Hallo Hunter,

ich hab eben den eScan-Bericht durchgeschaut:

Zitat:

Zitat von Hunter

Wed Sep 22 11:55:10 2004 => Total Number of Virus(es) Found: 24
Wed Sep 22 11:55:10 2004 => Total Number of Files Renamed: 20

File C:\Programme\AVPersonal\INFECTED\ECLAMMTCR.EXE.VIR infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TALRMLLL.EXE.001 infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\TALRMLLL.EXE.VIR infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.

Information zu Backdoor.Agent.ay

Die schädlichen Einträge auf Deinem System sind umbenannt worden. Update bitte den eScan online und führe ihn nochmal auf Deinem System durch, im abgesicherten Modus und offline. Erstell dann bitte ein neues Logfile mit Hijack This und poste es.

Du kannst Dir hier Spybot-Search &Destroy 1.3 runterladen, das Programm updaten und damit Deinen Rechner scannen.

Formatieren und Neuaufsetzen sollte angedacht werden. Bitte lies:

- www.mathematik.uni-marburg.de
- faq.underflow.de
- www.ntsvcfg.de
- www.datenschutzzentrum.de

Gruss
Shadowdance

Auch auf die Gefahr hin das das jetzt ne dumme Frage ist, aber ich wollte eben meinen PC im abgesicherten modus starten und das geht ja nochmal so das ich beim booten F8 drücke (hab das so bei mir in der Windows Help gelesen) und das dann so ne Menu auftaucht, wo ich den abgesicherten modus auswählen kann. Ich bekomme da auch so etwas, nur gibt es keinen Punkt "im abgesicherten Modus starten" oder ähnliches.
Weiss hier vielleicht jemand, was ich da machen kann?

Probiers mal mit dieser Anleitung:
http://www.bsi.de/av/texte/winsave.htm

btw: Was wird den genau angezeigt?

Hi,
erstmal danke an alle die mir bis jetzt geholfen haben

Ich habe heute Morgen eScan im abgesicherten Modus laufen lassen.
hier das log:

