Guten Abend zusammen

Hm, ich habe seit heute ein grosses Problem mit meinem Rechner.
Habe auch schon ausgiebigst gegooglet, leider habe ich bis jetzt aber keine Lösung für mein folgendes Problem gefunden:

Wenn ich meinen IE öffne dann gehen mit diesem noch in bis zwei Werbe Pop-Ups auf. Ich habe heute auch adware, spybot und antivir durchlaufen lassen und auch bei HijackThis mein log gepostet, nur sagen mir eigentlich alle bis auf spybot das alles i.O sei?! Spybot meldet mir weiterhin das microsoft.redirected.host ein Problem sei/habe. Habe auch mehrere Online- Scanner durchgeforstet, das komische daran, das eigentlich keiner funktioniert hat, da sich ständig diese Fenster durch das gewollte ersetzen.
Ich ahne übles... Bzw. hab nen sauschlechtes Gefühl

Ich bin einfach mal so frei und poste mein hijack log, in der Hoffnung, das mir da jemand schlaueres als ich es bin, weiterhelfen kann:

Logfile of HijackThis v1.99.1
Scan saved at 20:24:07, on 09.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXPPRO\System32\smss.exe
C:\WINXPPRO\system32\winlogon.exe
C:\WINXPPRO\system32\services.exe
C:\WINXPPRO\system32\lsass.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\System32\svchost.exe
C:\WINXPPRO\system32\LEXBCES.EXE
C:\WINXPPRO\system32\LEXPPS.EXE
C:\WINXPPRO\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXPPRO\system32\Ati2evxx.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Nokia\Nokia PC Suite 6\VFSWrapper.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe
C:\Dokumente und Einstellungen\###\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w#w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoveWGA] C:\Dokumente und Einstellungen\+++\Desktop\RemoveWGA.exe -startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [does way poke itch] C:\Dokumente und Einstellungen\All Users.WINXPPRO\Anwendungsdaten\media bleh does way\1cash.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Diddl_Scr.exe] C:\Dokumente und Einstellungen\+++\Desktop\fcn5\Fcn-Skript 5.0\download\Diddl_Scr.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [close axis] C:\DOKUME~1\MORI&N~1\ANWEND~1\GreatAnteRect\Sixth heck wave.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3F8907C-0C30-4272-9D96-95313926A868}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E921F330-E1C2-45EF-A44F-18C2B3134665}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXPPRO\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXPPRO\system32\LEXBCES.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXPPRO\system32\ZoneLabs\vsmon.exe


Lieben Dank schonmal im Vorraus.
Die Nina

Hi

Überprüfe mal bitte diese Dateien bei Virustotal:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\+++\Desktop\RemoveWGA.exe
C:\Dokumente und Einstellungen\All Users.WINXPPRO\Anwendungsdaten\media bleh does way\1cash.exe
C:\Dokumente und Einstellungen\+++\Desktop\fcn5\Fcn-Skript 5.0\download\Diddl_Scr.exe
C:\DOKUME~1\MORI&N~1\ANWEND~1\GreatAnteRect\Sixth heck wave.exe
         

MfG

Kann das sein das da "einige" komische Sachen laufen?
Ich fass mal zusammen, was mir da seltsam vorkommt:

Zitat:

O4 - HKLM\..\Run: [RemoveWGA] C:\Dokumente und Einstellungen\+++\Desktop\RemoveWGA.exe -startup
O4 - HKLM\..\Run: [does way poke itch] C:\Dokumente und Einstellungen\All Users.WINXPPRO\Anwendungsdaten\media bleh does way\1cash.exe
O4 - HKCU\..\Run: [Diddl_Scr.exe] C:\Dokumente und Einstellungen\+++\Desktop\fcn5\Fcn-Skript 5.0\download\Diddl_Scr.exe
O4 - HKCU\..\Run: [close axis] C:\DOKUME~1\MORI&N~1\ANWEND~1\GreatAnteRect\Sixth heck wave.exe

Die Einträge solltest du mal genauer betrachten.
Werte mal die Dateien, die im Zitat mit angegeben sind, online bei Jotti oder Virustotal aus und poste die Ergebnisse.

