Hallöchen,

habe mir vor kurzem einen Werbetrojaner eingefangen und es auch scheinbar geschafft ihn irgendwie zu löschen. Zumindest springen keine Werbepopups mehr auf.
Könnte vielleicht nochmal jemand über das Logfile schauen, ob da vielleicht noch was auffälliges drinsteht?

Vielen Dank
Seiji

Logfile of HijackThis v1.99.1
Scan saved at 14:02:37, on 28.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.com/de
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5AD988C7-88A7-4ADC-AD77-C780F50C5415} - (no file)
O2 - BHO: (no name) - {6C622D52-0612-414B-A063-105A614D396F} - C:\WINDOWS\system32\qomjkii.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - (no file)
O2 - BHO: (no name) - {ECEA6524-7324-49F5-A817-318263F8571D} - (no file)
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\ttcagkfo.dll",realset
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.club-vaio.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by118fd.bay118.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174713650837
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: efefc - C:\WINDOWS\system32\efefc.dll (file missing)
O20 - Winlogon Notify: qomjkii - C:\WINDOWS\SYSTEM32\qomjkii.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe

Zitat:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Den Eintrag fixen.

Zitat:

O20 - Winlogon Notify: efefc - C:\WINDOWS\system32\efefc.dll (file missing)
O20 - Winlogon Notify: qomjkii - C:\WINDOWS\SYSTEM32\qomjkii.dll

Die sind mir unbekannt...mach mal bitte einen eScan.. http://www.trojaner-board.de/38066-e...tml#post263946

Danke!
Werd ich machen und das Ergebnis sofort mitteilen.

Habe meinen Rechner jetzt mit Escan gescannt. Hier ist das Ergebnis der find.bat Datei...


