problem gelöst (?)
 

hallo allerseits.

heute ist bei mir das "Beim Versuch ... zu kontaktieren wurde die Verbindung zurückgesetzt" - Problem aufgetreten. (bei ebay und e-banking)
hab dann einige einträge zu diesem problem überflogen und mal versucht,
mir selbst zu helfen.
habe hijackthis gezogen und machte einen check. danach liess ich die chose gleich auswerten und habe schlussendlich 2 sachen gelöscht, bei denen der kommentar "Böse - unbedingt fixen" angezeigt wurde.

das hat dann auch tatsächlich geklappt und ich kann mich wieder einloggen.

ich hatte schon öfter probleme, welche ich eigentlich immer lösen konnte,
aber ich bin mir bis heute alles andere als sicher, dass mein rechner frei von
spy-ware ist, da immer wieder kleine probleme auftauchen.
nun hoffe ich natürlich, dass es nicht nötig ist mein system neu aufzusetzen,
bin mir dessen aber nicht sicher, weshalb ich dachte, ich poste einfach mal ein log-file und hoffe, dass ihr mir nichts erzählt, was ich nicht hören will...

ich hoffe, das geht so in ordnung. bin übrigens, so wie viele ratsuchende hier,
ein blutiger anfänger und verstehe nicht allzuviel von dem ganzen zeug.


bin für jede hilfe dankbar:

-----------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 21:08:23, on 10.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\sony\giga pocket\shwserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\sony\vaio media music server\SSSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\Programme\sony\giga pocket\GPVSvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\sony\keyboard closure setup\KSWServ.exe
C:\Programme\sony\usbsircs\usbsircs.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\sony\giga pocket\RM_SV.exe
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
D:\Music\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Keyboard Closure Setup.lnk = ?
O4 - Global Startup: Remocon-Treiber.lnk = ?
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23a4d5833eea077af906/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Programme\sony\giga pocket\shwserv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Programme\sony\giga pocket\halsv.exe
O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Programme\sony\giga pocket\RM_SV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Programme\sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

--------------------------------------------------------------------------


es gab da noch weitere dinger, die mit "unnötig" oder "unbekannt" betitelt waren, die habe ich aber sein gelassen.

hoffe jemand kann damit was anfangen.

vielen dank.

mpc101

Logfile of HijackThis v1.99.1
Scan saved at 21:08:23, on 10.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

ich weiss nicht, ob bei dir noch "was ist",
aber mit dem SP2 (service pack 2) wärst du besser dran.

http://www.microsoft.com/downloads/d...DisplayLang=de

ok, dankeschön. bin froh wenn man nichts erkennen kann.
(obwohl mir natürlich bewusst ist, dass dies gar nichts heissen muss)

ich habe aufgehört, die servicepacks runter zu laden, nachdem unmittelbar nach einem update fehlermeldungen aufzutauchen begannen, die ich bis heute noch bekomme. irgendwas "sony frame ...hat ein problem festgestellt und muss beendet werden", kommt immer beim aufstarten 3 mal, nachdem ich die meldung schliesse, läuft alles wie immer weiter.. (ist wohl ein VAIO ding..)

ich habe dann mal gelesen, dass die servicepacks nicht sehr viel taugen und
da ich sowieso nortons antivirus und internet security benutze, dachte ich mir
ich brauch kein sp1 oder sp2.

hab's mir aber jetzt runtergeladen und bis jetzt keine probeme gehabt,
danke für den tipp.


FRAGE: was könnte ich denn sonst noch tun, um zu überprüfen ob und wie sauber mein rechner ist?

gruss

mpc101

naja, einen e-scan. (genau nach anleitung)
http://www.trojaner-board.de/showthread.php?t=24192

zum SP2 - ich weiss, dass es die "runde" ging >"bloß kein update machen, dann funktioniert nichts mehr"<

hatte ich, als ich meinen ersten pc hatte, auch gesagt bekommen.

in wirklichkeit geht aber früher oder später nichts mehr, wen mans nicht hat.
entweder, weil man sich durch die noch offenen sicherheitslücken was "holt", oder weil ein programm oder ein spiel das sp2 braucht.

