Guten Tag allerseits,

dies ist mein erster Beitrag hier, weil ich im Netz schon allerlei zu dem Thema gesucht habe, und hier die Antworten doch am nächsten zum Thema erscheinen. Obwohl ich sagen muss, dass sie Vielzahl der Programme, die bei der Rettung des Systems offensichtlich nötig sind, mich doch verwirren und abschrecken.

Aber die einzige Alternative scheint doch das Neuaufsetzen von XP zu sein. Trotzdem wäre es nett, wenn sich hier jemand findet, der mir zuvor noch einige Fragen beantwortet:

Erstmal das Problem: Ich habe XP, Servicepack 2 bin ich mir nicht sicher, meine aber, bei entsprechender Aufforderung installiert zu haben. Auch habe ich das automatische Update nicht deaktiviert, und gelegentlich kommt auch ein Update rein.
Seit etwa zwei Wochen habe ich den Verdacht, dass meine DSL-Verbindung von AOL langsamer geworden ist. Test bei Wieistmeineip ergibt auch immer allenfalls durchschnittliche, oft unterdurchschnittliche Downloadwerte. Upload ist immer optimal. Eine Bescherde bei AOL brachte einige Einstellungstips, die aber keine Verbesserung brachten. Dann ist mir aufgefallen, dass meine Google-Ergebnisse immer zu diversen anderen Zielen führten, obwohl diese einen 'seriösen' Eindruck machen (Harware-Händler etc, ich meine jetzt PC-Hardware ), aber es sind eben fremde Ziele.

Ich habe ständig eine Macafee-Firewall laufen, dazu einen Avasta-Scanner, da ich trotz Firewall gelegentlich Virenprobleme hatte. Benutze den Avant-Browser. Der Scanner findet nichts.

Habe daher jetzt mal den evido-Scanner im abgesicherten Modus laufen lassen. Er findet 2 verschiedene Trojaner, davon aber etwa 20 mit hohem Risiko im Speicher, die sich aber nur kurz löschen lassen, beim nächsten Scan wieder da sind.

Ein HJT-Log habe ich gefertigt, habe aber null Ahnung, was mir diese Einträge sagen sollen. Poste es Heute Abend, bin jetzt auf einem anderen PC, auch weil gesagt wurde, man soll sofort die Netzverbindung kappen. Aber wie soll ich es dann posten? Werde wohl das Risiko nochmal eingehen müssen. Nach allem, was ich hier gelesen habe, wird es wohl diese Ukraine-Kiste sein.

Ach ja, die Fragen:

1. Ich habe gelegentlich ein Backup gemacht, auf eine externe Festplatte. Wenn ich die normale Platte formatiere, Windows neu aufsetze, dann das Backup wiederherstelle, was ist da alles mit drauf? Habe Hunderte-Programme und Datein, undendlich viele Fotoalben, auf der Festplatte, die sind doch nicht in dem kleinen Backup, oder? Was wird aus den Fotos, kann ich die nie wieder ansehen? Wenn ich formatiere sind sie weg, wenn ich sie vorher sichere, wird das System nach erneuter Ansicht wieder verseucht? Muss ich die externe Festplatte ebenfalls Formatieren? Schalte sie nur gelegentlich ein, zuletzt vielleicht vor einer Woche.

2. Hat schon mal jemand versucht, das Problem zu lösen, in dem Windows neu über das befallene System gespielt wurde, z. B. mit der Reparatur? Ich habe extreme Sorgen wg. der Datenverluste, die ich mit einer Formatierung hätte.

3. Die Meldungen über diese Umleitung in die Ukraine häufen sich doch gewaltig. Warum reagieren sie Scannerhersteller nicht? So ein Problem muss sich doch lösen lassen, ohne den ganzen PC mit allen Daten in die Tonne zu treten?

4. Meine Frau geht über WLAN über meinen PC ins Internet, ansonsten haben wir aber keine gegenseitigen Zugriffe auf die PCs. Kann auf ihrem PC ebenfalls eine Umleitung bestehen?

