Trojaner-Board - "Nail.exe" LogFile bitte um Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - "Nail.exe" LogFile bitte um Hilfe! (https://www.trojaner-board.de/20198-nail-exe-logfile-bitte-um-hilfe.html)

Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.

Widowstaste+R --> %temp% --> <enter>
Inhalt löschen

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und lösche folgende Dateien/Ordner

C:\WINDOWS\mm63.ocx
G:\Setups\Bearshare
G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.seri al.number.rar
scann jetzt mit Spybot und Ad-aware und lösche alle Funde

neu booten Aktuelles HJT posten
lade Regseeker und säubere deine Registrie

ok, hab alles gemacht..hier meine Hijackthis daten...
Anbei habe ich auch noch das ergebnis von Spybot S&D...ein einzieges problem konnte nicht behoben werden,da es angeblich in Gebrauch sein soll-hat das mit meiner Virenmeldung "Adware.BetterInternet" zu tun???

Logfile of HijackThis v1.99.1
Scan saved at 23:30:28, on 31.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\windows\system32\exhldcu.exe
C:\PROGRA~2\RAMBOO~1\RAMBOO~1.EXE
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ejtmunq] c:\windows\system32\exhldcu.exe r
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RamBooster] C:\PROGRA~2\RAMBOO~1\RAMBOO~1.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing)
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Und hier spybot S&D---:

MediaMotor: Program directory (Directory, fixed)
c:\program files\joystick networks\setup\

MediaMotor: Executable (File, fixed)
C:\WINDOWS\unstall.exe

MediaMotor: Executable (File, fixed)
C:\WINDOWS\hisistheurls.exe

MediaMotor: Link (File, fixed)
c:\Documents and Settings\All Users\Desktop\Screen Savers.url

MediaMotor: Link (File, fixed)
c:\Documents and Settings\All Users\Desktop\Joystick News.url

MediaMotor: Link (File, fixed)
c:\Documents and Settings\All Users\Desktop\Imgiant Instant Messenger.url

MediaMotor: Link (File, fixed)
c:\Documents and Settings\All Users\Desktop\free games to win real cash.url

MediaMotor: Link (File, fixed)
c:\Documents and Settings\All Users\Desktop\Celebrity News.url

MediaMotor: Link (File, fixed)
c:\Documents and Settings\All Users\Desktop\Cartoons and Animations.url

MediaMotor: Interface (Registry key, fixed)
HKEY_CLASSES_ROOT\Interface\{B2EEDA99-DA99-4D0D-9F7F-143C30521388}

MediaMotor: Interface (Registry key, fixed)
HKEY_CLASSES_ROOT\Interface\{A9136CFD-FD01-41B8-9969-0B37720ED8AB}

AbetterInternet: Web page (File, fixed)
C:\WINDOWS\abiuninst.htm

AbetterInternet: Settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc

AbetterInternet: Settings (Registry key, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc

SpyHunter: Program group (Directory, fixed)
C:\Programme\Enigma Software Group\

deinstalliere unter Systemsteuerung/Software das Programm FreePOPs und andere dir nicht bekannte Software

arbeite folgendes ab
http://forum.hijackthis.de/showthread.php?t=3172
der Zufallsschlüssel bei dir ist
c:\windows\system32\exhldcu.exe r
zu erkennen an dem zusätzlichen r. Ändert sich mit jeden Neustart

fixe im abgesicherten modus bei deaktivierter Systemwiederherstellung noch folgende Einträge:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [ejtmunq] c:\windows\system32\exhldcu.exe r
O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing)

lösche von Hand soweit noch vorhanden:

C:\WINDOWS\Nail.exe
c:\windows\system32\exhldcu.exe
C:\Programme\FreePOPs

poste ein neues HJT

Ok, ich werde es versuchen. Anbei nochmal ein kleiner Bericht von deinem Online Virenscanner-und das, obwolh ich alles was ihr mir gesagt habe durchlaufen lassen habe und beseitigt habe....

