystem drauf ist.


/edit unter anderem öffnet sich wieder so ein doofes pop up... kann da einer helfen?

hi,

ich hab grad meine prozesse gecheckt und mir ist folgendes aufgefallen:
ich habe zwei IEXPLORE.EXE prozesse zu laufen. der eine verbraucht ca 5MB der andere 50MB. wenn ich den kleinen schliesse, wird er immer wieder neu gestartet. kann das mit dem popup zusammenhängen?
eScan findet nichts.

Logfile of HijackThis v1.99.1
Scan saved at 17:12:49, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iRiver\HSeries\iHPDetect.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
E:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Traysetup] C:\DOKUME~1\***\ANWEND~1\IDOLKN~1\CopyMapi4.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hallo Ranger,

arbeite bitte folgende Anleitung genau ab...-->Entfernung Swizzor.A

Gruß
Daniel

Hi [Gc Sunny],

zunächst danke für den Tip.
Ich hab die Anleitung befolgt und dabei ist mir folgendes aufgefallen:

1. Ich hatte nur einen O4-Eintrag, ein O2-Eintrag war nicht vorhanden.
2. Es war keine *.job-Datei vorhanden

Und Panda hat folgendes ausgespuckt:

Adware:Adware/Exact.BargainBuddy Nicht desinfiziert C:\!KillBox\msbe.dll
Adware:Adware/ClockSync Nicht desinfiziert C:\Programme\ClockSync\Uninst.exe
Adware:Adware/IST.ISTBarNicht desinfiziert C:\Programme\ISTbar\xml_istbar.xml
Hacktool:HackTool/Flood Nicht desinfiziert E:\Downloads\mIRC\KewlQuiz_v42a.zip[KewlQuiz/nHTMLn.dll]

Und hier nochmal eine HiJack-Log nach all dem:

Logfile of HijackThis v1.99.1
Scan saved at 19:41:27, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\HSeries\iHPDetect.exe
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Gruß Power

Hallo,

@PowerRanger: Poste bitte vier ordentliche Logfiles vin der datfind.bat.

Gruß

Schrulli

War nur so eine Vermutung von mir mit dem Swizzor.A! Da das bei dem oft vorkommt mit der doppelten iexpl..exe!
Egal, versuchen wir es nochmal anders.

Fixe mit HijackThis noch folgende Zeile im abgesicherten Modus:
O4 - HKCU\..\Run: [Traysetup] C:\DOKUME~1\***\ANWEND~1\IDOLKN~1\CopyMapi4.exe

Lösche danach diesen Ordner!

Lade dir dann nochmal folgende Programme:

1.) Ad-Aware
und
2.) Spybot S&D

Scanne erst mit Ad-Aware, und dann mit Spybot! Wenn Spybot fertig ist das System damit "immunisieren"!

Gruß
Daniel

edit: Nabend Schrulli...

das ist hier nochmal die abschließende HiJack-Log

Logfile of HijackThis v1.99.1
Scan saved at 21:03:36, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
E:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\HSeries\iHPDetect.exe
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\ESCAN\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {891FE791-0009-40F1-A664-0FBB9CD9B561} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - E:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

@Schrulli
bitte schau mal noch mal deine PM, ich glaube ich habe da was missverstanden bzw. stehe auf der leitung... bitte um nachsicht.

mfg

sehr gut, poste trotzdem nochmal die 4 Dateien der datfind.bat!
Hier eine Anleitung dazu ... --->Anleitung datfind.bat

