Hallo Leute,
habe schon länger Trojaner auf meinem PC (DLDR.IST.15360.A, DROP.DELF.DJ.4, LowZones.A.2 und möglicherweise mehr...) und habe null Ahnung. Weiß nur, dass mein Antivir sie zwar erkennt aber nicht zu löschen schafft, AdAware ebenfalls (erkennt sie nicht einmal).
Habe mir einige Posts auf diesem Forum durchgelesen und mir etwas zusammengereimt, bin mir aber nicht sicher alles korrekt erledigt zu haben und den Spuk hinter mir zu haben.

Habe folgendes getan:
hijackthis ausgeführt;
escan runtergeladen, C:basis erstellt und hineinkopiert, geupdated;
mit ClearProg 1.4 alle temporäre Internetdateien gelöscht, ebenfalls die cookies usw.;
die Systemwiederherstellung abgeschalten undin den abgesicherten modus gewechselt;
Dort escan laufen lassen (zwei stunden gelaufen);
escan hat grundsätzlich nur die viren in AntiVir/Infected gefunden...

Könnte mir jemand sagen ob der jetzige Log von HijackThis ok ist?

Danke!!!!!
Markus

Logfile of HijackThis v1.98.2
Scan saved at 14:57:54, on 14.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
D:\Eigene Dateien\Installversionen\Anti_Spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [CommCtr] C:\PROGRA~1\NET2PH~1\CommCtr.exe -auto
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: updater.lnk = C:\Programme\Common Files\Keenware\wupdater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...9f3130ba048162
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093966994593
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programme\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297B} - http://web.net2phone.com/consumer/co...CommCenter.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programme\AutoCAD 2002\InstFred.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programme\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D371F93D-5977-4EEC-8EA3-D15B17CDF569}: NameServer = 192.168.0.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Hallo Marco Molon,

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand: www.windowsupdate.com.

Überprüfe mit dem online-scan von Kaspersky folgendes:

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix checked klicken):

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - Global Startup: updater.lnk = C:\Programme\Common
Files\Keenware\wupdater.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...89f3130ba048162

wenn Du diese Einträge nicht kennst/brauchst, bitte ebenfalls fixen:

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programme\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297B} - http://web.net2phone.com/consumer/c...XCommCenter.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programme\AutoCAD 2002\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programme\AutoCAD 2002\AcPreview.ocx

Boote in den normalen Modus.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren -> Beende:

SyncroAd.exe
wupdater.exe

Aktiviere die Systemwiederherstellung.

Zitat:

escan hat grundsätzlich nur die viren in AntiVir/Infected gefunden...

Nenn uns bitte die Namen dieser Viren, die der eScan gefunden hat. eScan ab Version 4.5.1 löscht gefundene Malware nicht automatisch. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" (Cidre)

Erstelle ein neues Hijack This Logfile und poste es.

SD

Hallo Shadowdance,
zunächst einmal vielen Dank für die Hilfe... es hat ein bißchen gedauert, aber jetzt habe ich es.

"(WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand."

Ich habe die letzten updates runtergeladen, aber ich möchte wenn möglich SP2 nicht installieren, habe das schon einmal und mußte hinterher zu einem Wiederherstellungspunkt zurückkehren, weil nix mehr gelaufen ist...
Kaspersky erledigt, keine infizierten Dateien, B's Clip hatte ich inzwischen schon deinstalliert.

"SyncroAd.exe
wupdater.exe"

Habe alles so gemacht, wie du es beschrieben hast. Die zwei zitierten Dateien habe ich aber nicht gefunden, wahrscheinlich weil ich sie schon zuvor aus C/Program Files gelöscht hatte. Und jetzt der neue Log...

Logfile of HijackThis v1.98.2
Scan saved at 17:04:19, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Eigene Dateien\Installversionen\Anti_Spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [CommCtr] C:\PROGRA~1\NET2PH~1\CommCtr.exe -auto
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093966994593
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297B} - http://web.net2phone.com/consumer/co...CommCenter.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D371F93D-5977-4EEC-8EA3-D15B17CDF569}: NameServer = 192.168.0.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Was tun?

