Du solltest zumindest im Task-Manager den Prozess unterbinden können > die Kack.exe anklicken und Prozess beenden. Aber wie gesagt, das alles wird hier zum Rattenschwanz, Neuaufsetzen ist eine gute Entscheidung, "kluges Surfen" erledigt den Rest.
Sichere Dein System auf Jeden der Anleitung hier im Board nach, und nimm Dir als bald die Zeit.
Spybot und Antivir sind nützliche & kostenlose Helferlein für Dein System.
Ein gutes zusätzliches Tool ist dieses Prog:
a-squared HiJackFree 3.0 - ähnlich wie HJT, nur ohne LOG-File.
Download a-squared Anti-Malware (a2) - Kostenlose Downloads der Freeware und Testversionen
Dies ziegt Dir neben den laufenden Prozessen auch Autostarts,offenen Ports und die Dienste an.
Wenn Du weitere Fragen hast, frag ruhig. Dafür ist dieses Board ja da, und mehrere Meinungen können nie schaden.

eventuell hat die Bereinigung Erfolg gehabt .. jedenfalls sind die Fehlermeldungen weg, das zugehörige blinkende button ebenfalls, IE wird nicht mehr aktiviert und na ja - würde mich interessieren, wie das hj-log nun interpretiert wird.

Lediglich den "EVIA"-Eintrag ließ ich stehen - entspringt dem von CD geladenen Programm einer Rechtschutzvers. - falls es aber garantiert "schlecht" ist - wäre ich für Info dankbar!

Logfile of HijackThis v1.99.1
Scan saved at 20:08:36, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = MMM://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = MMM://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=MMM://MMM.microsoft.com/
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Geht das so durch oder gibt es doch noch arges?

Vielen Dank an Euch und an Mobius
LG

Hast Du doch zu bereinigen versucht? Oh Mann!
Fixe alle R0 und R1 Einträge!
Geh in den abgesicherten Modus mit deaktivierter Systemherstellung, wieder alles bereinigen, lass Progs mehrmals durchlaufen.
Lösche dazu den IE-Explorer komplett
In der Systemsteuerung unter "Software" steht er bei "Windows XP - Software Updates".
Wieder neu drauf ziehen:
http://www.microsoft.com/downloads/d...0B&displaylang ... hier wieder runter laden!
Wo ist Dein Antirenscanner und Antispyscanner?
Sofort drauf damit:
Die Seite von Spybot-S&D! Spybot
AntiVir PersonalEdition Classic - Mehr als Sicherheit Antivir

Beide Progs scannen lassen.

War heute etwas früh um alles genau zu erklären. Ich verstehe die Einträge "MMM" nicht so ganz. Zumindest solltest Du den Explorer auch von CD starten können.
Dazu die Windows XP Setup CD einlegen und über START - AUSFÜHREN den folgenden Befehl eingeben:
rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\inf\ie.inf
Damit wird der Internet Explorer neu installiert und nicht einfach der Alte überspielt.
Zusätzlich einen alternativen browser wie firefox zulegen, und ganz wichtig die Antivirenprogs. Hoffentl. hast Du in der zwischenzeit nichts neues eingefangen.

Hallo Mobius07,


Danke für Deine Antwort! Nun habe ich dein letztes posting erst jetzt gelesen ... und war vorher fleissig .. hab' gleich heut früh alles der Reihe nach gemacht. im abg. Modus den IE gelöscht, die R0 + R1's fixen lassen (mehrmals), nochmals das smitfraudfix laufen lassen, spybot geholt, Antivir drauf. IE7 geladen (funzt jedoch nicht). Das Herunterladen konnte nur im normalmodus geschehen, da im abg. Modus der i-net-zugriff fehlschlug.
Nun: Antivir zeigt Treffer, auch wenn es löschen soll, wird die Fehlermeldung sofort wieder angezeigt (bis zu 15 mal). "C:\windows\system32\jeiaxf.dll", wird als Trojaner "TR\BHO.BD.9" idendifiziert. Btw: habe antivir dann vorübergehend deaktiviert, um Platz zum posten zu haben. Fehler wird trotzdem angezeigt (Meldefenster).

Ja, die CD - ist nicht hier, nicht "bei Fuß". Daher kann ich diesen Rat mit dem von CD neu aufspielen auch erst im Laufe der Woche ausführen. Da ist dann aber ein ganz alter IE drauf - das Programm habe ich glaub 2004 gekauft.

Na ja eine neue Erfahrung mit dem PC habe ich jetzt jedenfalls: er gibt jetzt Töne von sich. Aber nur, wenn Antivir einen Löschbefehl ausführen soll. Find ich ok.