Gruß
Daniel

hier die auswertung vin findbat:

sys.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 30AA-BF4E

Verzeichnis von C:\

30.05.2006 21:34 0 sys.txt
30.05.2006 21:34 9.282 system.txt
30.05.2006 21:34 456 systemtemp.txt
30.05.2006 21:34 103.997 system32.txt
30.05.2006 21:01 1.073.270.784 hiberfil.sys
30.05.2006 13:11 203 boot.ini
23.01.2006 15:36 429 datFind.bat
11.08.2005 17:36 211 bootini.ins
21.11.2004 19:15 305 log.txt
11.10.2004 14:20 0 AUTOEXEC.BAT
11.10.2004 14:20 0 CONFIG.SYS
11.10.2004 14:20 0 IO.SYS
11.10.2004 14:20 0 MSDOS.SYS
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 251.184 ntldr
31.12.2002 14:00 47.564 NTDETECT.COM
16 Datei(en) 1.073.689.367 Bytes
0 Verzeichnis(se), 5.709.996.032 Bytes frei

system.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 30AA-BF4E

Verzeichnis von C:\WINDOWS

30.05.2006 21:32 116 NeroDigital.ini
30.05.2006 21:29 7.581 wiadebug.log
30.05.2006 21:07 50 wiaservc.log
30.05.2006 21:07 496.625 setupapi.log
30.05.2006 21:01 2.943 win.ini
30.05.2006 21:01 38.919 ESCAN.LOG
30.05.2006 21:01 0 0.log
30.05.2006 21:01 1.358.801 WindowsUpdate.log
30.05.2006 21:01 1.973 frights.log
30.05.2006 21:01 2.048 bootstat.dat
30.05.2006 21:00 32.424 SchedLgU.Txt
30.05.2006 18:35 526.446 ntbtlog.txt
30.05.2006 17:59 869 escan.dbf
30.05.2006 16:16 258 DEFESMS.VX
30.05.2006 16:16 335 DEFESMS.HTML
30.05.2006 13:19 589 MAILINST.LOG
30.05.2006 13:19 21.980 WSSPORD.DAT
30.05.2006 13:17 4.128.693 REGBK00.ZIP
30.05.2006 13:11 651 INST_TSP.LOG
30.05.2006 13:11 237 system.ini
30.05.2006 12:47 4.783 mailremv.log
30.05.2006 12:40 105.888 winsbak2.reg
30.05.2006 12:40 14.866 winsbak.reg
30.05.2006 11:59 23.209 WGA.log
23.05.2006 19:34 192 winamp.ini
03.05.2006 15:32 1.830 spupdsvc.log
03.05.2006 14:39 418.204 iis6.log
03.05.2006 14:39 129.381 comsetup.log
03.05.2006 14:39 1.355 imsins.log
03.05.2006 14:39 165.342 tsoc.log
03.05.2006 14:39 76.626 ntdtcsetup.log
03.05.2006 14:39 19.695 ocmsn.log
03.05.2006 14:39 17.273 KB908531.log
03.05.2006 14:39 18.357 tabletoc.log
03.05.2006 14:39 62.355 netfxocm.log
03.05.2006 14:39 175.112 ocgen.log
03.05.2006 14:39 24.862 MedCtrOC.log
03.05.2006 14:39 17.536 msgsocm.log
03.05.2006 14:39 351.583 FaxSetup.log
03.05.2006 14:39 114.322 msmqinst.log
03.05.2006 14:39 23.461 updspapi.log
03.05.2006 14:39 1.355 imsins.BAK
03.05.2006 14:39 17.379 KB900485.log
03.05.2006 14:38 38.512 KB911565.log
03.05.2006 14:38 113.393 wmsetup.log
03.05.2006 14:38 16.503 KB911562.log
03.05.2006 14:38 19.144 KB912812.log
03.05.2006 14:38 10.947 KB911567.log
11.04.2006 21:39 23 BlendSettings.ini
04.04.2006 18:09 166.698 DirectX.log
11.03.2006 17:59 16 WININIT.INI
21.02.2006 21:41 23.335 KB913446.log
21.02.2006 21:40 25.095 KB911564.log
21.02.2006 21:40 28.858 KB911927.log
21.02.2006 21:40 28.926 KB912919.log
21.02.2006 21:40 28.232 KB908519.log
21.02.2006 21:40 31.939 KB905915.log
21.02.2006 21:40 24.191 KB904706.log
21.02.2006 21:39 18.611 KB910437.log
21.02.2006 21:39 23.657 KB896424.log
21.02.2006 21:39 23.073 KB900725.log
21.02.2006 21:39 20.575 KB905749.log
21.02.2006 21:39 20.042 KB905414.log
21.02.2006 21:39 19.231 KB901017.log
21.02.2006 21:39 19.213 KB899589.log
21.02.2006 21:39 24.616 KB902400.log
21.02.2006 21:39 15.730 KB894391.log
21.02.2006 21:39 13.832 KB896423.log
21.02.2006 21:39 13.323 KB899587.log
21.02.2006 21:38 12.810 KB899591.log
21.02.2006 21:38 13.277 KB893756.log
21.02.2006 21:38 11.815 KB900930.log
11.02.2006 03:58 90.112 inst_tsp.exe
11.02.2006 03:48 41.984 killproc.exe
08.02.2006 14:07 1.810.105 setupapi.log.0.old

