Erstmal hallo an alle,

hab hier im Forum schon oft Hilfe gefunden, leider hab ich nun ein Fall, wo ich über google nicht weiter komme und im Forum selbst auch noch keine Lösung gefunden habe.

Habe mit HJT dann einen normalen Scan und einen Startuplist-Scan gemacht.
Diesen habe ich über die Online-Auswertung laufen lassen und folgendes machte mir bei den Startup-Einträgen sorgen:

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
StubPath = %SystemRoot%\system32\ie4uinit.exe
StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Kann mir hier bitte jemand helfen und vllt. auch mal den gesamten Scan durchschauen ob etwas nicht korrekt ist?

Danke schonmal im voraus.

MfG
cookzta


PS: die kompletten Scans kann ich leider nicht posten, da es zu viele Zeichen sind. Gibt es hier eine andere Möglichkeit, diesen zu posten?

Hallo und im Trojaner Board!


Poste doch mal ein Hijacklog, und führe einen eScan durch:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab (Strg+A markieren -> Strg+C kopieren) und füge es in deinen Beitrag im Forum mit ein)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

Hi Sunny,

wie bereits in meinem ersten Post geschrieben, kann ich keine HJT logfile posten, da die Zeichenbegrenzung mich hier ausbremst.
den eScan log werde ich schnellstens nachreichen.

mfg
cookzta

Das verstehe ich nicht?!

Jeder hier kann ein Hijacklog posten, was meinst du denn mit ausbremsen? Von der Zeichenlänge passt das Logfile auf jeden Fall in einen Beitrag..

Ich verstehe es leider auch nicht. Zeichenbegrenzung ist bei 25000 zeichen und meine log hat irgendwas um die 35000...

hier aber der escan log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.3
Sprache: German
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with popup xp Spyware/Adware ({c68ae9c0-0909-4ddc-b661-c1afb9f5ae53})! Action taken: Keine Aktion vorgenommen.
System found infected with popup xp Spyware/Adware ({c68ae9c0-0909-4ddc-b661-c1afb9f5ae53})! Action taken: Keine Aktion vorgenommen.
System found infected with lop.com Spyware/Adware (delete.me)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with progent Trojan (mps.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\epsxe\memcards\delete.me
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\common\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\detectmpsdll\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mpsmisp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mpsppm\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\personal firewall\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\spamkiller\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\HLSW\Plugins\hlsw_aim_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_icq4_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_icq5_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_icqlite_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_icq_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_miranda_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_msn7_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_msn_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_skype_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_trillianpro_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\HLSW\Plugins\hlsw_trillian_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:31:02,90
Batchende: 15:31:15,09

sooo, bin endlich wieder richtig funktionsfähig mit meinem pc.
mein problem hat sich mehr oder weniger von selbst gelöst... es endete mit bluescreen.
festplatte booten ging nich mehr, formatieren nicht möglich weils pc laufend aus ging.
nachdem ich mir ne 2. platte besorgt hab und über diese dann die alte formatieren konnte, gings auch wieder mit windows installieren usw ^^
da hat auch ein up-to-date windows mit sämtlich aktuell gehaltenen security prgos nix genutzt. irgendnen virus hat mich da völlig gekillt.

aber dennoch danke für die hilfe

mfg
cookzta