Teil 2 folgt... (Text ist zu lang ;-)

Teil 2:
Hier der interessante Teil vom escan-Log:

"Wed Oct 13 22:35:48 2004 => File C:\Programme\AVPersonal\INFECTED\A0067671.EXE.VIR infected by "TrojanDropper.Win32.Small.gt" Virus.
C:\Programme\AVPersonal\INFECTED\A0067677.DLL.VIR infected by "TrojanDownloader.Win32.Rameh.c" Virus.
C:\Programme\AVPersonal\INFECTED\A0067678.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus.
C:\Programme\AVPersonal\INFECTED\ATPART~1.DLL.VIR infected by "TrojanDownloader.Win32.Rameh.c" Virus.
C:\Programme\AVPersonal\INFECTED\INSTALLER2.EXE.001 infected by "TrojanDropper.Win32.Delf.z" Virus.
.EXE.002 infected by "TrojanDropper.Win32.Delf.z" Virus. .
C:\Programme\AVPersonal\INFECTED\INSTALLER2.EXE.VIR infected by "TrojanDropper.Win32.Delf.z" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.001 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.002 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.003 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.004 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.005 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.006 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.007 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.008 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.009 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.010 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.011 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.012 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.013 infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\LC.EXE.VIR infected by "not-a-virus:AdvWare.BetterInternet" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.001 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.002 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.003 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.004 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.005 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.006 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.007 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.008 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.009 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.010 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.011 infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\MSBB.EXE.VIR infected by "not-a-virus:AdvWare.180Solutions" Virus.
C:\Programme\AVPersonal\INFECTED\WUPDATER.EXE.VIR00 infected by "TrojanDownloader.Win32.Keenval" Virus.
File C:\RECYCLER\S-1-5-21-1417001333-436374069-682003330-1004\Dc1\CComm.dll infected by "not-a-virus:AdvWare.WinAD" Virus.
File C:\RECYCLER\S-1-5-21-1417001333-436374069-682003330-1004\Dc1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus.
File C:\RECYCLER\S-1-5-21-1417001333-436374069-682003330-1004\Dc1\WinSync.exe infected by "not-a-virus:AdvWare.WinAD" Virus.
File D:\Eigene Dateien\Installversionen\Screensavers\wallpaper3[1].1.exe infected by "TrojanDownloader.Win32.Keenval" Virus.

Habe die Dateien im AV_Infected_Ordner und den Screensaver alle schon nach dem ersten Scan gelöscht...
Fehlerscheinungen am PC sind Warnhinweise auf Schäden von gewissen Dateien in C/:Windows, jedes Mal andere Dateien (System32, Fonts...)

Ich hoffe wirklich dass du/ihr mir helfen könnt.

Liebe Grüße und vielen Dank im Voraus

Marco

@ Marco Molon

bitte alle Löscharbeiten mit deaktivierter Systemwiederherstellung erledigen! Danach die Systemwiederherstellung aktivieren.

Die Einträge, die Du nicht findest, liegen möglicherweise in Ordnern, die Du nicht sehen kannst. Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren. Such bitte die beiden Einträge und versuch sie zu löschen: SyncroAd.exe und wupdater.exe

Die Einträge, die eScan gefunden hat, müssen von Hand gelöscht werden, bei Unklarheiten bitte googeln: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

Viel Erfolg. Wenn Du alle Tätigkeiten erledigt hast, bitte ein neues Hijack This Logfile posten.

SD

Hallo,
habe alles so erledigt wie beschrieben, also alles sichtbar gemacht, in den abgesicherten Modus gewechselt, die Systemwiederherstellung abgeschalten und dann sowohl antiVir, AdAware als auch eScan laufen lassen. Nix gefunden.
HyjackThis laufen lassen, SyncroAd Eintrag gelöscht.
Schalte um in den normalen Modus und SyncroAD ist wieder da...

Ich verzweifle langsam...
Was habe ich falsch gemacht?

Dank für jede Hilfestellung!!!

@ Marco Molon

Poste nochmal ein neues Log-File und lösche aber zuvor diesen Ordner C:\Program Files\Windows SyncroAd.

Hi Forum,

habe auch ein Problem mit dem Drop.Delf.DJ.4

Habe bei mir AntiVir installiert und seit geraumer Zeit, schlägt das Prog. immer zwischen 13:30 und 14:30 an mit der Meldung das er den Trojander gefunden hat... Das ist die Installer2.exe und dann noch sowas mit "WebRebates" oder ähnlich...