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Englisch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Sat Apr 28 14:37:16 2007 => Virus Database Date: 4/27/2007
Sat Apr 28 15:13:03 2007 => Virus Database Date: 4/27/2007
Sat Apr 28 15:16:56 2007 => Virus Database Date: 4/27/2007
Sat Apr 28 15:18:25 2007 => Virus Database Date: 4/27/2007
Sat Apr 28 16:32:53 2007 => Virus Database Date: 4/27/2007
Sat Apr 28 16:37:26 2007 => Virus Database Date: 4/27/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 28 14:38:19 2007 => System found infected with w32.myzor.fk@yf Trojan (pmuninst.exe)! Action taken: No Action Taken.
Sat Apr 28 14:38:19 2007 => System found infected with zipitpro Spyware/Adware (unace.dll)! Action taken: No Action Taken.
Sat Apr 28 14:38:21 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unace.dll)! Action taken: No Action Taken.
Sat Apr 28 14:38:21 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
Sat Apr 28 15:19:19 2007 => System found infected with w32.myzor.fk@yf Trojan (pmuninst.exe)! Action taken: No Action Taken.
Sat Apr 28 15:19:19 2007 => System found infected with zipitpro Spyware/Adware (unace.dll)! Action taken: No Action Taken.
Sat Apr 28 15:19:21 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unace.dll)! Action taken: No Action Taken.
Sat Apr 28 15:19:21 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
Sat Apr 28 14:38:16 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Apr 28 15:19:16 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sat Apr 28 15:02:05 2007 => File C:\WINDOWS\system32\ailnupiu.dll infected by "Trojan-Spy.Win32.VBStat.h" Virus! Action Taken: No Action Taken.
Sat Apr 28 15:05:24 2007 => File G:\XP\Software\Sauger\bobdown.zip/Bob Down 0.73.exe infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Sat Apr 28 15:11:19 2007 => File C:\WINDOWS\system32\ailnupiu.dll infected by "Trojan-Spy.Win32.VBStat.h" Virus! Action Taken: No Action Taken.
Sat Apr 28 15:19:33 2007 => File C:\WINDOWS\system32\ailnupiu.dll infected by "Trojan-Spy.Win32.VBStat.h" Virus! Action Taken: No Action Taken.
Sat Apr 28 16:20:02 2007 => File C:\WINDOWS\system32\ailnupiu.dll infected by "Trojan-Spy.Win32.VBStat.h" Virus! Action Taken: No Action Taken.
Sat Apr 28 16:24:13 2007 => File G:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP103\A0023695.exe//data0079 infected by "Trojan.Win32.Obfuscated.en" Virus! Action Taken: No Action Taken.
Sat Apr 28 16:24:18 2007 => File G:\Recycled\Dg2.zip/Bob Down 0.73.exe infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Apr 28 14:37:48 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 14:37:56 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 14:38:00 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 14:39:23 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 14:39:35 2007 => File C:\WINDOWS\system32\ttcagkfo.dll//Virtumonde tagged as "not-a-virus:AdWare.Win32.Virtumonde.hb". Action Taken: No Action Taken.
Sat Apr 28 14:41:35 2007 => File C:\Dokumente und Einstellungen\Seijii\Lokale Einstellungen\Temp\huplpbqw.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ir". Action Taken: No Action Taken.
Sat Apr 28 14:55:57 2007 => File C:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP118\A0033965.DLL//UPX tagged as "not-a-virus:AdWare.Win32.Stud.d". Action Taken: No Action Taken.
Sat Apr 28 15:03:31 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 15:03:45 2007 => File C:\WINDOWS\system32\ttcagkfo.dll//Virtumonde tagged as "not-a-virus:AdWare.Win32.Virtumonde.hb". Action Taken: No Action Taken.
Sat Apr 28 15:04:09 2007 => File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP101\A0022259.exe//data0009 tagged as "not-a-virus:NetTool.Win32.Winfingerprint". No Action Taken.
Sat Apr 28 15:04:15 2007 => File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP101\A0022266.exe//data0002 tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC-based.c". No Action Taken.
Sat Apr 28 15:04:16 2007 => File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP101\A0022272.exe//data0007 tagged as "not-a-virus:NetTool.Win32.NStealth.52". No Action Taken.
Sat Apr 28 15:04:38 2007 => File G:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP118\A0033969.exe tagged as "not-a-virus:PSWTool.Win32.Brutus". No Action Taken.
Sat Apr 28 15:05:09 2007 => File G:\XP\Software\CrackedSoftware\Neuer Ordner (2)\brutus-aet2.zip/BrutusA2.exe tagged as "not-a-virus:PSWTool.Win32.Brutus". No Action Taken.
Sat Apr 28 15:12:28 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 15:12:46 2007 => File C:\WINDOWS\system32\ttcagkfo.dll//Virtumonde tagged as "not-a-virus:AdWare.Win32.Virtumonde.hb". Action Taken: No Action Taken.
Sat Apr 28 15:18:58 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 15:19:04 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 15:19:06 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 15:19:49 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 15:19:54 2007 => File C:\WINDOWS\system32\ttcagkfo.dll//Virtumonde tagged as "not-a-virus:AdWare.Win32.Virtumonde.hb". Action Taken: No Action Taken.
Sat Apr 28 15:22:57 2007 => File C:\Dokumente und Einstellungen\Seijii\Lokale Einstellungen\Temp\huplpbqw.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ir". Action Taken: No Action Taken.
Sat Apr 28 16:04:26 2007 => File C:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP118\A0033965.DLL//UPX tagged as "not-a-virus:AdWare.Win32.Stud.d". Action Taken: No Action Taken.
Sat Apr 28 16:21:35 2007 => File C:\WINDOWS\system32\qomjkii.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.ib". Action Taken: No Action Taken.
Sat Apr 28 16:21:50 2007 => File C:\WINDOWS\system32\ttcagkfo.dll//Virtumonde tagged as "not-a-virus:AdWare.Win32.Virtumonde.hb". Action Taken: No Action Taken.
Sat Apr 28 16:23:12 2007 => File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP101\A0022259.exe//data0009 tagged as "not-a-virus:NetTool.Win32.Winfingerprint". No Action Taken.
Sat Apr 28 16:23:12 2007 => File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP101\A0022266.exe//data0002 tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC-based.c". No Action Taken.
Sat Apr 28 16:23:13 2007 => File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP101\A0022272.exe//data0007 tagged as "not-a-virus:NetTool.Win32.NStealth.52". No Action Taken.
Sat Apr 28 16:24:15 2007 => File G:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP118\A0033969.exe tagged as "not-a-virus:PSWTool.Win32.Brutus". No Action Taken.
Sat Apr 28 16:25:32 2007 => File G:\XP\Software\CrackedSoftware\Neuer Ordner (2)\brutus-aet2.zip/BrutusA2.exe tagged as "not-a-virus:PSWTool.Win32.Brutus". No Action Taken.
Sat Apr 28 16:25:40 2007 => File G:\XP\Software\CrackedSoftware\MediaPlayer\bsplayer212.941_clip.exe//data0012 tagged as "not-a-virus:AdTool.Win32.WhenU.a". No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Apr 28 14:38:19 2007 => Offending file found: C:\WINDOWS\system32\pmuninst.exe
Sat Apr 28 14:38:19 2007 => Offending file found: C:\WINDOWS\system32\unace.dll
Sat Apr 28 14:38:21 2007 => Offending file found: C:\WINDOWS\system32\unace.dll
Sat Apr 28 14:38:21 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Sat Apr 28 15:19:19 2007 => Offending file found: C:\WINDOWS\system32\pmuninst.exe
Sat Apr 28 15:19:19 2007 => Offending file found: C:\WINDOWS\system32\unace.dll
Sat Apr 28 15:19:21 2007 => Offending file found: C:\WINDOWS\system32\unace.dll
Sat Apr 28 15:19:21 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sat Apr 28 14:38:16 2007 => Offending Key found: HKLM\Software\magnet !!!
Sat Apr 28 15:19:16 2007 => Offending Key found: HKLM\Software\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 28 14:38:00 2007 => Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Sat Apr 28 14:38:00 2007 => Invalid Entry DllName = C:\WINDOWS\system32\efefc.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efefc). Deleting Registry Key efefc...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 28 14:40:04 2007 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityInternetExplorer.zip: Scanning Failure!!!
Sat Apr 28 14:45:52 2007 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask: Scanning Failure!!!
Sat Apr 28 15:04:32 2007 => Result: ERROR!!! File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP107\A0026928.exe: Scanning Failure!!!