allerdings - auch wenn alles aktuell ist, kann es fehler geben.
ich hab gesehen, dass du zb "clicktionary" installiert hast. hatte ich auch mal, und ich fands gar nicht schlecht, aber es verursachte fehler, obwohl bei mir alles aktuell war. -> der IE liess sich nicht weiterleiten oder blieb immermal leer offen stehen
(war wohl ein einzelfall)
das liegt dann entweder an einem fehler im programm selbst, oder in verbindung mit etlichen verschiedenen programmen usw

Hallo mpc,
ein großer Sony-Vario -Liebhaber ?Das ist sicher alles beim Kauf dabeigewesen.Überlege einmal ob die die Programme schonmal benutzt hast oder glaubst sie brauchen zu können.Viele Programme-viele MÖGLICHE Schwachstellen.Für sicherheitsbewußte Anwender ist dieser Link gemacht worden :
http://www.trojaner-board.de/showthread.php?t=12154
Für dich der Abschnitt ab "vor dem ersten Gang ins Internet" über die Einstellungen und Konfigurationen des Systems.
Deine vielen "file missing" Einträge sind tote Sachen ohne Funktion.Sie bremsen nur dein System aus.Mit dem Programm "Regseeker" das du über Google findest, kannst du das ausräumen.Stelle deine bevorzugte Sprache ein und klicke "Registrierung säubern" so oft bis alles gelöscht ist.Achte darauf das links unten in dem Programm die Sicherung eingeschaltet ist.Falls irgendwas nicht mehr funktionieren sollte kannst du aus "Sicherung" das Gelöschte wieder herstellen.
Irrlicht

hehe, nein kein liebhaber, hab mir den vaio mehr aus platzgründen gekauft.
(habe dieses kompakte ding, das aussieht wie ein riesennotebook..)
ja, da gibts bestimmt das ein oder andere programm, welches ich nicht vermissen werde. ich check das mal ab, danke.

@cotton: ich wede clicktionary auch wieder rauswerfen. ich mochte es zwar gut, aber seit einiger zeit spinnt es ein bisschen..geht sowieso nichts über leo..

zum E-SCAN: ich lass ihn gerade durchlaufen auf meinem anderen pc.
ich bin mir nicht ganz sicher, ob ich richtig verstanden habe:

falls ich nicht gleich selber die mal-ware entferne, sondern zuerst mein log-file hier poste, muss ich dann den scan nochmals machen, um die ware zu löschen, oder geht das von dem file aus, welches ich gespeichert habe?

ich mache mir weniger sorgen darum, ob die beanstandeten dateien auch wirklich zulöschen sind, als um eventuelle weitere schritte...

bin froh um rasche antwort.

gruss, mpc

dauert ganz schon lange..(e-scan, mein ich)

Ich bin ein sehr erfahrener User des Trojaner-Boards ich empfehle dir
Dein Computer wegzuwerfen

mfG

meine fresse, 5 stunden hat der spass gedauert..

bin jetzt ein bisschen verwirrt, denn als ich e-scan noch geöffnet hatte,
waren 26 infizierte files schön untereinander aufgelistet.
muss ich die jetzt alle zusammen suchen?? tu mich ein bisschen schwer damit,
denn mein log.file ist riesig.

ist das normal, dass es so lange dauert? ich hoffe, ich muss diesen scan nicht nochmals durchführen..

>>>> ich komm irgendwie nicht auf 26 stück...
--------------------------------------------------------------------------------------------------------------------------------------------
Edit: dies hatte ich aus der "virus log information" kopiert, das müsste eigentlich vollstäbdig sein.
seltsamerweise sind es aber mehr als 26 files.. :