Vielleicht ist das untergegangen zuvor: ich gehe nur per firefox in's Netz. IE habe ich nur für die patches verwendet - der funzte irgendwann aber nimmer. Mittlerweile kann man ja patches auch über firefox laden.

Soll ich noch ein hj-log hereinsetzen ? Müsste eigentlich fragen: "darf ich"?

LG
maysun

Wie ich Dir geschrieben hatte, eine Bereinigung ist unsicher und könnte mit Problemen behaftet sein.
Denn es handelt sich dabei ein Schadprogramm, das explizit weitere nachlädt. Es ist somit nicht einfach durch Löschen der erkannten Schädlingsdateien sicherzustellen, dass das System wieder in einen vertrauenswürdigen Zustand zurückversetzt wird. Dies sollte Dir bewusst sein. Es "kann" klappen, aber eine Sicherheit wirst Du in Deinem Fall wohl nie bekommen.
Warum es nicht immer sinnvoll ist Removal-Tools einzusetzen, kannst Du hier nachlesen und studieren:
Homepage von Malte J. Wetz

Diese "Töne" von Antivir werden wohl eher Funde sein
Ein HJT-Log reinsetzen? Ob Du "darfst"? Klar, ist doch ein freies Board hier.

hallo,

nun ließ sich die Datei "find.bat" nicht als solche laden: anstatt des downloads erschien der Text daselbst. Macht nüscht - hatte von vorher (zum Glück noch erinnert) eine gefunden. Hoffe natürlich, dass dies das gleiche ist.

Hier nun erst mal das Ergebnis:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 08 22:58:30 2007 => System found infected with virusprotectpro Corrupted Adware/Spyware (virusprotectpro 3.3.lnk)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:48 2007 => System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 23:01:44 2007 => [Scanne Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED]
Sun Jul 08 23:01:44 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\438d693b.qua
Sun Jul 08 23:01:44 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b09e.qua
Sun Jul 08 23:01:44 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b0ba.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b0d6.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b1d5.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b1e0.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b1f1.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b20d.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b213.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b27c.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b2b0.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b2d4.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b2d8.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b8c0.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b9fa.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b9fe.qua
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 08 22:58:30 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\microsoft\internet explorer\quick launch\virusprotectpro 3.3.lnk
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\process.exe
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\reboot.exe
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\swreg.exe
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\swsc.exe
Sun Jul 08 22:58:43 2007 => Offending Folder found: C:\Dokumente und Einstellungen\user_alt\Eigene Dateien\gkm\dkv
Sun Jul 08 22:58:43 2007 => Offending Folder found: C:\Dokumente und Einstellungen\user_alt\Eigene Dateien\gkm\krankenkasse\dkv
Sun Jul 08 22:58:48 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 08 22:23:32 2007 => Virus Database Date: 7/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



und nun noch das hj-log

Logfile of HijackThis v1.99.1
Scan saved at 01:14:24, on 09.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\jdk-1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://xxx.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5

"LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame

Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Vielleicht sieht es ja noch machbar aus?

Wer auch immer drüber schaut: Mercí beaucoup!

LG an die gute Seele, die dies macht,
maysun

Naja, Dein Log sieht wesentl ,besser aus. Aber der e-scan nicht so gut.
Dazu kommt, das Antivir wohl auch in Mitleidenschaft gezogen worden ist und Deine Startseite jetzt statt MMM in xxx umgewandelt worden ist.
Obwohl zum escan:
Das ist nichts aussergewöhnliches. Also sollte da irgendwo ein Problem sein, wird es nicht immer durch Malware hervorgerufen. Escan mag ja recht gut sein, verbreitet aber Panik unter Nutzern, die sich nicht gut in der Materie auskennen. Sprich, es findet eigentlich auf jedem Rechner irgendwas.
Das nervige an Escan ist, das es unaufgefordert Dateien, bzw Ordner im Systemverzeichniss erstellt. Lösche bitte die von Escan erzeugten Dateien.
Gut möglich das sich versch. Antiprogs nicht vertragen.
Lösche Antivir und zieh diesen neu drauf! Bereinige vorsichtshalber nochmals den Rechner.
Meine Güte, ein Endlosthread. Bin zu müde dafür

*kurzeinmisch*
Was soll denn das noch hier? In dieser "Bereinigungs-"Zeit hätte man den Rechner locker 10x neu aufsetzen können...

@maysun: Lass es endlich, eine Bereinigung _kann_ erfolgreich sein, man weiß das aber leider nie genau, da du die Sauberkeit eines Systems nicht beweisen kannst.

Hallo Mobius07,

ja hatte auch den Eindruck, das im escan u.a. der Eintrag von "smitfraudfix" gescannt wurde als Trojaner - also der Eintrag eines Trojaner-Entfernungs-Tools.

