Hallo Christian,
vielen Dank für die Unterstützung.
Ich habe die angegebenen Dateien gefixt.
Leider ohne Erfolg.

Wassermann

Hallo Wassermann,

update den eScan (Anleitung) online, lass ihn nochmal im abgesicherten Modus auf Deinem Rechner laufen. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Teile uns bitte das gesamte Ergebnis des eScan mit: welche Malware wurde auf Deinem Rechner gefunden.

SD

Hallo Shadowdance,

ich bin leider erst jetzt wieder dazu gekommen, mich mit dem PC zu beschäftigen.

Hier das Ergebnis des eScan's:

Fri Dec 17 13:34:31 2004 => File C:\Dokumente und Einstellungen\Familie\Eigene Dateien\Downloads\BSINSTALLDE.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:37:05 2004 => File C:\Programme\BearShare\Installer\BSINSTALLDE.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:47:39 2004 => File C:\Programme\Norton AntiVirus\Quarantine\4802362B tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:52:54 2004 => File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0008549.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:55:50 2004 => File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009561.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

Fri Dec 17 13:32:49 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned

Fri Dec 17 13:32:49 2004 => C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected...

Fri Dec 17 13:32:49 2004 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned

Fri Dec 17 13:32:49 2004 => C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip not Scanned. Possibly password protected...

Fri Dec 17 13:55:36 2004 => C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009487.exe not Scanned. Possibly password protected...

Fri Dec 17 13:55:36 2004 => Result: ERROR!!! File C:\System Volume Information\_restore{7489A1A4-7AA3-4FF3-9069-9E0EABB34602}\RP3\A0009487.exe is Not Scanned

Hinzu kommen noch einige weitere Files "not scanned" bei spybot.

Fri Dec 17 14:25:26 2004 => Total Files Scanned: 27938
Fri Dec 17 14:25:26 2004 => Total Virus(es) Found: 5
Fri Dec 17 14:25:26 2004 => Total Disinfected Files: 0
Fri Dec 17 14:25:26 2004 => Total Files Renamed: 0
Fri Dec 17 14:25:26 2004 => Total Deleted Files: 0
Fri Dec 17 14:25:26 2004 => Total Errors: 35
Fri Dec 17 14:25:26 2004 => Time Elapsed: 00:55:00
Fri Dec 17 14:25:26 2004 => Virus Database Date: 2004/11/17
Fri Dec 17 14:25:26 2004 => Virus Database Count: 109753

HijackThis habe ich nochmals ausgeführt. Hier das Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 13:04:06, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Familie\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A320653-C0AB-4DB7-9B6E-8A00109ADFA7}: NameServer = 217.237.150.97,217.237.149.161
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wassermann

@ Wassermann

lade das ClearProg runter, leere damit die Ordner TEMP (C:\DOKUME~1\Familie\LOKALE~1\Temp), Temporary Internet Files, Cookies und den Verlauf.

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Dein Logfile sieht sauber aus. Du solltest Dir noch Ad-aware runterladen, Deinen Rechner damit scannen und die bestehenden Probleme beheben lassen, ausserdem verwendest Du mit dem IE einen Browser, der das Sicherheitsrisiko stark erhöht.

Pflichtlektüre:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

Hallo Shadowdance,

ich werde zunächst mal Deine Tips abarbeiten, insbesondere das aktuelle Service Pack herunterladen.

Seit ein paar Wochen benutze ich allerdings als Internetbrowser den Firefox 1.0. Den IE hatte ich über die Systemsteuerung > Software gelöscht. Dennoch wird er im Logfile von HijackThis angeführt. Im WindowsExplorer gibt es den Ordner IE aber noch. Z. Zt. bekomme ich ihn nicht gelöscht, da angeblich irgendwelche andere Programme diesen benutzen. Diese Programme finde ich jedoch nicht. Hast Du hierzu auch einen Tip?

Wassermann

@ Wassermann,

eigentlich sollte man den IE nicht löschen sondern nur nicht, bzw. nur für die Windows Updates verwenden. Es dürfte sich al sehr schwer und schwierig erweisen, den IE aus Windows zu entfernen, da er im System vernetzt ist. Es gibt ein Programm, um den IE zu entfernen, das muss ich aber erst suchen.

SD

Hallo Shadowdance,

vielen Dank für Deine bisherige Hilfe.

Dir, allen, die versucht haben mir zu helfen, aber auch allen am Forum Beteiligten wünsche ich ein gutes und virenfreies Jahr 2005.

Wassermann