Object "mybar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "netster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "netster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "myway Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "windows adstatus Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "advsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sahagent Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cydoor.topicks.a Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\WinStatX.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adobe\fonts\TempCMap\Reqrd\CMaps\H". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Vc" refers to invalid object "C:\Programme\sony\vaio media 2.5\Vc". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".oem". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sil". Action Taken: No Action Taken.
Entry "HKCR\.386" refers to invalid object "vxdfile". Action Taken: No Action Taken.
Entry "HKCR\.bc!" refers to invalid object "BitCometUnfinishedFile". Action Taken: No Action Taken.
Entry "HKCR\.bkf" refers to invalid object "msbackupfile". Action Taken: No Action Taken.
Entry "HKCR\.fpl" refers to invalid object "foobar2000.fpl". Action Taken: No Action Taken.
Entry "HKCR\.m3u8" refers to invalid object "foobar2000.m3u8". Action Taken: No Action Taken.
Entry "HKCR\.pcb" refers to invalid object "PCBFile". Action Taken: No Action Taken.
Entry "HKCR\.ppi" refers to invalid object "ppifile". Action Taken: No Action Taken.
Entry "HKCR\.vxd" refers to invalid object "vxdfile". Action Taken: No Action Taken.
Entry "HKCR\AcroAccess.AcroAccess" refers to invalid object "{C523F39F-9C83-11D3-9094-00104BD0D535}". Action Taken: No Action Taken.
Entry "HKCR\AcroAccess.AcroAccess.1" refers to invalid object "{C523F39F-9C83-11D3-9094-00104BD0D535}". Action Taken: No Action Taken.
Entry "HKCR\AcroAccess.AcrobatAccess" refers to invalid object "{C523F39F-9C83-11D3-9094-00104BD0D535}". Action Taken: No Action Taken.
Entry "HKCR\AcroAccess.AcrobatAccess.1" refers to invalid object "{C523F39F-9C83-11D3-9094-00104BD0D535}". Action Taken: No Action Taken.
Entry "HKCR\MyWayToolBar.NetscapeShutdown" refers to invalid object "{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}". Action Taken: No Action Taken.
Entry "HKCR\MyWayToolBar.NetscapeShutdown.1" refers to invalid object "{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}". Action Taken: No Action Taken.
Entry "HKCR\MyWayToolBar.NetscapeStartup" refers to invalid object "{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}". Action Taken: No Action Taken.
Entry "HKCR\MyWayToolBar.NetscapeStartup.1" refers to invalid object "{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}". Action Taken: No Action Taken.
Entry "HKCR\MyWayToolBar.SettingsPlugin" refers to invalid object "{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}". Action Taken: No Action Taken.
Entry "HKCR\MyWayToolBar.SettingsPlugin.1" refers to invalid object "{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}". Action Taken: No Action Taken.
Entry "HKCR\OfficeObj.OfficeObj11.1" refers to invalid object "{F7107F37-C761-4748-B686-055F45889DCD}". Action Taken: No Action Taken.
Entry "HKCR\PDFShellServer.PDFShellInfo" refers to invalid object "{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}". Action Taken: No Action Taken.
Entry "HKCR\PDFShellServer.PDFShellInfo.1" refers to invalid object "{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\sergio martinelli\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
File C:\Program Files\Windows AdStatus\WinStatComm.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\25EC1DFC tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\532E6CF3 tagged as "not-a-virus:AdWare.Win32.WinAD.t". Action Taken: No Action Taken.
File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.






-------------------------------------------------------------------------------------------------------------------------------------------------



ich nehme mal schwer an, die können (müssen) alle gelöscht werden?

Hallo,

schau Dir mal dieses Tutorial an.

Gruß

Schrulli

editiert!!

ja, ich habe das tutorial gelesen, danke.
da steht, dass man, falls man unsicher sein sollte,
besser die ergebnisse ins forum kopiert.
ich kann mir natürlich denken, dass alles gelöscht werden muss, aber ich würde auch gerne noch die meinung von jemandem einholen, der ein bisschen mehr von der materie versteht.
>kann man die ware löschen und damit hat sich's?, muss ich neu aufsetzten? etc.

vielen dank

mpc

Hallo,

@mpc101

Also irgendwie verstehe ich Dich nicht. Der Fehler liegt doch dann hier wohl mal an der Sony Software, gleiche Problem hat man oft mit Asus Hardware, nur dann wirft man die Flinte nicht ins Korn, sondern steigt dem entsprechenden Support auf die Füsse, meist gibt es da Bugfixes

Mich wundert, dass hier noch keiner von den "großen" gepostet hat. Weiterhin frage ich mich, wer diesen Schmarn heute noch erzählt. Es ist zwar richtig, dass im speziellen das SP2 einige "Aufgabenstellungen" mit sich bringt, aber es ist mittlerweile so lang auf dem Markt, das diese meist schon gelöst sind, daher ist der Einsatz dieser Service Packs nur zu empfehlen. Falls das nicht geschieht, ist das installierte System über alte bekannte Sicherheitslücken anfällig.
Also immer Updates ziehen, oder darf ich Dir mal ein wmf Bild schicken? ;)
Dann noch diese unsägliche Symantec Software. Ich fand die ja auch mal gut, weil einfach, aber man muss sich doch auch mal was sagen lassen können und diese Software Suite ist halt einfach schlecht, sicherlich besser als kein Virenschutz, dennoch schlecht. Sie gauckelt dem User einen guten Schutz vor, der reel nicht besteht. Die Symantec Firewall macht hier keine Ausnahme, siehe das Video hier , da wird selbige gezielt "abgeschossen".