Sat Apr 28 15:04:42 2007 => Result: ERROR!!! File G:\FOUND.002\FILE0000.CHK: Scanning Failure!!!
Sat Apr 28 15:05:44 2007 => Result: ERROR!!! File G:\XP\Software\rar-password-recovery.exe: Scanning Failure!!!
Sat Apr 28 15:20:32 2007 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityInternetExplorer.zip: Scanning Failure!!!
Sat Apr 28 15:48:15 2007 => Result: ERROR!!! File C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WIS78CC3BABDE2A4FB48FBBE4DADDC26747_1_0_6.MSI: Scanning Failure!!!
Sat Apr 28 15:52:33 2007 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask: Scanning Failure!!!
Sat Apr 28 16:04:23 2007 => Result: ERROR!!! File C:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP117\A0033843.msi: Scanning Failure!!!
Sat Apr 28 16:22:33 2007 => Result: ERROR!!! File D:\Langenscheidt Englisch\ls_prof_6.0_englisch.part2.rar: Scanning Failure!!!
Sat Apr 28 16:22:33 2007 => Result: ERROR!!! File D:\Langenscheidt Englisch\ls_prof_6.0_englisch.part3.rar: Scanning Failure!!!
Sat Apr 28 16:22:33 2007 => Result: ERROR!!! File D:\Langenscheidt Englisch\ls_prof_6.0_englisch.part4.rar: Scanning Failure!!!
Sat Apr 28 16:22:35 2007 => Result: ERROR!!! File D:\Neuer Ordner (2)\kasperle.rar: Scanning Failure!!!
Sat Apr 28 16:23:20 2007 => Result: ERROR!!! File D:\System Volume Information\_restore{0FED9BFA-CCAA-4463-AF26-B2619BC7D09C}\RP107\A0026928.exe: Scanning Failure!!!