Mein Betriebssystem ist WIN2K

Habe jetzt folgendes gemacht:
Rechner in den Abgesicherten Modus
mit eScan nur C:\ gescannt
dann wieder normal hochgefahren, und Hijack laufen lassen

=================================================

Hier das was eScan gefunden hat:

File C:\PROGRA~2\WINDOW~1\WINTAS~1.EXE tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\I infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\mp3tool_1.5.0.0\mp3tool 19.06.04\setup_mp3tool_1.5.2.1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\Neu Instalation\ActivePorts\ActivePorts.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\Neu Instalation\ActivePorts\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Logitech\Desktop Messenger\8876480\6.1.4.36-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
File C:\Programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
File C:\Programme\WinAmp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\I infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

von Hand gelöscht, nachdem AntiVir nach dem normal Neustart angeschlagen hatte

File C:\Program Files\Windows TaskAd\WinProject.dll tagged as not-a-virus:AdWare.WinAD.b. No Action Taken.
File C:\Program Files\Windows TaskAd\WinSched.exe tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\Program Files\Windows TaskAd\WinTaskAd.exe tagged as not-a-virus:AdWare.WinAD. No Action Taken.

hier die Meldung dazu von AntiVir

28.11.2004,20:29:43 [WARNUNG] Ist das Trojanische Pferd TR/HideRun.A.6!
C:\PROGRAM FILES\WINDOWS TASKAD\WINTASKAD.EXE
28.11.2004,20:30:42 [WARNUNG] Ist das Trojanische Pferd TR/HideRun.A.7!
C:\PROGRAM FILES\WINDOWS TASKAD\WINSCHED.EXE

auch schon gelöscht von Hand...

File C:\Programme\AVPersonal\INFECTED\INSTALLER2.EXE.VIR infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.

===============================================

So, hier jetzt mein Hijack log:

Logfile of HijackThis v1.98.2
Scan saved at 20:36:59, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Palm\HOTSYNC.EXE
C:\GPGshell\GPGtray.exe
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Startup: Verknüpfung mit GPGtray.exe.lnk = C:\GPGshell\GPGtray.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e0549946e0de23
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29daf9f7...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{350249FB-41A3-471C-AD81-3DFFC78E53A1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{350249FB-41A3-471C-AD81-3DFFC78E53A1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{350249FB-41A3-471C-AD81-3DFFC78E53A1}: NameServer = 192.168.0.1

===================================================

Mir ist noch was aufgefallen, heute um 13:30 hat wie schon geschrieben mal wieder AntiVir angeschlagen. Habe daraufhin wieder die Datei "Installer2.exe" gelöscht und in C:\Programm\webrebates (o.ä.) auch die Daten gelöscht bzw. den Ordner. Im TaskManager habe ich "webrebates" beendet.

Ich habe, eben bevor ich im abgesicherten war, Hijack laufen lassen. Da gab es einen Punkt, wo das webrebates drin stand. Leider habe ich gerade nach dem eScan noch mal Hijack laufen lassen, und das LOG überschrieben. Nun steht das web zeugs nicht mehr drin...

Ich habe, bevor ich Hijack und eScan ausgeführt habe, mit ClearProg.exe sämtliche Dateien gelöscht (temp, cookies etc.)

Ich hoffe ihr könnt mir helfen.

Danke schon mal!!!

Liebe Grüße

Daniel

Hallo Firefighter_BS,

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\GPGshell\GPGtray.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

und diese Dateien bitte auch, dazu hätte ich gerne etwas mehr Information:

File C:\WINNT\A
File C:\WINNT\I

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus/ VGA-Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...fe0549946e0de23

fixe diesen Eintrag bitte ebenfalls, wenn Du ihn nicht kennst/brauchst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm

boote in den normalen Modus.

Zu Webrebates, lies bitte --> hier.

SD

Hey, danke erst mal für die Antwort!

Heute kam komischerweise keine Virusmeldung... Vielleicht lag es an diesem TaskAd zeug, da ich es gestern gelöscht habe...

zu
C:\GPGshell\GPGtray.exe
das ist ein Oberflächenprogramm für GnuPG

C:\Program Files\Windows TaskAd\WinTaskAd.exe
diesen Ordner gibt es nicht mehr, da ich ihn gestern nachdem AntiVir angeschlagen hatte gelöscht habe!

