Trojaner-Board - Hilfe !!! Your System Is Infected !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe !!! Your System Is Infected ! (https://www.trojaner-board.de/20864-hilfe-your-system-is-infected.html)

Hilfe !!! Your System Is Infected !

hi leute - brauche mega dringend hilfe..

habe ein nettes blaues wallpaper mit der aufschrift "YOUR SYSTEM IS INFECTED" und habe null ahnung wie ich dieses wieder wegbekomme....

antivir hat schon einieges gefunden und beseitigt aber der screen geht nicht mehr weg !

hier mal mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:13:55, on 16.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\D-Sign - 1\Desktop\FxMydoom.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\D-Sign - 1\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082605 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p LPT1: -pn "69.laserjet 1010" -n 0 -l 1031 -sl 120000
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

im vorraus schon mal danke für eure hilfe.....
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Hallo,
ich kann erstaunlicherweise nichts entscheidendes finden. Hast du das mydoom Removeltool installiert?
C:\Dokumente und Einstellungen\D-Sign - 1\Desktop\FxMydoom.exe
Folgendes kannst du mal fixen:
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - hxxp://www.px24.com/ax/px_client_en.cab
Lass mal Escan drüberlaufen und poste dann den Inhalt der C:\eScan_neu.txt

Grüße Wildone

:( ja das hab ich auch grad bemerkt das da nix besonderes steht - lasse wie du auch schon gesehen hast grade das symantec mydoom fx drüberlaufen... aber der findet bis dato nix.... so´n mist !!!!

gebe dir gleich den report von escan

danke schonmal....

ähm ja

@wildone wie kommst du beim bluescreen als background auf mydoom? für mich deutet das auf einen smitfraud hin..
naja wird sich ja gleich zeigen, was es ist.

wenns ein smitfraud ist: smitfraud entfernen-Anleitung durchführen

Hallo,
auf smitfraud deuten halt keine aktiven Prozesse oder Autostarteinträge hin, aber war auch mein erster Gedanke.
Das mit Mydoom bezog sich auf diesen laufenden Prozess(Mydoomremover), der mich verwundert hat, deswegen mein Nachfragen an den TE:
C:\Dokumente und Einstellungen\D-Sign - 1\Desktop\FxMydoom.exe
@Haui32 :P da war ich schneller :D

Grüße Wildone

Zitat:

Zitat von Chris14

ähm ja

@wildone wie kommst du beim bluescreen als background auf mydoom? für mich deutet das auf einen smitfraud hin..

Es läuft ein Mydoom-Removaltool im Hintergrund. Wildone hat damit nichts zu schaffen.

Ich tippe auch auf Smitfraud, wobei ein Screenshot wahrscheinlich hilfreich wäre.

achso^^ ich habs falsch gelesen oO sry^^

Zitat:

Zitat von Chris14

hmm ja, aber auf einen mydoom weist doch das removaltool das er auf den desktop gedownloadet hat auch nicht hin.

Hat auch keiner behauptet. Wildone hat doch nur gefragt, ob das Removaltool installiert ist ;)

Hallo,
um es noch mal klarer zu formulieren, ich wollte sicher gehen das dieser Prozess auch das Mydoom removel Tool ist, und nicht irgendwelche andere Malware, ich habe mit keinem Satz erwähnt das auf dem Computer Mydoom ist.

[EDIT] Na dann sind ja jetzt alle Klarheiten beseitigt :D [/EDIT]

Grüße Wildone

post editiert ;) ich habs schon gemerkt, wie bereits gesagt - verlesen :balla:

hi,
danke für eure antworten...
ich habe jetzt nochmal escan laufen lassen und mit find.bat folgenden report erhalten !
habe dann versucht mit eScan Chek die daten zu löschen (im abgesicherten modus) & sys wiederherstellung abgeschaltet ! eScan Chek stürzt aber im abgesicherten modus immer ab bzw. fährt garnicht hoch ! habe dann versucht die viren mit killbox zu töten aber dieses scheiter im abgesicherten modus ebenfalls ....

hier erstmal der find.bat report von eScan...

bitte um hilfe ist arg dringend !