Dem log - oder Protokoll, nenne man es, wie man es will, von escan habe ich einen Namen gegeben. Das ist eine Datei. Die werde ich löschen. Genauso wie auch Antivir erstmal. Gibt es noch andere Dateien, die escan anlegt, die ich löschen sollte?

Vielen Dank für die Antwort,
maysun

Ach ja, da war doch noch was

Cosinus hat <kurzeinmisch> nicht Unrecht, aber das gleiche hatte ich Dir schon vor einer Woche geschreiben.
Zum "Rattenschwanz": Lösch e-scan komplett vom Rechner, bei Bedarf ziehst Du es erneut vom Netz. Antivir mekkert zudem sowieso immer wenn Smidfraud läuft. Darum bekommst du auch diese "Töne". Beim scan sollte man eh deshalb immer die untersch. Antivrenprogs deaktivieren. Welche Dateien Du noch "löschen" sollst, kann ich Dir nicht schreiben.
Weiter bereinigen? Welche Progs gibts denn da überhaupt noch?
Ach ja, diese hatten Wir noch nicht (Ironisch gemeint):
Trend Microâ„¢ CWShredderâ„¢ - Trend Micro USA
F-Secure Blacklight > F-Secure Blacklight
Anti Rootkit Software - Panda Anti-Rootkit (Tucan)

Ausser Regseeker,clearprog,Antivir,Spybot und Adaware würde ich wieder anschliessend alles vom Rechner schmeissen.
Weiter helfen? Ich denke mir mal, man sollte das Ganze hier zum Abschluß bringen.

Wenn man eScan schon einsetzt, dann bitte doch mit einer aktuellen Logauswertungsdatei.
Und wenn man zum Löschen von eScan auffordert (wieso auch immer), sollte man zumindest die Verzeichnisse und Registrierungszweige nennen, die eScan hinterlässt

@TO

Der Registrierungszweig für eScan findet man unter HKCR\eut

reg del HKCR\eut /f

Ansonsten einfach mal die Ausgabe von

Code: Alles auswählenAufklappen

ATTFilter

dir /A:D %systemroot%
         

posten.

Zitat:

Zitat von MightyMarc

Wenn man eScan schon einsetzt, dann bitte doch mit einer aktuellen Logauswertungsdatei.
Und wenn man zum Löschen von eScan auffordert (wieso auch immer), sollte man zumindest die Verzeichnisse und Registrierungszweige nennen, die eScan hinterlässt
@TO
Der Registrierungszweig für eScan findet man unter HKCR\eut
reg del HKCR\eut /f
Ansonsten einfach mal die Ausgabe von

Code: Alles auswählenAufklappen

ATTFilter

dir /A:D %systemroot%
         

posten.

Wieviele Progs soll man denn noch durchlaufen lassen? Was noch herauskrosen. Wer hebt sich wo auf, wer mekkert? Was ist wenn A eintrifft, aber B nicht vorhanden ist, usw,usw....Welche Einträge noch finden? Hast Du noch den genauen Überblick? Ich halte das Alles hier für zu unübersichtlich! Für Otto-Normal-Verbraucher ist das alles wohl nicht einfach nachzuvollziehen. Und zum e-scan: Glaub Dir das Dein Steckenpferd ist, aber reite deshalb nicht darauf rum. Nobody ist perfekt, ich kenn mich auch nicht in allen "Registrierungszweigen" aus oder kenn diese aus dem EffEff....

Naja, Postings hängen auch ordentlich von der Tagesform ab.

Zitat:

Zitat von Mobius07

Das nervige an Escan ist, das es unaufgefordert Dateien, bzw Ordner im Systemverzeichniss erstellt. Lösche bitte die von Escan erzeugten Dateien.

Hilft dem TO nicht so recht. Oder wie siehst du das?

- Nimm Beiträge nicht persönlich. Es ist ein Forum, es gibt Meinungsverschiedenheiten, hast du selbst in diesem thread oft genug betont...

- werde nicht persönlich

Gruß

Wie ich schon schrieb, man kann nicht alles wissen. Nur manchmal finde ich auch nicht die "Art" des postings korrekt. Ich "versuche" immer alles höflich zu verpacken, ob es mir immer gelingt sei dahingestellt.
Geb Dir Recht, manche Sachen sollte man nicht so eng sehen, ist auch früh am Morgen, nur kann man unmöglich jeden Reg.Zweig kennen. Es sei denn, man googelt bis die Schwarte kracht.
Ist auf keinen etwas "persönliches". Wenn das so rüberkam ist dem nicht so. Nur sollte man sich nach allen Seiten absichern. Hab ich wohl nicht aufgepasst, vielleicht ärger ich mich über mich selbst. Wer weiss.
Sch. thread

Schönen Morgen noch.... Gruß zurück!