Alles in allem bin ich ziemlich deprimiert wg. der ganzen Sache. Außer bei Google habe ich bisher keine Nebenwirkungen gespürt, mich möchte aber auch verhindern, dass mein Konto plötzlich leergeräumt ist (Internetbanking, habe Homecash mit Disk und Passwort, kann jemand das Risiko einschätzen?)

Findet sich überhaupt jemand hier, der den beschwerlichen Weg einer Reinigung des Systems mit mir gehen würde? Und wenn ja - wie lange habe ich etwas davon, wenn meine verd.... Firewall nix dergleichen gemerkt hat?

Gruß
(ein verzweifelt-depressiver)
Krumbein

poste mal eine Hijackthis.log

Hallo,
das sind aber viele Fragen auf einmal...
Ich unterteile das mal ein bisserl.....
Zu 1.

Zitat:

Habe Hunderte-Programme und Datein, undendlich viele Fotoalben, auf der Festplatte, die sind doch nicht in dem kleinen Backup, oder?

Das wirst du selber beantworten müssen......Du mußt wissen was du alles "gebackupt" hast.Wie eigentlich hast du die Backup`s erstellt ?Mit einem Programm(Acronis o.Ghost) auf CD/Festplatte ?

Zitat:

Was wird aus den Fotos, kann ich die nie wieder ansehen? Wenn ich formatiere sind sie weg, wenn ich sie vorher sichere, wird das System nach erneuter Ansicht wieder verseucht? Muss ich die externe Festplatte ebenfalls Formatieren?

Fotos auf externe Platte/CD kopieren ist kein Problem.Keine Verseuchung, weil keine ausführbare Datei.Externe Platte =kommt drauf an was du da rübergespielt hast.Wann und wie oft sie im Rechner hing spielt dabei keine Rolle.Wichtiger ist was ist draufgekommen.Wenn das ersetzbar sein sollte,formatieren und dann Fotos,Dokumente,Word/Exeldateien rübermachen...
Zu 2.

Zitat:

2. Hat schon mal jemand versucht, das Problem zu lösen, in dem Windows neu über das befallene System gespielt wurde, z. B. mit der Reparatur?

Ist keine Lösung bei Trojanerbefall.Die wissen sich dagegen zu wehren.Drüberrödeln ist niemals eine Lösung.Da kommen dann so richtig Kryptische Fehlermeldungen...
Reperaturinstallation nur bei Schwierigkeiten mit dem System selbst.Beispielsweise wenn in der Registrierung rumgepfuscht wurde....
Zu 3.

Zitat:

So ein Problem muss sich doch lösen lassen, ohne den ganzen PC mit allen Daten in die Tonne zu treten?

Jo läßt sich lösen...
Nicht jeden Mist runterladen,auch wenn er noch so dolle /umsonst/unverzichtbar sein will...
Zu 4.
Erstelle ein HijackThis-Log auch von diesem Rechner,mache aber bitte darauf aufmerksam,welches Log zu welchem PC gehört.

Zitat:

Und wenn ja - wie lange habe ich etwas davon, wenn meine verd.... Firewall nix dergleichen gemerkt hat?

Du und deine Firewall sind die beiden Letzten die was merken...das liegt in der Natur beider Sachen..:aplaus:
Dein W-Lan Router kann/sollte als Firewall tauglich sein.Hundert mal besser als jede Desktopfirewall wie du eine benutzt.Siehe das Handbuch dazu ! hast du keins,stelle den Hersteller und Modelltyp fest,suche beim Hersteller nach der Dokumentation zum Router,läßt sich runterladen.
Irrlicht

Zitat:

Zitat von Krumbein

1. Ich habe gelegentlich ein Backup gemacht, auf eine externe Festplatte. Wenn ich die normale Platte formatiere, Windows neu aufsetze, dann das Backup wiederherstelle, was ist da alles mit drauf?

Das kommt natürlich drauf an, was das Backup alles umfasst. Die Frage kannst du nur selbst beantworten; im Forum weiss ja keiner, mit welchem Programm und mit welchen Einstellungen du das Backup gemacht hast.