Sat Apr 28 16:24:18 2007 => Result: ERROR!!! File G:\FOUND.002\FILE0000.CHK: Scanning Failure!!!
Sat Apr 28 16:31:43 2007 => Result: ERROR!!! File G:\XP\Software\rar-password-recovery.exe: Scanning Failure!!!
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 28 15:13:03 2007 => Total Critical Objects: 24
Sat Apr 28 16:32:53 2007 => Total Critical Objects: 24
Sat Apr 28 15:13:03 2007 => Total Disinfected Objects: 0
Sat Apr 28 16:32:53 2007 => Total Disinfected Objects: 0
Sat Apr 28 15:13:03 2007 => Total Objects Renamed: 0
Sat Apr 28 16:32:53 2007 => Total Objects Renamed: 0
Sat Apr 28 15:13:03 2007 => Total Deleted Objects: 0
Sat Apr 28 16:32:53 2007 => Total Deleted Objects: 0
Sat Apr 28 15:13:03 2007 => Total Errors: 19
Sat Apr 28 16:32:53 2007 => Total Errors: 24
Sat Apr 28 15:13:03 2007 => Time Elapsed: 00:35:15
Sat Apr 28 16:32:53 2007 => Time Elapsed: 01:13:49
Sat Apr 28 15:13:03 2007 => Total Objects Scanned: 101154
Sat Apr 28 16:32:53 2007 => Total Objects Scanned: 81805
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 28 14:37:44 2007 => Memory Check: Enabled
Sat Apr 28 15:18:56 2007 => Memory Check: Enabled
Sat Apr 28 14:37:44 2007 => Registry Check: Enabled
Sat Apr 28 15:18:56 2007 => Registry Check: Enabled
Sat Apr 28 14:37:44 2007 => System Folder Check: Enabled
Sat Apr 28 15:18:56 2007 => System Folder Check: Enabled
Sat Apr 28 14:37:44 2007 => System Area Check: Disabled
Sat Apr 28 15:18:56 2007 => System Area Check: Disabled
Sat Apr 28 14:37:44 2007 => Services Check: Enabled
Sat Apr 28 15:18:56 2007 => Services Check: Enabled
Sat Apr 28 14:37:44 2007 => Drive Check: Disabled
Sat Apr 28 14:37:44 2007 => All Drive Check :Enabled
Sat Apr 28 15:18:56 2007 => Drive Check: Disabled
Sat Apr 28 15:18:56 2007 => All Drive Check :Enabled
Sat Apr 28 14:37:44 2007 => All Drive Check :Enabled
Sat Apr 28 14:40:14 2007 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Disabled objects for all users\*.*
Sat Apr 28 14:40:14 2007 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Disabled objects for all users\Adobe Gamma Loader.lnk
Sat Apr 28 14:50:57 2007 => Scanning File C:\Programme\Paragon Software\Partition Manager 8.0 Professional\Program\Resource\img\ApplyAll_disabled.png [**]
Sat Apr 28 14:51:00 2007 => Scanning File C:\Programme\Paragon Software\Partition Manager 8.0 Professional\Program\Resource\img\RevokeAll_disabled.png [**]
Sat Apr 28 15:18:56 2007 => All Drive Check :Enabled
Sat Apr 28 15:20:58 2007 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Disabled objects for all users\*.*
Sat Apr 28 15:20:58 2007 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Disabled objects for all users\Adobe Gamma Loader.lnk
Sat Apr 28 15:53:54 2007 => Scanning File C:\Programme\Paragon Software\Partition Manager 8.0 Professional\Program\Resource\img\ApplyAll_disabled.png
Sat Apr 28 15:54:00 2007 => Scanning File C:\Programme\Paragon Software\Partition Manager 8.0 Professional\Program\Resource\img\RevokeAll_disabled.png

Den ganzen Rechner kannste inne Tonne kloppen, so zugemüllt mit Malware ist der.
Bei Deiner Adware handelt es sich um eine bestimmte Untergruppe von Trojanern, die versucht, Deinen PC als Nutzer und Privatperson auszuspionieren, oder aber mit ungewollter Werbung zu zu bomben. Anders als z.B. bei Viren oder Würmern werden die Daten von Adware in der Regel nicht zerstört oder manipuliert. Statt dessen zielt Adware direkt auf Dich als Person und Deine Privatssphäre ab.
File Traces (Sprich hier z.B. nur von dem hier: "zipitpro Spyware/Adware") sind bekannte Dateipfade zu Spyware/Adware. Die Erkennung von File Traces basiert ausschließlich auf den Dateipfad, daher ist es möglich, daß auch ungefährliche Dateien gemeldet werden, wie willst Du da noch den Überblick behalten?

Sprich, die Kiste bekommst Du im Leben nicht mehr sauber, setz neu auf- und damit hat sichs!

Zitat:

Zitat von Mobius07

Den ganzen Rechner kannste inne Tonne kloppen, so zugemüllt mit Malware ist der.

Achja wieso, ist das MHD-Datum überschritten?

Zitat:

Bei Deiner Adware handelt es sich um eine bestimmte Untergruppe von Trojanern, die versucht, Deinen PC als Nutzer und Privatperson auszuspionieren, oder aber mit ungewollter Werbung zu zu bomben. Anders als z.B. bei Viren oder Würmern werden die Daten von Adware in der Regel nicht zerstört oder manipuliert. Statt dessen zielt Adware direkt auf Dich als Person und Deine Privatssphäre ab.

