Nach dem Fixen sind die Dateien plötzlich wieder da...
 

Moin,
kann mir vielleicht jemand helfen. Ich habe nervige Pop Up Fenster, die ich nicht weg bekomme. Habe es mit Hijack This versucht, aber es hat nicht geholfen. Die automatische Suche findet auch einige schädliche Prozesse, aber wenn ich diese dann gefixt habe, sind sie bei der nächsten Auswertung wieder da... Kann mir jemand helfen ? Danke ! Bin übrigens nur noch heute da und dann erst Neujahr wieder online.

Hier mein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 16:21:43, on 28.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\HPOOPM07.EXE
C:\WINDOWS\JAVAAV.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP PSC 700 SERIES\BIN\HPODEV07.EXE
C:\WINDOWS\SYSTEM\JAVANZ.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 6600\CONNMNGMNTBOX.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\JAVANZ.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 6600\ECTASKSCHEDULER.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 6600\ELOGERR.EXE
C:\PROGRAMME\INTUWAVE\SHARED\MROUTERRUNTIME\MROUTERRUNTIME.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 6600\BROADCASTPROXY.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP PSC 700 SERIES\BIN\HPOEVM07.EXE
C:\PROGRAMME\NOKIA\PC SUITE FOR NOKIA 6600\SCRFS.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP PSC 700 SERIES\BIN\HPOSTS07.EXE
C:\PROGRAMME\HANSENET\HANSENET-PRODUKTE\APP\TANGOMANAGER.EXE
C:\WINDOWS\NTHM32.EXE
C:\WINDOWS\SYSTEM\JAVANZ.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP PSC 700 SERIES\BIN\HPODEV07.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {AAEAF0EF-4CCD-6801-830D-30AC3AB7C39B} - C:\WINDOWS\CRMI32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CreateCD50] "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe
O4 - HKLM\..\Run: [JAVAAV.EXE] C:\WINDOWS\JAVAAV.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [JAVANZ.EXE] C:\WINDOWS\SYSTEM\JAVANZ.EXE
O4 - HKLM\..\RunServices: [NTHM32.EXE] C:\WINDOWS\NTHM32.EXE
O4 - Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: PCSuiteForNokia6600 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
O4 - Startup: PCSuiteForNokia6600 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

Hallo,

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_me.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {AAEAF0EF-4CCD-6801-830D-30AC3AB7C39B} - C:\WINDOWS\CRMI32.DLL
O4 - HKLM\..\Run: [JAVAAV.EXE] C:\WINDOWS\JAVAAV.EXE
O4 - HKLM\..\RunServices: [JAVANZ.EXE] C:\WINDOWS\SYSTEM\JAVANZ.EXE
O4 - HKLM\..\RunServices: [NTHM32.EXE] C:\WINDOWS\NTHM32.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

Lösche diese Dateien:
C:\WINDOWS\JAVAAV.EXE
C:\WINDOWS\SYSTEM\JAVANZ.EXE
C:\WINDOWS\NTHM32.EXE
C:\WINDOWS\CRMI32.DLL

Danach dies ausführen:
http://www.trojaner-board.de/showpos...6&postcount=31

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

hi

1) lade dir remv3.zip herunter forums.skads.org und hier unter Attached File(s)) GANZ UNTEN.
2) entpacke es im verzeichnis C:\remv3
3) starte den rechner im abgesicherten modus.
4) starte die datei remv3.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
8) erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein (diese erstmal so belassen)

sollten die 015 einträge nach cidres anweisung noch vorhanden sein, probiere das aus ;)

Vielen Dank für die schnellen Antworten ! Werde ich im neuen Jahr gleich ausprobieren, da ich es heute nicht mehr schaffe... Wünsche euch einen guten Rutsch !