21.8.2007

Hallo

Wenn ich auf eine von Google rausgesuchte Seite will und den Link dazu klicke,
komme ich auf eine andere, fremde Seite!
Jetzt habe ich in einen anderen Forum folgenden Beitrag gefunden, er schrieb:




So, dank HijackThis und Wühlen in Google habe ich mein Problem
zumindest gefunden. Ich habe mir ein Malware-BHO mit dem Namen
"extmgr32.dll" eingefangen gehabt. Nach dem Entfernen via HiJackThis
und einem Reboot des Systems funktioniert nun auch wieder die Suche
via Google mit dem IE ohne Probleme.
Der HJT-Logfile wies auf folgende DLL hin:
O2 - BHO: (no name) - {41EA2977-FBC4-4614-90F6-367CD95ABB47} - C:
\WINDOWS\system32\extmgr32.dll
Eine Beschreibung findet sich hier:
http://www.castlecops.com/tk30431-Shockwave_Flash_Object.html


Nachdem ich dies las, lud ich mir HijackThis und stellte den damit erstellten
"logfile" in eine automatische Prüfengine, welche unter "http://www.hijackthis.de/de#anl" erreichbar ist.
Auch bei mir zeigte die Engine den Fehler:

O2 - BHO: (no name) - {41EA2977-FBC4-4614-90F6-367CD95ABB47} - C:
\WINDOWS\system32\extmgr32.dll

an.

So, wo finde ich jetzt diesen o.g. Eintrag in der Regestrie, damit ich ihn dort löschen kann?
Wenn ich regedit in Ausführen eintippe, kommen nur die HKEY´s, keine O2 - BHO´s.

vielen Dank


p.s. HDD terminieren mog ich net

Hallo

erstelle bitte ein neues HijackThis Log
nach Anleitung, benenne aber die Hijackthis.exe um in z.B. ABC.exe und bitte editiere alle Links (z.B. http -> hxxp) sowie persönlichen Einträge wie realname usw.

MFG

21.8.2007

Hallo nochdigger, danke für die schnelle Antwort

Ich hab jetzt, mit Hilfe der Suchfunktion im Registrierungs Editor den Pfad gefunden.
Es gibt unter diesen Key: {9770D4B6-2731-4360-99A3-2B8E9413E9AA} einen Unterordner
namens iexplore, darin sind 3 Werte mit den Namen Count Time und Type.
Soll ich einfach alles löschen und wenn ja nach welcher Reihenfolge.
Soll ich das Programm selber "C:\WINDOWS\system32\hnetcfgd.dll" zuerst löschen, oder
nach der Regestrieeintraglöschung?


Vielleicht gibt es noch weitere Probleme in meinen System, bzw mit dem aktuellen Problem,
dafür stelle ich hier, den angeforderten logfile ein:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:24:09, on 21.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Filzip\filzip.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\user\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP01710 - {0BC9322A-B2CF-4ea5-9716-70399CFFBBC4} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\1\toolbar.dll
O2 - BHO: XBTP01710 - {135775DC-A05A-40bf-83AB-0C6FDFE8250A} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\5\toolbar.dll
O2 - BHO: XBTP01710 - {181207EF-A139-49cf-B694-65F5A4B19E6E} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\2\toolbar.dll
O2 - BHO: XBTP01710 - {27B95734-BC23-4257-B39C-76874BE1594C} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\3\toolbar.dll
O2 - BHO: XBTP01710 - {2DC3B797-870F-422b-B427-48EA635E8F08} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\6\toolbar.dll
O2 - BHO: XBTP01710 - {74FA8F51-C61B-435c-ABCC-4DF519E454CF} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\0\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {9770D4B6-2731-4360-99A3-2B8E9413E9AA} - C:\WINDOWS\system32\hnetcfgd.dll
O2 - BHO: XBTP01710 - {A71BA033-AB03-4961-9101-C5289CDF02B4} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\4\toolbar.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O3 - Toolbar: IE Toolbar - {8F2505E3-85C6-4119-86A2-8A875D411353} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\6\toolbar.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: - file://C:\Programme\.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4220 bytes

Ich habe jetzt versucht die Datei zu löschen was aber nicht geht.
"kann nicht gelöscht werden"

was nun, erst den Regestrieeintrag löschen?

Scan die Datei
C:\WINDOWS\system32\hnetcfgd.dll

bei VirusTotal - Free Online Virus and Malware Scan und poste das Ergebnis hier.
Die Softomate toolbar hast Du Dir installiert?