Ist das nicht bei (fast!) jedem Trojaner der Fall?

Zitat:

File Traces (Sprich hier z.B. nur von dem hier: "zipitpro Spyware/Adware") sind bekannte Dateipfade zu Spyware/Adware. Die Erkennung von File Traces basiert ausschließlich auf den Dateipfad, daher ist es möglich, daß auch ungefährliche Dateien gemeldet werden, wie willst Du da noch den Überblick behalten?

Man nannte es false/positiv Meldungen, und diese Gefahr besteht bei Scannern mit heuristischer Erkennung ständig!

Zitat:

Sprich, die Kiste bekommst Du im Leben nicht mehr sauber, setz neu auf- und damit hat sichs!

Bitte schreibe nur etwas zu Problemen wenn du wirklich weisst was zu tun ist, solche Beiträge habe ich schon öfters von dir gelesen, hab es aber immer stillschweigend hingenommen.

@Seiji

Arbeite das ab:


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Vundofix:

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren


Ad-Aware:

Ad-Aware 1.06 herunterladen und damit das System bereinigen!


Spybot:

Lade dir Spybot und lass das System durchsuchen und bereinigen, danach immunisiere zusätzlich das System!

Zu Sunny:
Ich will Dir ja nicht zu Nahe treten oder Deine Integrität in Frage stellen, aber mir ist bei Dir auch schon oft aufgefallen, das Du meistens oft was retten willst, wo es nichts mehr zu retten gibt. Gibt doch diese schlauen Forumsregeln, wobei man bei dieser Art von Befall neu aufsetzen soll, das stellst Du ja hiermit in Frage. Die E-Scan Listze ist doch voll mit Sachen, worüber z.T. wenig bis nichts im Internet steht.
Ich kann mich gut an einen Fall erinnern, gar nicht so lange her, da hast Du einem User auch geraten, ebenfalls Deine Liste "abzuarbeiten". Das ging dann soweit, das der so stinkig auf Dich war, weil Er durch die "Fixerei"- so wie Er es formulierte- noch mehr Probleme bekam und sich nen weiteren Virus eingefangen hatte und Dich wüst beschimpfte. Also, Du bist auch nicht perfekt!
Im übrigen hab ich hier immer klar gestellt, das ich nicht der "Experte" bin,sondern dafür Leute wie Dich gibt.
Um mich nicht falsch zu verstehen, ich sehe Deine Kritik z.T. als berechtigt an. Nur, dann dürften hier viele andere auch nicht mehr schreiben....
Aber rein vom gesunden Menschenverstand her, was unten alles so steht, meinst Du wirklich,Du bekommst den Rechner astrein sauber???

Aber ich gebe Dir Recht, vielleicht poste ich zuviel gequirlte K.... , Dummzeugs, oder hab von Tuten und Blasen keine Ahnung, bin blöd wie 5m Feldweg oder was immer Du auch denken magst. Wenn ich Deine Kritik von einem Experten so auffassen darf, werde ich selbstverständlich in Zukunft meinen Senf nicht mehr beitragen, und hier nicht mehr schreiben! Ich schätze, das wolltest Du damit formulieren, stimmts?

Trotzdem Gruß

PS: Im übrigen lag ich net immer falsch <snief> ... Hattu mir Unrecht getan

Zitat:

Zitat von Mobius07

Zu Sunny:
Ich will Dir ja nicht zu Nahe treten oder Deine Integrität in Frage stellen, aber mir ist bei Dir auch schon oft aufgefallen, das Du meistens oft was retten willst, wo es nichts mehr zu retten gibt.

Den Versuch ein System nach Malwarebefall zu retten/breinigen sollte es immer geben. Die Neuinstallation sollte aber immer der letzte Ausweg sein.

Zitat:

Gibt doch diese schlauen Forumsregeln, wobei man bei dieser Art von Befall neu aufsetzen soll, das stellst Du ja hiermit in Frage. Die E-Scan Listze ist doch voll mit Sachen, worüber z.T. wenig bis nichts im Internet steht.

Wenn bei dem kleinsten Befall von schädlichem Code im System gleich eine Neuinstallation in Angriff genommen werden muss, bräuchte es solche Foren wie das Trojaner-Board garnicht!
Außerdem, das meiste was im Report vom eScan steht ist meiner Ansicht nach eindeutig.
Ich habe zu allen aufgeführten Files im Report etwas gefunden, bzw. kannte das meiste.