Thu Sep 23 09:17:46 2004 => Scanning Folder: C:\WINDOWS\system32\xircom\*.*
Thu Sep 23 09:17:47 2004 => Scanning Folder: C:\WINDOWS\Tasks\*.*
Thu Sep 23 09:17:47 2004 => Scanning Folder: C:\WINDOWS\Temp\*.*
Thu Sep 23 09:17:47 2004 => Scanning Folder: C:\WINDOWS\twain_32\*.*
Thu Sep 23 09:17:48 2004 => Scanning Folder: C:\WINDOWS\Web\*.*
Thu Sep 23 09:17:48 2004 => Scanning Folder: C:\WINDOWS\Web\printers\*.*
Thu Sep 23 09:17:48 2004 => Scanning Folder: C:\WINDOWS\Web\printers\images\*.*
Thu Sep 23 09:17:49 2004 => Scanning Folder: C:\WINDOWS\Web\Wallpaper\*.*
Thu Sep 23 09:17:50 2004 => Scanning Folder: C:\WINDOWS\WinSxS\*.*
Thu Sep 23 09:17:50 2004 => Scanning Folder: C:\WINDOWS\WinSxS\InstallTemp\*.*
Thu Sep 23 09:17:50 2004 => Scanning Folder: C:\WINDOWS\WinSxS\Manifests\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\Policies\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\Policies\x86_policy.1.0.Microsoft.Windows.GdiPlus_6595b64144ccf1df_x-ww_4e8510ac\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\Policies\x86_policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\Policies\x86_policy.7.0.Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_x-ww_a317e4b3\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.0.2.0_x-ww_e6d36d6b\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.0.2.0_x-ww_702998db\*.*
Thu Sep 23 09:17:51 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries.Resources_6595b64144ccf1df_6.0.0.0_de-DE_b5f95279\*.*
Thu Sep 23 09:17:52 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.0.0_x-ww_ff9986d7\*.*
Thu Sep 23 09:17:52 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\*.*
Thu Sep 23 09:17:52 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\*.*
Thu Sep 23 09:17:53 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\*.*
Thu Sep 23 09:17:53 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.10.0_x-ww_d8862ba3\*.*
Thu Sep 23 09:17:53 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13\*.*
Thu Sep 23 09:17:53 2004 => Scanning Folder: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\*.*
Thu Sep 23 09:17:54 2004 => Scanning Folder: C:\WLAN-PC-Card\*.*
Thu Sep 23 09:17:54 2004 => Scanning Folder: C:\WUTemp\*.*
Thu Sep 23 09:17:54 2004 => ***** Checking for specific ITW Viruses *****
Thu Sep 23 09:17:54 2004 => Checking for Welchia Virus...
Thu Sep 23 09:17:54 2004 => Checking for LovGate Virus...
Thu Sep 23 09:17:54 2004 => Checking for CodeRed Virus...
Thu Sep 23 09:17:54 2004 => Checking for OpaServ Virus...
Thu Sep 23 09:17:54 2004 => Checking for Sobig.e Virus...
Thu Sep 23 09:17:54 2004 => Checking for Winupie Virus...
Thu Sep 23 09:17:54 2004 => Checking for Swen Virus...
Thu Sep 23 09:17:54 2004 => Checking for JS.Fortnight Virus...
Thu Sep 23 09:17:54 2004 => Checking for Novarg Virus...
Thu Sep 23 09:17:54 2004 => Checking for Pagabot Virus...
Thu Sep 23 09:17:55 2004 => Checking for Parite.b Virus...
Thu Sep 23 09:17:55 2004 => Checking for Parite.a Virus...
Thu Sep 23 09:17:55 2004 => ***** Scanning complete. *****
Thu Sep 23 09:17:55 2004 => Total Number of Files Scanned: 37546
Thu Sep 23 09:17:55 2004 => Total Number of Virus(es) Found: 3
Thu Sep 23 09:17:55 2004 => Total Number of Disinfected Files: 0
Thu Sep 23 09:17:55 2004 => Total Number of Files Renamed: 0
Thu Sep 23 09:17:55 2004 => Total Number of Deleted Files: 0
Thu Sep 23 09:17:55 2004 => Total Number of Errors: 1
Thu Sep 23 09:17:55 2004 => Time Elapsed: 00:38:42
Thu Sep 23 09:17:55 2004 => Virus Database Date: 2004/09/22
Thu Sep 23 09:17:55 2004 => Virus Database Count: 104407
Thu Sep 23 09:17:55 2004 => Scan Completed.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Und hier das log von HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 09:35:57, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\MD\Desktop\HijackThis.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe


Sehe ich es richtig das der BDS/Agent.AY jetzt weg ist? Ich hoffe ja.
Mein AntiVir hat den auch seid gestern nicht mehr erkannt.

Zitat:

Sehe ich es richtig das der BDS/Agent.AY jetzt weg ist?

Dein Log-File ist augenscheinlich sauber, aber ob es wirklich so ist, daß kann dir leider keiner garantieren.
Du solltest auf jeden Fall deine Passwörter ändern.

Um die Sicherheit deines System zu erhöhen, solltest du folgende Punkte abarbeiten:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

sowie diese Ratschläge beherzigen:
http://faq.underflow.de/#SECTION000110000000000000000

Das Log sieht sauber aus. Für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html

Umstieg auf einen alternativen Browser wie Opera oder Firefox ist auch immer eine gute Idee, sowie vor dem Installieren von Shareware mal überprüfen, ob sie Adware enthält (hattest du auch drauf).

Danke für deine Tips, werde ich mir für die Zukunft merken.
Die Adware ist doch jetzt auch weg oder muss ich da noch was machen?

Zitat:

Die Adware ist doch jetzt auch weg oder muss ich da noch was machen?

Ja, sie ist weg.
Wie MountainKing bereits schrieb, solltest du auf jeden Fall vor dem Download von Free- oder Shareware, diese mittels google, http://www.spywareguide.com/spywarelist.html, oder http://virgolamobile.50megs.com/spyware/spyware.htm, erst gegenprüfen, ob diese Programme Spy- oder Adware enthalten.