Zitat:

3. Die Meldungen über diese Umleitung in die Ukraine häufen sich doch gewaltig. Warum reagieren sie Scannerhersteller nicht?

Gegenfrage: Warum bleiben die User "dumm"? Virenfrei zu bleiben ist nun wirklich nicht besonders schwer, wenn man sich an ein paar Grundregeln hält. (siehe "Pflichtlektüre" in der Signatur!)

Zitat:

4. Meine Frau geht über WLAN über meinen PC ins Internet, ansonsten haben wir aber keine gegenseitigen Zugriffe auf die PCs. Kann auf ihrem PC ebenfalls eine Umleitung bestehen?

Möchte ich nicht ausschließen, du kannst ja ein Hijackthislog von deiner Frau unter Verweis auf diesen Thread in einen neuen Thread posten (mit kurzer Situatiosnbeschreibung, bitte.)

Zitat:

Alles in allem bin ich ziemlich deprimiert wg. der ganzen Sache. Außer bei Google habe ich bisher keine Nebenwirkungen gespürt, mich möchte aber auch verhindern, dass mein Konto plötzlich leergeräumt ist (Internetbanking, habe Homecash mit Disk und Passwort, kann jemand das Risiko einschätzen?)

Ich würde bei HBCI (ich nehme an, das steckt hinter deinem Zugang) das Risiko als gering einschätzen. Trotzdem solltest du, wenn möglich, das Passwort ändern mit einem sauberen Rechner. Und in der nächsten Zeit möglichst täglich deine Umsätze checken, und bei Verdacht sofort die Bank verständigen. Abgehende Überweisungen können so u.U. noch zurückgeholt werden.

Zitat:

Findet sich überhaupt jemand hier, der den beschwerlichen Weg einer Reinigung des Systems mit mir gehen würde? Und wenn ja - wie lange habe ich etwas davon, wenn meine verd.... Firewall nix dergleichen gemerkt hat?

Ob sich eine manuelle Reinigung lohnt, das wird das Hijackthis-Log zeigen. Wie lange du etwas davon hast? Kommt drauf an, wie sicher du dein System konfigurierst und du dich verhältst. Sicherheit ist letztendlich keine Frage von zusätzlicher "Schutzsoftware".

Hallo, irrlicht.

Gruß
Yopie

Also gut (oder auch nicht), ich habe bisher gelernt, wer was bei 017 hat, den kannste vergessen.

Logfile of HijackThis v1.99.1
Scan saved at 19:32:31, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\csrss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNEU\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNEU\system32\wbem\wmiprvse.exe
C:\WINNEU\System32\alg.exe
C:\WINNEU\eHome\ehmsas.exe
C:\WINNEU\system32\dllhost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&LogUID=&CurrentPage=MyeBaySummary&migrateVisitor=3
R3 - URLSearchHook: (no name) - {E5CB5D6B-7129-1B7B-36C1-8CFAA75A03FE} - UserSp1.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [Shaitan1678] sysconf16.exe
O4 - HKLM\..\Run: [teqq32] MNTP.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [cmon14] TorontoMail.exe
O4 - HKCU\..\Run: [CToolBar] killall.exe
O4 - HKCU\..\Run: [ms-its] StartCpl.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06CABA3D-45B2-469C-B08B-293C7CE2AD5D}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{342908A2-7B27-4635-A434-F88EF6B77DF5}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{602FF43E-A907-4AD8-B66A-08654CEE96A8}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{9474E82A-14B5-4740-92B9-679F34FAD71E}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.28 85.255.112.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{06CABA3D-45B2-469C-B08B-293C7CE2AD5D}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.28 85.255.112.99
O17 - HKLM\System\CS2\Services\Tcpip\..\{06CABA3D-45B2-469C-B08B-293C7CE2AD5D}: NameServer = 85.255.114.28,85.255.112.99
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.28 85.255.112.99
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

Und nu?
Krumbein

Zitat:

Zitat von Krumbein

Also gut (oder auch nicht), ich habe bisher gelernt, wer was bei 017 hat, den kannste vergessen.

