Also habe gestern Kaspersky Anti Virus aufgespielt und er hat alles bereinigt ,nun macht aber der explorer selbständig und öffnet sich mit werbung. Hi Jack Auswertung wurde soeben kontrolliert ,alles okay .aber der spuckgeht weiter .
Hier mein Log File , bitte um Rat .

Danke vorab!

Logfile of HijackThis v1.99.1
Scan saved at 18:55:08, on 07.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.divx.com/divx/mastermind/trymastermind.php
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\irlvceyo.dll",setvm
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A267DC02-C805-4C7F-A6A0-AC84CE120091}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

Hallo.

Na hättest du mal kaspersky von Anfang an gehabt..

Scann bitte folgende Datei auf Virustotal und poste das Ergebnis mit ALLEN Angaben:
"C:\WINDOWS\System32\irlvceyo.dll"

Dann machst du einen eScan. ANLEITUNG in meiner Signatur, diese HAARGENAU BEFOLGEN!

mfg

Undoreal

Hallo undoreal vielen dank, ja stimmt hätte ich vorher haben sollenhier ergebnis von virustotal
AntiVir 7.3.1.41 03.07.2007 HEUR/Crypted
Authentium 4.93.8 03.07.2007 no virus found
Avast 4.7.936.0 03.07.2007 no virus found
AVG 7.5.0.447 03.07.2007 no virus found
BitDefender 7.2 03.07.2007 no virus found
CAT-QuickHeal 9.00 03.07.2007 no virus found
ClamAV devel-20060426 03.07.2007 no virus found
DrWeb 4.33 03.07.2007 Trojan.Virtumod
eSafe 7.0.14.0 03.07.2007 no virus found
eTrust-Vet 30.6.3461 03.07.2007 Win32/Vundo!generic
Ewido 4.0 03.07.2007 no virus found
FileAdvisor 1 03.07.2007 no virus found
Fortinet 2.85.0.0 03.07.2007 suspicious
F-Prot 4.3.1.45 03.07.2007 no virus found
F-Secure 6.70.13030.0 03.07.2007 no virus found
Ikarus T3.1.1.3 03.07.2007 no virus found
Kaspersky 4.0.2.24 03.07.2007 no virus found
McAfee 4978 03.06.2007 no virus found
Microsoft 1.2204 03.07.2007 no virus found
NOD32v2 2101 03.07.2007 no virus found
Norman 5.80.02 03.07.2007 no virus found
Panda 9.0.0.4 03.07.2007 no virus found
Prevx1 V2 03.07.2007 no virus found
Sophos 4.15.0 03.07.2007 Virtumundo
Sunbelt 2.2.907.0 03.05.2007 no virus found
Symantec 10 03.07.2007 no virus found
TheHacker 6.1.6.072 03.07.2007 no virus found
UNA 1.83 03.07.2007 no virus found
VBA32 3.11.2 03.07.2007 no virus found
VirusBuster 4.3.19:9 03.07.2007 no virus found

aber welche anleitung meinst du ??? kannste den link dierekt in die antwort setzen .Vielen Dank!!

Arbeite das hier ab:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Hier das Ergebnis von find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Mar 07 20:44:49 2007 => Version 9.1.7
Wed Mar 07 20:43:11 2007 => Virus-Datenbank Datum: 3/7/2007
Wed Mar 07 20:48:12 2007 => Virus-Datenbank Datum: 3/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Mar 07 20:48:11 2007 => System found infected with eboscro Worm (C:\WINDOWS\system32\iexplore.exe)! Action taken: Einträge entfernt.
Wed Mar 07 20:48:11 2007 => System found infected with wareout Adware (C:\WINDOWS\system32\spoolsvc.exe)! Action taken: Einträge entfernt.
Wed Mar 07 20:48:11 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Mar 07 20:48:11 2007 => Offending file found: C:\WINDOWS\system32\iexplore.exe
Wed Mar 07 20:48:11 2007 => Offending file found: C:\WINDOWS\system32\spoolsvc.exe
Wed Mar 07 20:48:11 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Mar 07 20:48:12 2007 => Gefundene Viren: 3
Wed Mar 07 20:48:12 2007 => Anzahl Fehler: 6
Wed Mar 07 20:48:12 2007 => Dauer des Scans bisher: 00:03:12
Wed Mar 07 20:48:12 2007 => Gescannte Dateien: 6518
Wed Mar 07 20:44:49 2007 => Specherüberprüfung: Aktiviert
Wed Mar 07 20:44:49 2007 => Registry Überprüfung: Aktiviert
Wed Mar 07 20:44:49 2007 => System-Ordner Überprüfung: Aktiviert
Wed Mar 07 20:44:49 2007 => Überprüfung der Systembereiche: Deaktiviert
Wed Mar 07 20:44:49 2007 => Überprüfung der Dienste: Aktiviert


Und NU???

Hä? Das verstehe ich nicht.

Da müssten auffällige keys sein.!. oder bin ich grad zu blöde?

Egal..

Arbeite mal das hier ab:

Zitat:

Arbeite das hier ab:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

mfg

Undoreal