Ereignis Zustand Standort

Adware:adware/transponder Nicht desinfiziert C:\WINDOWS\abiuninst.htm
Spyware:spyware/adclicker Nicht desinfiziert C:\WINDOWS\usta32.ini
Adware:adware/aurora Nicht desinfiziert HKEY_CURRENT_USER\SOFTWARE\AURORA
Adware:adware/savenow Nicht desinfiziert HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET
Spyware:Spyware/Media-motor Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\Dc1.ocx
Adware:Adware/Transponder Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\Dc2.exe
Adware:Adware/Transponder Nicht desinfiziert C:\WINDOWS\system32\drykrg.exe
Adware:Adware/SAHAgent Nicht desinfiziert G:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\Dg2.rar[PhotoMagic.serial.number.exe][mmwork.exe]
Adware:Adware/KeenValue Nicht desinfiziert G:\Setups\Incredimail\incredimail_install.exe

besonders dieses "Aurora" geht mir zwischendurch auf die nerven,und "betterInternet" das hier nicht aufgelistet ist...
och menno, das kann doch echt nicht mehr normal sein oder?

Du hast ja sicher die Systemwiederherstellung noch deaktiviert
leere deinen Papierkorb
Sollte da nichts drin sein, lade den Total Commander und nehme folgende Einstellung vor:
Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok
Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA)

C:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500
C:\WINDOWS\abiuninst.htm
C:\WINDOWS\usta32.ini
G:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\
G:\Setups\Incredimail\

lade dir Regseeker und säubere damit die Registry (Haken unten links muss gesetzt sein)
Kontrolliere nach dem säubern ob die beiden Schlüssel noch vorhanden sind, wenn ja von Hand löschen
HKEY_CURRENT_USER\SOFTWARE\AURORA
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET
poste ein aktuelles HJT

Logfile of HijackThis v1.99.1
Scan saved at 00:13:17, on 02.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RamBooster] C:\PROGRA~2\RAMBOO~1\RAMBOO~1.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Soo, hab mal wieder alles gemacht ,was ihr gesagt habt...nur den eintrag "aurora" in der registry konne ich nicht mehr finden-also auch nicht löschern...
wenigstens ausnahmsweise mal keine spur voin "Nail.exe" im Hijack log..

Aber die Virenmeldung über "BetterInternet" kriegt ich immernoch und zwischendurch mal die virenmeldung "Adware.Medload"

kein plan wo ich mich das zeug her geholt habe-lade nichts "illegales" runter oder so...voll komisch und ihc hab das gefühl, dass wird immer mehr...

also im Logfile ist nichts schlechtes mehr zu sehen,

Zitat:

Aber die Virenmeldung über "BetterInternet" kriegt ich immernoch und zwischendurch mal die virenmeldung "Adware.Medload"

welche Datei wird da angemeckert?

es ist wird kein geanuer Pfad gezeigt, aber mein Virenscanner sagt, dass mehrere dateien/files betroffen sind..
hier mal was von meiner Virusscan-Homepage, schau mal unter was für namen (vor allem der letzte) "BetterInternet" noch bekannt ist...:

File names:
Varies:
Bi.dll and Biprep.exe
Belt.exe
Belt.ini
Belt.inf
Buddy.exe
ceres.dll
Susp.exe
Susp.ini
Susp.inf
Mxtarget FFGDEGOJ.ini
BTGrab.dll
laziqn.exe
thnall1b.exe
thnall1p.exe
thnall2r.exe
thnall1s
CCEJHONM.ini
IDDJHJM.ini
farmmext.exe
dlmax.dll
speeryox.dll
nnmzoq.exe
wbtvsffd.exe
speer2.dll
VoiceIP.dll
morphacl.dll
Pynix.dll
banner.dll
NAIL.EXE

dann schau nochmal hier vielleicht hilft das in deinem Fall weiter
http://www.spyware-removal.com/bette...uninstall.html