Bata

@BataAlexander

Hallo



Vielen Dank für den Link.
Ja, ich hab die Softomate Toolbar selber installiert.
- hab den Scan durchgeführt sowie´s ausschaut, ist es kein Virus, sondern Adware.

Bei Wikipedia wird Adware wie folgt definiert:

Als Adware (Kunstwort aus engl. advert, „Werbung“, und Software) bezeichnet man (üblicherweise kostenlose und funktionell uneingeschränkte) Software, die dem Benutzer zusätzlich zur eigentlichen Funktionalität Werbebanner oder Werbe-Pop-ups zeigt bzw. weitere Software installiert, die auf dem System Daten sammelt oder Werbung anzeigt. Diese Werbeeinblendungen lassen sich nur selten durch z. B. Löschung von Registry-Schlüsseln oder andere Eingriffe in die Software vermeinden. Durch Vermarktung dieser Werbeflächen wird die Entwicklung der Software finanziert. Oft gibt es auch eine Option, gegen Bezahlung eine werbefreie Vollversion zu erhalten.
Strittig ist, ob Adware automatisch als Spyware zu bezeichnen ist. Zwar wird von manchen werbefinanzierten Programmen nur wenig Information preisgegeben, alleine die Verbindungsdaten erlauben jedoch bereits vielfältige Rückschlüsse über Nutzungsverhalten und sind aus Datenschutzgründen problematisch.

Demnach ist es wenig erfolgversprechend den Registrierungsschlüssel zu löschen?

Ich habe jetzt zuerst mit dem Programm "AmokDelieDel" die Datei gelöscht, dazu muss man diese jedoch, auf das im Desktop erscheinende Symbol "bei Neustart löschen " schieben.

Dann habe ich den Eintrag aus der Regestrie gelöscht.

Und die Automatischen Windows Updates, welche bei mir absichtlich deaktiviert waren, wieder eingeschaltet.

Wenn das Problem mit dem Googlefenstern noch einmal auftaucht, werd ich wieder hier posten, bis dahin stellt sich nur die Frage ob evtl. noch Spyware oder ein Trojaner aktiv ist?





hier ist das Scan Ergebniss:

(Übrigens AntiVir hat bei mir, wenn ich die besagte Datei mit
dem bei mir, offline installierten AntiVir Freewareprogramm, überprüfe, NICHT angeschlagen.)





AntiVir 7.4.1.63 2007.08.22 ADSPY/Stud.A.43
Avast 4.7.1029.0 2007.08.21 Win32:Trojano-3384
AVG 7.5.0.484 2007.08.22 Adware Generic2.AMI
BitDefender 7.2 2007.08.22 Adware.Stud.Y
ClamAV 0.91 2007.08.22 Trojan.BHO-83
Ewido 4.0 2007.08.22 Adware.Stud
F-Prot 4.3.2.48 2007.08.22 W32/Adware.KBB
Ikarus T3.1.1.12 2007.08.22 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.08.22 not-a-virus:AdWare.Win32.Stud.a
NOD32v2 2476 2007.08.22 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.08.22 W32/Stud.AE
Sophos 4.20.0 2007.08.22 MapKon
Symantec 10 2007.08.22 Adware.Webprefix
TheHacker 6.1.8.171 2007.08.21 Adware/Stud.a
VBA32 3.12.2.2 2007.08.22 suspected of Trojan-Downloader.Agent.47
Webwasher-Gateway 6.0.1 2007.08.22 Ad-Spyware.Stud.A.43

weitere Informationen

File size: 35018 bytes
MD5: 669e4a3e4f493fb4706bcf38a4da01fc
SHA1: 138be3078aa3b3d7fdfda5e1514431fd0d32cb07
packers: UPX
packers: UPX
packers: UPX
packers: UPX


- Ich würde gern mal mein System scannen lassen, da AntiVir "free" nicht alles findet,
stellt sich die Frage welches Programm sonst?




p.s.
Gleiches Thema:
http://209.85.135.104/search?q=cache:F25jOkwQFMUJ:www.trojaner-board.de/40536-win32-trojano-3384-hilfe.html+Trojano-3384&hl=de&ct=clnk&cd=3&gl=de

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam, Du findest auch einen Link zu Online Scannern.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

Bata

Vielen Dank für die Links

Ich hab das Programm "Spybot Search & Destroy" installiert und es läuft reibungslos.
Der Systemscan hat ca. 8 min gedauert und erbrachte überraschenderweise 10Einträge an Spyware, welche man mit einen klick, löschen kann.