Zitat:

C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

Dieses Programm solltest du in Zukunft nicht mehr verwenden/installieren, denn es beinhaltet Spy- und Adware!

Also erstmal ein liebes Danke das sich jemand die Mühe macht und sich das Ganze mal anschaut.

Hm, habe zwei Sachen schonmal prüfen können:

Datei: Sixth_heck_wave.exe
Auslastung: 0% 100%

Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Obfuscated.1 (paranoid heuristics) gefunden (mögliche Variante)

1cash.exe :

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Obfuscated.1 (paranoid heuristics) gefunden (mögliche Variante)

So, das schonmal dazu.

Zu den anderen beiden eventuell kritischen Punkten, muss ich leider sagen, das ich trotz zehnmal nachschauen und einigen "Augenreibern" nichts! mehr vom fcn5 Skript finden konnte, noch war die diddl.exe an dem Platz wo sie eigentlich sein sollte. Die habe ich nämlich irgendwo durch die Suche in meinen Bildchen gefunden *suspekt* und überprüft, da sagt der online scan aber das kein Virus gefunden wurde...

Sagts mir nur, es steht nicht gut um meinen Kleinen? Ich fühle sowas

Gute Nacht zusammen bis dahin, die Nina

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Guten morgen

Habe eben mal beide scans durchlaufen lassen, hier nun die Ergebnisse:

12/10/06 10:17:15 [Info]: BlackLight Engine 1.0.47 initialized
12/10/06 10:17:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/10/06 10:17:15 [Note]: 7019 4
12/10/06 10:17:15 [Note]: 7005 0
12/10/06 10:17:16 [Note]: 7006 0
12/10/06 10:17:16 [Note]: 7011 1408
12/10/06 10:17:17 [Note]: 7026 0
12/10/06 10:17:17 [Note]: 7026 0
12/10/06 10:17:35 [Note]: FSRAW library version 1.7.1020
12/10/06 10:24:27 [Note]: 2000 1012
12/10/06 10:24:27 [Note]: 2000 1012
12/10/06 10:24:27 [Note]: 7007 0


ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________



Name: Not-A-Virus.Exploit.HTML.Mht
Path: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2L8BATA5\klingeltonpolyphon[1]
Risk: Low

Name: Adware.Yahoo
Path: C:\Dokumente und Einstellungen\###\Desktop\backups\backup-20060514-204712-796.dll
Risk: Medium

Name: Adware.NewDotNet
Path: C:\Dokumente und Einstellungen\###\Desktop\CEDP-Stealer-Setup.exe
Risk: Medium

Name: Heuristic.Win32.Morphine-Crypted
Path: C:\Dokumente und Einstellungen\###\Eigene Dateien\Eigene Musik\Ninji05\OnlineEye.Professional.v1.4.9d.SnD.by.GEAR.for.www.goldesel.6x.to\OnlineEye.Professional.v1.4.9d.SnD.by.GEAR.for.www.goldesel.6x.to\Keyg en\keygen.exe
Risk: Questionable

Name: Adware.Yahoo
Path: C:\Programme\Yahoo!\Messenger\ycomp.dll
Risk: Medium


Bis dahin, einen angenehmen Sonntag
Grüsschen, die Nina

Zitat:

C:\Dokumente und Einstellungen\###\Eigene Dateien\Eigene Musik\Ninji05\OnlineEye.Professional.v1.4.9d.SnD.b y.GEAR.for.www.goldesel.6x.to\OnlineEye.Profession al.v1.4.9d.SnD.by.GEAR.for.www.goldesel.6x.to\Keyg en\keygen.exe

wer lädt denn solche Dinger runter??