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Aug 17 10:01:47 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Wed Aug 17 10:01:47 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Wed Aug 17 10:01:47 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Aug 17 10:14:02 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Wed Aug 17 10:14:02 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Wed Aug 17 10:14:02 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Aug 17 10:23:25 2005 => File C:\escheck\ECBackup\a81fe65e-abea-4a4e-90fc-3a5250.bkp infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:23:26 2005 => File C:\escheck\ECBackup\cool[1].chm.bkp infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:23:26 2005 => File C:\escheck\ECBackup\cool[2].chm.bkp infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:23:26 2005 => File C:\escheck\ECBackup\cool[3].chm.bkp infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:23:26 2005 => File C:\escheck\ECBackup\get[1].htm.bkp infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:23:26 2005 => File C:\escheck\ECBackup\get[1].php.bkp infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:23:26 2005 => File C:\escheck\ECBackup\get[2].htm.bkp infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:29:05 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Aug 17 10:37:09 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Wed Aug 17 10:37:09 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Wed Aug 17 10:37:09 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Aug 17 10:37:12 2005 => Total Disinfected Files: 0
Wed Aug 17 10:41:49 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Wed Aug 17 10:41:49 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Wed Aug 17 10:41:49 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Aug 17 10:45:31 2005 => File C:\WINDOWS\System32\vxh8jkdq1.exe infected by "Trojan-Downloader.Win32.Small.bho" Virus! Action Taken: No Action Taken.
Wed Aug 17 10:45:31 2005 => File C:\WINDOWS\System32\vxh8jkdq8.exe infected by "Trojan-Downloader.Win32.Small.bho" Virus! Action Taken: No Action Taken.
Wed Aug 17 11:00:51 2005 => File C:\escheck\ECBackup\get[1].php.bkp infected by "Trojan-Downloader.JS.IstBar.x" Virus! Action Taken: No Action Taken.
Wed Aug 17 11:11:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Aug 17 11:56:19 2005 => File C:\WINDOWS\system32\vxh8jkdq1.exe infected by "Trojan-Downloader.Win32.Small.bho" Virus! Action Taken: No Action Taken.
Wed Aug 17 11:56:19 2005 => File C:\WINDOWS\system32\vxh8jkdq8.exe infected by "Trojan-Downloader.Win32.Small.bho" Virus! Action Taken: No Action Taken.
Wed Aug 17 11:56:57 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Aug 17 10:43:21 2005 => File C:\WINDOWS\System32\23219500.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 10:43:21 2005 => File C:\WINDOWS\System32\23254843.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 10:43:21 2005 => File C:\WINDOWS\System32\65703.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 10:43:21 2005 => File C:\WINDOWS\System32\71234.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 11:28:19 2005 => File C:\Programme\Microsoft AntiSpyware\Quarantine\99679855-BADA-496C-97C5-175392\F60F1E5E-9923-44DD-9A2D-7D4790 tagged as "not-a-virus:AdWare.SurfAccuracy.c". Action Taken: No Action Taken.
Wed Aug 17 11:28:21 2005 => File C:\Programme\Microsoft AntiSpyware\Quarantine\E0D740F4-E6D8-4015-B4A8-DDC5D2\1B578609-5BF4-4F31-BA04-C8261E tagged as "not-a-virus:AdWare.PowerScan.d". Action Taken: No Action Taken.
Wed Aug 17 11:46:32 2005 => File C:\WINDOWS\system32\23219500.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 11:46:32 2005 => File C:\WINDOWS\system32\23254843.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 11:46:32 2005 => File C:\WINDOWS\system32\65703.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
Wed Aug 17 11:46:32 2005 => File C:\WINDOWS\system32\71234.exe tagged as "not-a-virus:AdWare.ToolBar.Zbar.h". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Aug 17 10:37:12 2005 => Total Virus(es) Found: 4
Wed Aug 17 11:56:57 2005 => Total Virus(es) Found: 19
Wed Aug 17 10:37:12 2005 => Total Errors: 3
Wed Aug 17 11:56:58 2005 => Total Errors: 29
Wed Aug 17 10:37:12 2005 => Time Elapsed: 00:00:54
Wed Aug 17 11:56:58 2005 => Time Elapsed: 01:16:09
Wed Aug 17 10:37:12 2005 => Total Objects Scanned: 1882
Wed Aug 17 11:56:57 2005 => Total Objects Scanned: 76936
Wed Aug 17 10:00:14 2005 => Virus Database Date: 2005/08/09
Wed Aug 17 10:10:45 2005 => Virus Database Date: 2005/08/09
Wed Aug 17 10:35:35 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 10:37:13 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 10:37:27 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 10:40:13 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 11:56:58 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 11:57:10 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 12:07:53 2005 => Virus Database Date: 2005/08/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hallo@DSign69

Gehe in die registry

Start-->Ausfuehren-->regedit

loeschen:
HKLM\SOFTWARE\Classes\ZToolbar

smitRem TOOL (Entfernungstool)
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

im Normalmodus:

loesche alle Dateien in:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\
kannst du machen mit:
CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

es sieht mehr oder weniger so aus, was zu loeschen ist:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\5.qtdfmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\6.qtdfmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\7.qtdfmp

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\23219500.exe
C:\WINDOWS\system32\ztoolb009.dll
C:\WINDOWS\system32\23254843.exe
C:\WINDOWS\system32\65703.exe
C:\WINDOWS\system32\71234.exe
C:\WINDOWS\system32\vxh8jkdq1.exe
C:\WINDOWS\system32\vxh8jkdq8.exe

PC neustarten

Lade Ewido von dieser Seite -- im abgesicherten Modus scannen (poste mir das Log vom Scan)
http://nikita.eddys-domain.de/Ewido.html

Hallo,
das sieht ja prächtig aus, lass mal Ad-Aware und Spybot drüberlaufen (am besten auch im abgesicherten Modus), lösche alle deine Backupordner der AV-Programme:
File C:\escheck
dann löschst du die MWAV.LOG, läßt noch mal Escan laufen und postest wieder das Ergebnis.

Grüße Wildone

Hallo,
@Sabina
Nur damit ich das in Zukunft auch finde, wo ist denn hier der Hinweis auf eine Smitfraud Verseuchung?

Grüße Wildone

hi sabina,
danke für dein feedback...

nur 1 problem haben wir: "HKLM\SOFTWARE\Classes\ZToolbar" existiert in meiner regedit nicht :(

un nu ?