================
C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

zu dieser Datei jetzt mal die Info:

File: SearchRelevancy.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.51 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.74 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.61 seconds taken)
mks_vir No viruses found (0.25 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (0.10 seconds taken)
===============================

File C:\WINNT\A
File C:\WINNT\I

beide Files wurden als OK angezeigt! Habe in die Dateien reingeguckt, da stand irgendwas mit MasterKey drin, hatte auch noch die Datei "E" oder "O" überall stand das selbe drin. Habe sie von Hand gelöscht, weil mir der Key nichts gesagt hat!

===============================

Den Eintrag mit dem Windowsupdate werde ich gleich mal Fixen, ein neues Hijack Log kommt dann noch!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm

Dieser Eintrag ist meine selbsterstellte Startseite, also OK!

Die Info zu Webrebates habe ich befolgt, und nur noch was im IE Chache gefunden, obwohl ich vorher das ClearProg drüber laufen lassen habe. Habe es per Hand gelöscht...

Danke erst mal für die Info. Werde jetzt gleich mal den Eintrag in Hijack Fixen und danach noch mal eScan drüber laufen lassen. Danach kommen die neuen LOG Files!

Danke!!!

Gruß

Daniel

Guten morgen!

Habe folgendes gemacht:
abgesicherter
ClearProg laufen lassen
die Sachen gefixt
neu booten in den abgesicherten
eScan
neu booten normal
Hijack.Log erstellt

eScan hat folgendes ergeben, habe die Dateien auch mit der Seite http://virusscan.jotti.org/de gecheckt.

=========
File C:\Dokumente und Einstellungen\Administrator\Desktop\mp3tool_1.5.0.0\mp3tool 19.06.04\setup_mp3tool_1.5.2.1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File: setup_mp3tool_1.5.2.1.exe
Status: POSSIBLY INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)(Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: VISEMAN, PE_PATCH

Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (probable variant) (1.37 seconds taken)

=========
File C:\Dokumente und Einstellungen\Administrator\Desktop\Neu Instalation\ActivePorts\ActivePorts.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File: ActivePorts.zip
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: VISEMAN, PE_PATCH, ASPACK

Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (0.91 seconds taken)

=========
File C:\Dokumente und Einstellungen\Administrator\Desktop\Neu Instalation\ActivePorts\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File: setup.exe
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: VISEMAN, PE_PATCH, ASPACK

Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (0.88 seconds taken)

=========
File C:\Programme\Logitech\Desktop Messenger\8876480\6.1.4.36-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

File: runner.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

Dr.Web not a virus Adware.BackWeb (0.49 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.BackWeb.a (0.58 seconds taken)

=============
File C:\Programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

File: backWeb-8876480.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

Dr.Web not a virus Adware.BackWeb (0.49 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.BackWeb.a (0.58 seconds taken)

==============
File C:\Programme\WinAmp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus. Action Taken: No Action Taken

File: bc-selfexec.wsz
Status: INFECTED/MALWARE
Packers detected: None

Kaspersky Anti-Virus Exploit.Win32.LnkRun (0.60 seconds taken)

=============

Was ist davon jetzt definitiv ein Virus, oder sind es alles Viren? Die "backWeb-8876480.exe" war gestern z.B. noch nicht da....

Die "ActivePorts\setup.exe", ist das ein Virus? Das ist ein Programm, womit ich meine offenen Ports beobachten kann....

Kann ich die Sachen von Hand löschen und habe damit Ruhe?

============================================

Das Hijack.log kommt in eine neue Antwort, weil diese hier zu lang ist....

@ Firefighter_BS,

um Malware von Hand zu löschen, folgende Schritte beachten:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus (VGA-MODUS), "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten.

Nicht löschen:

--> not-a-virus:Tool.Win32.Reboot. (Zeitliche Bestände)
--> not-a-virus:AdWare.BackWeb.a. No Action Taken.

Von Hand löschen:

File C:\Programme\WinAmp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus. Action Taken: No Action Taken

-------------

Boote in den VGA-Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

fixe wenn Du dies nicht brauchst/kennst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Startseite/Start-privat.htm

boote in den normalen Modus.

lösche:
C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

SD