1. Software aus dubiosen Quellen führt man nicht aus.
2. Räum mal Dein System mit dem CCleaner auf, um temp. Dateien zu löschen.
3. Verabschiede dich vom IE (nutz ihn nicht mehr zum normalen Surfen) und nimm lieber Alternativbrowser wie Firefox oder Opera.
4. Richte dir ein eingeschränktes Benutzerkonto zumindest nur zum Surfen ein.
5. Fixe mit HijackThis folgende Einträge und lösch diese Dateien.

Zitat:

O4 - HKLM\..\Run: [does way poke itch] C:\Dokumente und Einstellungen\All Users.WINXPPRO\Anwendungsdaten\media bleh does way\1cash.exe
O4 - HKCU\..\Run: [Diddl_Scr.exe] C:\Dokumente und Einstellungen\+++\Desktop\fcn5\Fcn-Skript 5.0\download\Diddl_Scr.exe
O4 - HKCU\..\Run: [close axis] C:\DOKUME~1\MORI&N~1\ANWEND~1\GreatAnteRect\Sixth heck wave.exe

6. Starte dein System neu und mach einen Check mit eScan, folge dem Link in meiner Sig. Poste das mit der FIND.BAT erstellte Logfile.

Dann sehen wir mal weiter. Vllt. schadet es nicht, wenn du auch mal ein Log von datfind.bat postest.

Guten Abend

@cosinus
Habe mir eben mal Schritt 1- bis 5 vorgenommen, ähm auch zu Herzen genommen
Leider komme ich aber irgendwie nicht weiter.
Habe mir die Anleitung zum e-scan genauestens durchgelesen. Ich erkläre einfach mal was mich da ein wenig stutzig gemacht hat. Das erste was mir komisch vorkam, das ich eine fertige .exe beim downloaden erhalten habe und nicht wie beschrieben eine .zip Datei. Entpacken war demnach gar nicht nötig und der beschriebene Ordner 'C:\Bases_X' kam dabei auch nicht zu Stande.
Zweitens Problem, das der Update Vorgang abgebrochen wurde mit dem Hinweis : Update not successful!
Habe dies mehrere Male versucht, Firewall deaktiviert, trotzdem war mir das updaten nicht möglich.
Gescannt habe ich trotzdem einmal, wobei er aber nicht eine FIND.BAT Datei/Log erstellt hat. Gefunden hat er nichts, wobei ich mir gerade denke, das das ja bei einer alten Virendefinition durchaus möglich ist.

Bin ich einfach nur zu blöd? *g Oder mache ich da irgendwas falsch?
Nunja, wäre echt toll wenn ich da ein wenig weiter käme

Bis dahin, liebe Grüsse die Nina

Hier schon mal die logs von Datfind (vllt helfen die ja auch)
und ich hoffe ich habs auch richtig gemacht.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1078-D49E

Verzeichnis von C:\WINXPPRO\system32

11.12.2006 08:46 54.113 vsconfig.xml
09.12.2006 08:51 2.206 wpa.dbl
01.11.2006 07:40 37.760 perfc009.dat
01.11.2006 07:40 309.810 perfh007.dat
01.11.2006 07:40 305.318 perfh009.dat
01.11.2006 07:40 45.672 perfc007.dat
01.11.2006 07:40 705.468 PerfStringBackup.INI
27.10.2006 06:10 100.640 FNTCACHE.DAT
01.10.2006 17:03 42.614 QuickTime.qtp
07.09.2006 17:59 4.212 zllictbl.dat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1078-D49E

Verzeichnis von C:\

11.12.2006 17:58 0 systemtemp.txt
11.12.2006 17:58 101.876 system32.txt
11.12.2006 17:44 1.276 sys.txt
11.12.2006 17:44 2.281 down.txt
11.12.2006 17:44 528 tmp.txt
11.12.2006 17:43 10.729 system.txt
11.12.2006 17:06 26 Download.log
11.12.2006 08:44 402.653.184 pagefile.sys
10.12.2006 22:21 0 23990098.$$$
10.12.2006 22:06 204 bootini.uns