Zitat:

Ich kann mich gut an einen Fall erinnern, gar nicht so lange her, da hast Du einem User auch geraten, ebenfalls Deine Liste "abzuarbeiten". Das ging dann soweit, das der so stinkig auf Dich war, weil Er durch die "Fixerei"- so wie Er es formulierte- noch mehr Probleme bekam und sich nen weiteren Virus eingefangen hatte und Dich wüst beschimpfte. Also, Du bist auch nicht perfekt!

Dieser User hatte ganz andere Probleme, damals ging es um eine DNS-Umleitung seiner Daten, und er hat die Anleitung nicht richtig gelesen im Vorfeld!
Und wer versucht, mir die Schuld für seine eigene (sorry) Blödheit in die Schuhe zu schieben, hat selber Schuld.
Mal ganz abgesehen von der Malware welche er sich eigenständig in das System geholt hat.
(ganz abgesehen von den Beleidigungen, sowas muss ich mir hier auch nicht antun! )
Auch ich mache diesen Dienst hier freiwillig, und alles ist auf eigene Gefahr hin!

Zitat:

Im übrigen hab ich hier immer klar gestellt, das ich nicht der "Experte" bin,sondern dafür Leute wie Dich gibt.

Ich bin auch kein Experte, sondern genau wie du Laie auf dem Gebiet.
Und ja, auch ich bin nicht PERFEKT!

Zitat:

Um mich nicht falsch zu verstehen, ich sehe Deine Kritik z.T. als berechtigt an. Nur, dann dürften hier viele andere auch nicht mehr schreiben....
Aber rein vom gesunden Menschenverstand her, was unten alles so steht, meinst Du wirklich,Du bekommst den Rechner astrein sauber???

Wenn die anderen User hier genau das richtige empfehlen in den Beiträgen, kein Problem, aber wenn jemand (wie du) in fast jedem Beitrag schreibt -> "setz dein System neu auf" <- obwohl das noch nicht von Notwendigkeit zeugt?!

Ob das System wieder wie neu ist nach der Bereinigung, kann ich nicht garantieren, aber ein Versuch ist es mir immer wert.

Zitat:

Aber ich gebe Dir Recht, vielleicht poste ich zuviel gequirlte K.... , Dummzeugs, oder hab von Tuten und Blasen keine Ahnung, bin blöd wie 5m Feldweg oder was immer Du auch denken magst. Wenn ich Deine Kritik von einem Experten so auffassen darf, werde ich selbstverständlich in Zukunft meinen Senf nicht mehr beitragen, und hier nicht mehr schreiben! Ich schätze, das wolltest Du damit formulieren, stimmts?

Wie schon gesagt, du kannst hier machen was du willst im Forum, niemand will dich einschränken, nur sollst du auch dann dem TO das richtige raten!
Vielleicht liest du einfach zukünftig noch ein wenig mit, dann verstehst du auch was ich meine!

Gruß
Sunny

@Mobius07: Ich denke auch, dass es sich lohnt erstmal nach einer Lösung zu suchen. Immer gleich den Rechner neuaufzusetzen ist viel Arbeit. Auch wenns vielleicht zwecklos ist... Man sollte es wenigstens versuchen...

@[Gc] Sunny: Ich teste mal Deinen Lösungsweg, falls es nicht gehen sollte, werde ich das System wirklich neuaufsetzen. Das Problem beschäftigt mich schon seit über einer Woche und langsam hab ich auch keine Lust mehr.

Ich werde auf jeden Fall nochmal posten wie sich der Lösungsweg von Sunny geschlagen hat.

Vielen Dank an alle :-)

@ [Gc]Sunny: Habe mal Deine Schritte befolgt. Konnte so zwar einige Probleme lösen, aber leider nicht alle. Es ist auf jeden Fall ein guter Ansatz den Du mir vorgeschlagen hast. Also Danke nochmal.

Im übrigen habe ich meinen Rechner dann doch neu aufgesetzt, aber diesmal habe ich gleich ein BackUp von meiner Festplatte gemacht und zwar mit Acronis.
Ist mit Sicherheit auch eine gute Lösung. Wenn man Probleme mit seinem Rechner hat und nicht die Geduld ih komplett neu aufzusetzen. Dann macht man einfach das geliebte Format c: :aplaus: und bootet von der BackUp CD.

Thx@all Seiji