systemtemp.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 30AA-BF4E

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

30.05.2006 21:06 970 TempICQCLImage9319362000919.html
30.05.2006 21:06 16.384 ~DFD9A1.tmp
30.05.2006 21:06 512 ~DFD9B9.tmp
12.10.2004 11:14 57.344 InstHelp.dll
4 Datei(en) 75.210 Bytes
0 Verzeichnis(se), 5.710.012.416 Bytes frei

system32.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 30AA-BF4E

Verzeichnis von C:\WINDOWS\system32

30.05.2006 21:01 50.257 nvapps.xml
30.05.2006 19:04 0 asfiles.txt
30.05.2006 18:58 2.550 Uninstall.ico
30.05.2006 18:58 1.406 Help.ico
30.05.2006 18:58 30.590 pavas.ico
30.05.2006 13:16 7.641 eInstall.dat
30.05.2006 13:03 100 LuResult.txt
30.05.2006 12:04 2.262 wpa.dbl
17.05.2006 11:23 579.888 LegitCheckControl.dll
06.04.2006 12:48 5.143.456 MRT.exe
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 11:40 14.048 spmsg.dll
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 12:40 380.350 perfh009.dat
26.03.2006 12:40 52.764 perfc009.dat
26.03.2006 12:40 391.000 perfh007.dat
26.03.2006 12:40 63.580 perfc007.dat
26.03.2006 12:40 897.954 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
09.03.2006 15:29 286.720 nvwrscs.dll
09.03.2006 15:29 294.912 nvwrsda.dll
09.03.2006 15:29 311.296 nvwrsde.dll
09.03.2006 15:29 335.872 nvwrsel.dll
09.03.2006 15:29 286.720 nvwrseng.dll
09.03.2006 15:29 327.680 nvwrsesm.dll
09.03.2006 15:29 1.019.904 nvwimg.dll
09.03.2006 15:29 303.104 nvwrsfi.dll
09.03.2006 15:29 270.336 nvrspt.dll
09.03.2006 15:29 327.680 nvwrsfr.dll
09.03.2006 15:29 278.528 nvwrshe.dll
09.03.2006 15:29 315.392 nvwrshu.dll
09.03.2006 15:29 323.584 nvwrsit.dll
09.03.2006 15:29 212.992 nvwrsja.dll
09.03.2006 15:29 196.608 nvwrsko.dll
09.03.2006 15:29 319.488 nvwrsnl.dll
09.03.2006 15:29 299.008 nvwrsno.dll
09.03.2006 15:29 425.984 keystone.exe
09.03.2006 15:29 294.912 nvwrspl.dll
09.03.2006 15:29 323.584 nvwrspt.dll
09.03.2006 15:29 319.488 nvwrsptb.dll
09.03.2006 15:29 315.392 nvwrsru.dll
09.03.2006 15:29 299.008 nvwrssk.dll
09.03.2006 15:29 253.952 nvrspl.dll
09.03.2006 15:29 303.104 nvwrssl.dll
09.03.2006 15:29 1.662.976 nvwdmcpl.dll
09.03.2006 15:29 249.856 nvrsno.dll