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1078-D49E

Verzeichnis von C:\WINXPPRO

11.12.2006 17:02 26 Lic.xxx
11.12.2006 08:45 1.462.741 WindowsUpdate.log
11.12.2006 08:44 50 wiaservc.log
11.12.2006 08:44 159 wiadebug.log
11.12.2006 08:44 2.048 bootstat.dat
10.12.2006 23:29 140 winamp.ini
10.12.2006 22:49 510.998 ntbtlog.txt
10.12.2006 22:31 666 win.ini
10.12.2006 22:21 227 system.ini
10.12.2006 22:21 968 general.log
10.12.2006 22:21 4.963 mailremv.log
10.12.2006 22:21 434 INST_TSP.LOG
10.12.2006 22:21 19.557 ESCAN.LOG
10.12.2006 22:15 873 frights.log
10.12.2006 22:09 589 MAILINST.LOG
10.12.2006 22:06 105.888 winsbak2.reg
10.12.2006 22:06 14.866 winsbak.reg
10.12.2006 10:27 174.907 setupapi.log
09.12.2006 22:29 116.991 wmsetup.log
08.12.2006 21:39 116 NeroDigital.ini
12.11.2006 18:18 736 RMTEMP~.EXE
13.10.2006 20:48 3.651 photoimpression.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1078-D49E

Verzeichnis von C:\WINXPPRO\Temp

11.12.2006 08:44 256 ZLT00c49.TMP
11.12.2006 08:44 256 ZLT00c29.TMP
11.12.2006 08:30 256 ZLT001b0.TMP
10.12.2006 22:51 256 ZLT0465c.TMP
10.12.2006 21:52 256 ZLT0192a.TMP
10.12.2006 21:52 256 ZLT01916.TMP
6 Datei(en) 1.536 Bytes
0 Verzeichnis(se), 3.061.002.240 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1078-D49E

Verzeichnis von C:\WINXPPRO\Downloaded Program Files

25.10.2006 12:18 385.536 Housecall_ActiveX.dll
14.10.2006 00:16 723 hcImpl.inf
11.07.2006 09:41 345.656 ewidoOnlineScan.dll
03.07.2006 07:05 1.180.102 vet.da1
31.01.2006 05:06 258.720 arclib.dll
21.12.2005 03:58 790.528 vete.dll
26.10.2005 08:52 4.313.912 vet.dat



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1078-D49E

Verzeichnis von C:\

11.12.2006 18:00 0 sys.txt
11.12.2006 17:59 2.281 down.txt
11.12.2006 17:59 528 tmp.txt
11.12.2006 17:59 10.729 system.txt
11.12.2006 17:58 1.276 systemtemp.txt
11.12.2006 17:58 101.876 system32.txt
11.12.2006 17:06 26 Download.log
11.12.2006 08:44 402.653.184 pagefile.sys
10.12.2006 22:21 0 23990098.$$$
10.12.2006 22:06 204 bootini.uns




Danke schonmal im Vorraus, an die lieben Helfer

Zitat:

Habe mir die Anleitung zum e-scan genauestens durchgelesen. Ich erkläre einfach mal was mich da ein wenig stutzig gemacht hat. Das erste was mir komisch vorkam, das ich eine fertige .exe beim downloaden erhalten habe und nicht wie beschrieben eine .zip Datei.

Die kannst die EXE-Datei auch entpacken. Besorg dir WinRAR oder so, falls noch nicht installiert, und klick mit rechts die MWAV.EXE an und sag entpacken nach MWAV. Den Ordner dann umbenennen in BASES_X.
Alternativ kannst du vllt. auch einen Onlinescan bei Kaspersky nochmal machen. Dazu musst du denn mit dem IE wegen ActiveX auf Kaspersky gehen und dort den Online-Scanner starten. Poste das Resultat.

Das Ergebnis von Datfind.bat sieht auch gut aus, ich erkenne da keine offensichtlich schädliche Datei. Was mich nur wundert, ist warum dort so wenig neue Dateien sich tummeln, wird vermutlich aber legitim sein.