Das wäre zu einfach.

Fix die 017er-Einträge mit 85.255.* (Ukraine!) mit Hijackthis, und mach einen eScan nach Anleitung. Poste die Funde mit der find.bat. In der Anleitung (siehe Signatur!) ist alles beschrieben!

Gruß
Yopie

Hallo Yopi,

leider habe ich es versaut. Nachdem ich escan runtergeladen habe, hat er sich selber aktualisiert. Daraufhin wollte ich das System einmal rauf und runterfahren, bin aber dann aus dem zimmer gegangen. Als ich wiederkam, hatte er bereits in Deutsch jede Menge gescannt und auch Viren gefunden, aber kein Protokoll angefertigt. Ich bin dann in den abgesicherten Modus und habe mehrere Scans durchgeführt, die alle bei ca. 20.000 untersuchten Datein abgebrochen wurden. Bis dort hat er keine Viren mehr gefunden.

Ich habe dann nochmal hijack laufen lassen, sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:46:52, on 24.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNEU\System32\smss.exe
C:\WINNEU\system32\csrss.exe
C:\WINNEU\system32\winlogon.exe
C:\WINNEU\system32\services.exe
C:\WINNEU\system32\lsass.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\System32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\svchost.exe
C:\WINNEU\system32\spoolsv.exe
C:\WINNEU\system32\Ati2evxx.exe
C:\WINNEU\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNEU\eHome\ehRecvr.exe
C:\WINNEU\eHome\ehSched.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNEU\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINNEU\system32\wbem\wmiprvse.exe
C:\WINNEU\system32\dllhost.exe
C:\WINNEU\System32\alg.exe
C:\WINNEU\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINNEU\eHome\ehmsas.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNEU\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNEU\system32\PuXpMan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINNEU\system32\ctfmon.exe
C:\Programme\Valve\Steam\Steam.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\123Loads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {E5CB5D6B-7129-1B7B-36C1-8CFAA75A03FE} - UserSp1.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINNEU\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNEU\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mspwr] C:\WINNEU\system32\PuXpMan.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNEU\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\hcwlight\wzed.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNEU\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\winneu\system32\mwtsp.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4841/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINNEU\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNEU\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNEU\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Das war aber doch sicher noch nicht alles, oder? Im Browser ist meine Startseite verschwunden, sonst ist kein Unterschied. Google leitet immer noch um, und die Geschwindigkeit ist ebenfalls mäßig.

Hast Du noch eine Idee?
Gruß
Krumbein

Hallo,
die Beiden noch fixen(in HijackThis anhaken und "fix checked" klicken)

Zitat:

R3 - URLSearchHook: (no name) - {E5CB5D6B-7129-1B7B-36C1-8CFAA75A03FE} - UserSp1.dll (file missing)
O1 - Hosts: localhost 127.0.0.1

Falsche Datei bei EScan erwischt...

Zitat:

Nachdem ich escan runtergeladen habe, hat er sich selber aktualisiert.

So recht gelesen hast du die Anleitung nicht,oder ? In deinem Log fehlt nämlich ein nötiges Programm...
Du sollst nach der Anleitung die Datei aufzippen,daher der Link mit "Winrar".Das ist so ein Zipper.Auch der Name der EScan Datei die dafür benutzt werden muß ist wichtig,sie kommt,wenn du dem Link folgst weiter unten (letzter oder vorletzter Download).
Lösche alles was mit EScan derzeit auf deinem Rechner ist und beginne nocheinmal von vorne.Ebenfalls der rote Punkt 5 verdient deine Beachtung,ganz unten ist die Downloadmöglichkeit.

Die Anleitung ist deshalb so geschrieben,wie sie geschrieben ist, damit man sich Punktgenau daran hält....
Irrlicht

Zitat:

Zitat von Krumbein

Ich denke auch, dass alle anderen interessierten Leser, und die hat es ja offensichtlich gegeben, gemerkt haben, dass ein solcher Reinigungsprozess nicht viel weniger Aufwand macht, als eine Formatierung mit Neuinstallation.

Dein Wort in Gottes Gehör.