Auch wenn Du jetzt das SP2 hast, solltest Du Deine Sicherheitskonzept überdenken.

Ist nicht bös gemeint und ich lasse mich gerne korrigieren.

Gruß

Schrulli

Hallo,

lösche folgende Dateien manuell (besser im angesicherten Modus):

File C:\Dokumente und Einstellungen\sergio martinelli\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip

File C:\Program Files\Windows AdStatus\WinStatComm.dll

File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL

Lösche den Symantec Quarantäne Behälter (hättest Du schon vor dem Scan machen sollen)

Da drin ist dann :
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\25EC1DFC

File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\532E6CF3

File C:\WINDOWS\system32\70tovmto.ini

Nun Die Registry säubern, z.b. mit Regseeker

Gruß

Schrulli

sorry für die dumme frage, aber ist symantec und norton internet security ein und dasselbe? und norton anti-virus gehört auch zum selben paket, also soll ich
alles auswechseln bei gelegenheit?

und noch ne dumme frage: wie kann ich den quarantäne ordner richtig löschen?
ich bin bei programme in den norton ordner gegangen und habe da den ordner
quarantine gelöscht, der war aber schon leer. war's das schon oder was muss ich tun um ihn richtig zu löschen? ich meine, der hätte ja eigentlich was enthalten sollen, oder?

gruss

mpc

also, habe alles erledigt. regseeker habe ich im nicht abgesicherten modus
durchgeführt, hoffe das war richtig.
den quarantäne ordner habe ich mit dem "total commander" nicht mehr gefunden, weil ich ihn schon vorher in windows gelöscht habe.
hoffe auch das war ok..

soll ich jetzt nochmal eine log.file posten und wenn ja, was für eine? (e-scan oder hi-jack)

entschuldigt meine unbeholfenheit und danke für den support

mpc

eScan .............

@mpc101
ja.

ok, werd ich so bald als möglich tun.

was anderes:

als ich heute meinen rechner aufstartete war norton anti virus deaktiviert.
es lässt sich nicht mehr aktivieren. bin auf der support seite das problem menü durchgegangen, hat aber nichts genützt..

da norton sowieso nocht gerade den besten schutz bietet, werd ich mir gleich mal "zone alarm" runterladen und installieren. ausser ihr könnt mir eine bessere firewall empfehlen. (sollte wenn möglich kostenlos sein)

frage: ich versteh nicht ganz den unterschied zwischen norton antivirus und
norton internet security. brauch ich für beides einen ersatz, oder reicht das aus wenn ich einfach die firewall austausche?


gruss, mpc.

@mpc101
norton macht langsam. hab ich gelesen, gehört und selbst festgestellt.

ZA ist meiner meinung nach "gut".
was den schutz angeht werden dir "die anderen" sicher noch was sagen können.

ZA mach sinn, weil du entscheiden kannst, was ins netz darf. (nach hause telefonieren) (wenn ZA es bemerkt)

Hallo,

schau mal hier zum Thema Firewalls .

Der Einsatz von PF ist demnach abzuraten! Lieber die Dienste nach diesem Link konfigurieren.

Gruß

Schrulli

ja, ich habe hier einfach schon mehrfach gelese, dass die "normalen" antivirenproggis,
die wirklich grossen bedrohungen sowieso nicht erkennen.
darum habe ich mich gefragt, wieviel sinn es macht norton internet security zu behalten.
ich habe ja auch "ad-aware se personal" und "search & destroy",
die sind doch wohl mindestens so gut, oder?

zu zone alarm:
ich hatte ZA schon einmal kurz drauf und was du da sagst,
war genau das, was mich ein bisschen "überfordert" hat. ich werde gleich paranoid, wenn es heisst:
es fällt mir einfach schwer zu entscheiden, welche verbindungen ich zulassen darf und welche nicht.
ich lad mir ja auch gerne mal was runter und weiss zwar, dass diese meldung nichts böses bedeuten muss,
bin aber trotzdem jedesmal verwirrt..