Poste zum Abschluss auch noch mal ein neu erstelltes Hijackthis-Logfile.
Traten die Werbepopups eigentlich wieder auf?

So, da bin ich wieder

Dank dir Cosinus habe ichs nun doch geschafft. Habe aber doch lieber die Alternative gewählt, hihi.
Warum so wenig neue Dateien da sind, kann ich mir auch nicht erklären, da ich ganz ehrlich alles gepostet habe, Ich möchte doch gerne wissen, was mit meinem kleinen Liebling los ist
Seit heute sind auch die Werbe Fenster verschwunden, ich traute dem Braten eben noch nicht ganz, aber seitdem ich nun am Rechner bin, ca.17 Uhr ist Ruhe! Super!!! Und danke

Hier nun mal die Ergebnisse von kaspersky und noch das neueste HijackThis log: (ich hoffe das ist nicht zulang)

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 65361
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:42:33

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Eigene Dateien\Meine empfangenen Dateien\MsnMsgr.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\.###de\SharingMetadata\Logs\Dfsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\###de\SharingMetadata\pending.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\###de\SharingMetadata\Working\database_8010_78D6_1078_D49E\dfsr.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\###.de\SharingMetadata\Working\database_8010_78D6_1078_D49E\fsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\###de\SharingMetadata\Working\database_8010_78D6_1078_D49E\fsrtmp.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\###.de\SharingMetadata\Working\database_8010_78D6_1078_D49E\tmp.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\### Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\###\shadow\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\~DF2A47.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\~DF2A67.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\~DF5D7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\~DF674.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellunge###\Lokale Einstellungen\Temp\~DFCDBD.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006120420061211\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121120061212\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\###\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\cicat.fid Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\INDEX.000 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2 Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{A995B8DD-7694-45A1-91D6-EC1D76AA6463}\RP2\change.log Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINXPPRO\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 20:21:26, on 11.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXPPRO\System32\smss.exe
C:\WINXPPRO\system32\winlogon.exe
C:\WINXPPRO\system32\services.exe
C:\WINXPPRO\system32\lsass.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\System32\svchost.exe
C:\WINXPPRO\system32\LEXBCES.EXE
C:\WINXPPRO\system32\LEXPPS.EXE
C:\WINXPPRO\system32\spoolsv.exe
C:\WINXPPRO\system32\Ati2evxx.exe
C:\WINXPPRO\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINXPPRO\Explorer.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINXPPRO\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINXPPRO\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Mori & Nina\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3F8907C-0C30-4272-9D96-95313926A868}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E921F330-E1C2-45EF-A44F-18C2B3134665}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXPPRO\system32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXPPRO\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXPPRO\system32\ZoneLabs\vsmon.exe

Liebe Grüsse, Nina

Das sieht sehr gut aus. Hijackthis-Logfile spuckt nichts Ungewöhnliches aus.
Kaspersky OnlineScan findet auch nichts, das was da rausgekommen ist, dürften gelockte, legitime Systemdateien sein.
Ich weiß, leider ist das zusammen noch kein Anzeichen dafür, dass Dein System wirklich sauber ist. Aber ich würde sagen eher unwahrscheinlich, dass die Kiste noch was schlimmes drauf hat. Wenn du meinst die Kiste läuft nun reibungslos.:aplaus:

Superspitzenmässig

Da sage ich doch ersteinmal danke, an all die Netten Helfer und besonderen Dank auch an Cosinus. Im Moment macht mein Rechner jedenfalls keinerlei Probleme mehr, eigentlich ja schade*g War doch ganz nett hier

Wünsche allen besinnliche Weihnachtstage und einen guten Rutsch.
Toll das es dieses Forum hier gibt, damit auch so Doofies *g wie ich, wieder ein gutes Gefühl haben und keinen teuren Pc-Dienst rufen müssen.


Liebe Grüsse,
die Nina