Danach lud ich Ad Aware free, was auch reibungslos funktionierte und machte
den Smart Scan. Dieser dauerte 14 min und brachte auch Ergebnisse:
20 Einträg. Warum hat das nicht schon Sybot erkannt?
Naja Ad Aware scannt auch Cookies und die Favoriten...
Auch die Softomate Toolbar wurde als Adware erkannt.

Ich habe dann einen Artikel über Toolbars gelesen, Nach Hause telefonieren und beschlossen mich meiner zu entledigen.

Die angezeigten Einträge hab ich, mit Ad Aware gelöscht. Vorher hab ich noch ein logfile, über den Suchvorgang gespeichert, was bei diesen Programm möglich ist.

Es gibt bei Adaware auch die Funktion "Ad watch", mit der, beim Surfen, ständig auf Adware kontrolliert wird, sowie bei reinen Virenprogrammen, (wie z.B. AntiVir Guard), auf Viren usw.

Bei CCleaner bin ich eher vorsichtig, bei denen im Forum stand schon mal was wie: "Cant run any 3D Games after running CC Cleaner"

Das Problem mit Umstig weg vom InternetExplorer sind bei mir die Favoriten, da ich viele habe. Beim Umstieg weg von Outlook, sind es die gespeicherten Mails .

Ich muss noch was ergänzen,

Als ich ein erneutes Hjackthis logfile machte, war die Datei zwar verschwunden, aber der Registrierungsschlüssel noch da:

O2 - BHO: (no name) - {9770D4B6-2731-4360-99A3-2B8E9413E9AA} - C:\WINDOWS\system32\hnetcfgd.dll (file missing)

Ich musste dann, nochmal in die Regestrie und per Suche, waren noch 3 weitere, gleiche, Schlüssel zu finden und löschen. Jetzt taucht die o.g. Meldung nicht mehr, im Hjackthis, logfile auf.

Joh, die Einräge musst Du ja dann nach dem Löschen der Dateien dann immer noch fixen.
Poste doch noch ein frisches HJT Log.

Bata

@Bata

Ich hab ja jetzt, die Schlüssel, alle per Ausführen, in der Regestrie gelöscht.
Hat anscheinend geklappt.

Aber beim Versuch, die Softomate toolbar zu löschen, ging das nicht so leicht.
Erst hab ich den Uninstaller probiert,was nicht viel brachte.
Dann die Datei mit Killbox gelöscht.
Und dann versucht, wieder per Ausführen, die Schlüssel in der Regestrie zu löschen, doch bei jedem neuen Hijack This Scan, waren diese wieder da!
Dann hab ich mit HijackThis Gefixt und gelöscht, was auch, fast alle Einträge gelöscht hatte, aber nur fast, einer ist übrig und den bekomme ich einfach nicht weg.
Selbst im abgesicherten Modus lässt sich´s nicht fixen.
Könnten das irgendwelche Temporäre Dateien sein?

Ich weiss nicht mehr weiter, brauche Hilfe...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:11:46, on 30.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Filzip\filzip.exe
C:\DOKUME~1\user\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E8W-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761493RR-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: IE Toolbar - {8F2505E3-85C6-4119-86A2-8A875D411353} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\6\toolbar.dll (file missing)
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aufnehmen mit Videotimer - file://C:\Programme\Videotimer\aufnehmen-mit-videotimer.html
O9 - Extra button: (no name) - {08B0E5TZ-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0WRC0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BE44-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F2010-F133-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDE22E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187820173171
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3410 bytes

Starte HJT neu, fixen den Eintrag

O3 - Toolbar: IE Toolbar - {8F2505E3-85C6-4119-86A2-8A875D411353} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\6\toolbar.dll (file missing)

Versuche über Start / Systemsteuerung / Software die Softomat Toolbar zu deinstallieren. Gibt es dort sonst noch Einträge die Du nicht kennst?

Deaktiviere die Systemwiederherstellung, wechsele in den abgesicherten Modus.

Dort gehe zum Ordner c:\Programme lösche den Ordner SOFTOM~1 (wahrscheinlich Softomat)

Dann starte den Rechner neu.

Nun erstelle einen eScan. Poste das Log dannach.