09.03.2006 15:29 303.104 nvwrstr.dll
09.03.2006 15:29 81.920 nvwddi.dll
09.03.2006 15:29 163.840 nvwrszhc.dll
09.03.2006 15:29 167.936 nvwrszht.dll
09.03.2006 15:29 270.336 nvrsnl.dll
09.03.2006 15:29 258.048 nvrshu.dll
09.03.2006 15:29 73.728 nvtuicpl.cpl
09.03.2006 15:29 323.584 nvrshe.dll
09.03.2006 15:29 1.519.616 nwiz.exe
09.03.2006 15:29 282.624 nvwrsar.dll
09.03.2006 15:29 282.624 nvrsfr.dll
09.03.2006 15:29 245.760 nvrsfi.dll
09.03.2006 15:29 278.528 nvrsit.dll
09.03.2006 15:29 143.436 nvsvc32.exe
09.03.2006 15:29 466.944 nvshell.dll
09.03.2006 15:29 122.880 nvrszht.dll
09.03.2006 15:29 221.184 nvrszhc.dll
09.03.2006 15:29 266.240 nvrsptb.dll
09.03.2006 15:29 253.952 nvrstr.dll
09.03.2006 15:29 270.336 nvrsesm.dll
09.03.2006 15:29 278.528 nvrses.dll
09.03.2006 15:29 245.760 nvrseng.dll
09.03.2006 15:29 278.528 nvrsel.dll
09.03.2006 15:29 274.432 nvrsde.dll
09.03.2006 15:29 249.856 nvrsda.dll
09.03.2006 15:29 245.760 nvrscs.dll
09.03.2006 15:29 327.680 nvrsar.dll
09.03.2006 15:29 5.419.008 nvoglnt.dll
09.03.2006 15:29 286.720 nvnt4cpl.dll
09.03.2006 15:29 86.016 nvmctray.dll
09.03.2006 15:29 45.056 nvmccsrs.dll
09.03.2006 15:29 229.376 nvmccs.dll
09.03.2006 15:29 1.466.368 nview.dll
09.03.2006 15:29 249.856 nvrssv.dll
09.03.2006 15:29 253.952 nvrssl.dll
09.03.2006 15:29 253.952 nvrssk.dll
09.03.2006 15:29 258.048 nvrsko.dll
09.03.2006 15:29 573.440 nvhwvid.dll
09.03.2006 15:29 3.968.512 nv4_disp.dll
09.03.2006 15:29 98.304 nvapi.dll
09.03.2006 15:29 442.368 nvappbar.exe
09.03.2006 15:29 294.912 nvwrssv.dll
09.03.2006 15:29 266.240 nvrsja.dll
09.03.2006 15:29 1.339.392 nvdspsch.exe
09.03.2006 15:29 35.840 nvcod.dll
09.03.2006 15:29 266.240 nvrsru.dll
09.03.2006 15:29 16.960 nvdisp.nvu
09.03.2006 15:29 335.872 nvwrses.dll
09.03.2006 15:29 35.840 nvcodins.dll
09.03.2006 15:29 147.456 nvcolor.exe
09.03.2006 15:29 7.561.216 nvcpl.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
21.02.2006 21:45 113.376 FNTCACHE.DAT
11.02.2006 04:08 913.408 contfilt.dll
11.02.2006 03:58 335.872 mwtsp.dll
11.02.2006 03:56 110.592 mwnsp.dll

Lass mal folgende Datei bei Virustotal auswerten:
c:\windows\system32\shell32.dll

poste danach das Ergebnis.

Gruß
Daniel