Bata

@Bata









~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with kuaiso toolbar b Spyware/Adware ({77aa25e8-6083-4949-a831-9cb11861dc10})! Action taken: Keine Aktion vorgenommen.
System found infected with topbrowsing Adware (1.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (expedia.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with adrotator Spyware/Adware (vs.bin)! Action taken: Keine Aktion vorgenommen.
System found infected with topbrowsing Adware (1.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with adrotator Spyware/Adware (vs.bin)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\system32\autorun.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\RECYCLER\S-1-5-21-299502267-839522115-725345543-1003\Dc665.0-deDE-Installer\Installer.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\!KillBox\Softomate\ToolbarStudio\bin\toolbarU.dl_ markiert als "not-a-virus:AdWare.Win32.Softomate.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\0\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\1\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\2\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\3\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\4\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\5\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\6\toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\Softomate\ToolbarStudio\projects\toolbar.cab/toolbar.dll markiert als "not-a-virus:AdWare.Win32.Softomate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme7\Spiele\AirRaidNotADrillSetup-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme7\Spiele\SafariBiathlonRacer-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme7\Spiele\Street_Legal_Racing_Redline-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme7\Spiele\SuperStuntSpectacularSetup-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme7\Spiele\VRally3Setup-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme7\Spiele\XTRallySetup-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-21-299502267-839522115-725345543-1003\Dc653\hnetcfgd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\user\LOKALE~1\Temp\1.exe
Offending file found: C:\Dokumente und Einstellungen\user\Desktop\driver\install.dat
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\alserste\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\bücher\bücher+cds+videos\bücher cd video dvd\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\computer\software\shops\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\computer\spiele\shops\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\einkaufen\bücher+cds+videos\bücher cd video dvd\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\einkaufen\computerspiele\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\reise\lasminute\expedia.url
Offending file found: C:\Dokumente und Einstellungen\user\Favoriten\links1\tv fernsehen radio\flimsuche\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\alserste\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\bücher\bücher+cds+videos\bücher cd video dvd\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\computer\software\shops\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\computer\spiele\shops\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\einkaufen\bücher+cds+videos\bücher cd video dvd\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\einkaufen\computerspiele\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\fernsehen radio\flimsuche\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\programme7\spiele\vf2\vf2\vs.bin
Offending file found: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\1.exe
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\alserste\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\bücher\bücher+cds+videos\bücher cd video dvd\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\computer\software\shops\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\computer\spiele\shops\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\einkaufen\bücher+cds+videos\bücher cd video dvd\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\einkaufen\computerspiele\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\links2004\fernsehen radio\flimsuche\amazon.url
Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\programme7\spiele\vf2\vf2\vs.bin
Offending file found: C:\WINDOWS\system32\autorun.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7d663c2-ee19-11db-a219-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\stefan\Eigene Dateien\Programme7\HoverSetup1_21b.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\stefan\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 121115
Gefundene Viren: 47
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 105
Dauer des Scans bisher: 01:54:34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:37:13,48
Batchende





Was soll ich jetzt machen?

Abschalten des Papierkorbs
Rechtsklick auf Papierkorb -> Eigenschaften -> Global -> Haken setzen ->

Lösche den Ordner c:\!Killbox


Folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten.

C:\DOKUME~1\user\LOKALE~1\Temp\1.exe
C:\Dokumente und Einstellungen\user\Desktop\driver\install.dat
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\1.exe
C:\WINDOWS\system32\autorun.exe
C:\Dokumente und Einstellungen\stefan\Lokale Einstellungen\Temp\SIntf16.dll

Die Spiele

AirRaidNotADrillSetup-dm.exe
SafariBiathlonRacer-dm.exe
Street_Legal_Racing_Redline-dm.exe
SuperStuntSpectacularSetup-dm.exe
VRally3Setup-dm.exe
XTRallySetup-dm.exe


Kennst Du alle?


Bata

1.exe


Antivirus Version letzte aktualisierung Ergebnis

Prevx1 V2 2007.09.01 Generic.Malware

Prevx1 V2 2007.09.01 Generic.Malware


----------------------------------------------------------------------------------------------------------------------
driver/install.dat

kein Ergebniss

-------------------------------------------------------------------------------------------------------------------------
C:\WINDOWS\system32\autorun.exe

TheHacker 6.1.9.175 2007.08.31 Trojan/Agent.ek
Webwasher-Gateway 6.0.1 2007.08.31 Riskware.AniSYS.A


------------------------------------------------------------------------------------------------------------------------------

SIntf16.dll


kein Ergebniss

---------------------------------------------------------------------------------------------------------------------------

Die Spiele sind Demos eigents downgelodet, wie soll ich die wieder richtig löschen?