@mpc101

ich meinte nur firewalls. antivirenprogramme haben sinn.
spybot und ad-aware ebenfalls.

es heisst ja, wenn man eine software/programm nicht versteht, braucht man es nicht.
anderer seits, muss man immer ein bisschen lesen usw

ZA erklärt sich meiner meinung nach doch eigentlich von selbst.

aber fragen kostet nichts ;)

irgendwas stimmt da nicht..
habe jetzt ZA drauf, aber kann nicht ins internet, solange es aktiviert ist..
das war das letzte mal nicht so. ich habe norton komplett deinstalliert, weil ich dachte, dass es vielleicht daran liegen könnte, dass die zwei sich nicht vertragen. (obwohl dies ja auch kein problem war als ich ZA das letzte mal drauf hatte). aber ich kann immernoch nur dann ins internet, wenn ZA deaktiviert ist.

was kann ich dagegen tun?
>>ich habe im ZA kontrollcenter dann unter programmeinstellungen gesehen, dass mozilla gesperrt war. es gibt da zwei sparten:

"ZUGRIFF" und "SERVER" unter jeder kann man je ein häkchen für "sicher" und für "internet" setzen. was bedeutet das? ich habe alle vier häkchen gesetzt, aber es geht noch immer nicht..

fühl mich gar nicht wohl, so "nackt" rumzusurfen...:(

die ganzen probleme treten ja erst auf, seit ich den eScan durchgeführt und
die registry gesäubert habe. ich habe mich übrigens als administrator in den abgesicherten bereich angemeldet und so den eScan durchgeführt, war das falsch??

edit: bitte ignorieren! ich war wohl ein bisschen vorschnell, muss mir das morgen nochmal in ruhe anschauen...:lach:

@mpc101
was hast du für eine internetverbindung? (dsl mit router, 56kmodem ...)
hast du dir schon das hier schon angesehen? http://dingens.org/:confused:
zu e-scan - nein.
aber das da was wengen regseeker oder escan nicht mehr läuft ...? (regseeker kannste das löschen wieder rückgängig machen, wenns denn daran liegt)

könnte dir ja ZA "erklären", aber eins nach dem anderen ...

habe leider noch immer keine zeit gehabt, den 2. eScan durchzuführen..

danke, das hat sich eigentlich erledigt. ist wirklich halb so wild...
nur einzelne meldungen, mit denen ich nichts anfangen kann.
z.B. wird Generic Host Process For Win32 Services gesperrt
was ist das für ein Prog.? ich weiss nur, dass ich da mal was rauslöschen musste..

und gerade neu angezeigt:
Die Firewall hat gesperrt Internet Zugriff auf Ihren Computer (TCP Port 6881) von 62.16.134.205 (TCP Port 1944) (TCP Flags: S)
was soll das denn? es hat keine zusätzliche info dazu, kann ich das einfach ignorieren?

ja, hab mir das mal angesehen, bin mir aber nicht sicher wegen dem router..

ich habe dieses ding hier:
http://images-eu.amazon.com/images/P...3.MZZZZZZZ.jpg das ist kein router, oder? (bin mir nicht sicher, weil der typ vom support die ganze zeit von meinem router gesprochen hatte beim installieren):confused:

Modem mit integriertem router.. bedeutet das nun, ich brauch "windows dienste abschalten" gar nicht, oder ist das was anderes?

Ja. (Wenn die Firewall im Router aktiviert und richtig konfiguriert ist. --> Handbuch)

Gruß :daumenhoc
Yopie

genau.
und wenn du ZA jetz noch benutzen willst, dann wäre das beste du deinstallierst und installiertst es nochmal, denn -

wenn du za installierst, dann musst du eigentlich nur alles aufmerksam lesen, und dir wird das wichtigste von windows (zb generic host process ...) voreingestellt.
ausserdem kommt doch eine an-/einleitung, nachdem du neugestartet hast.

die anleitung gibts aber auch als "flash lernprogramm" (siehe bild)
- da brauchst du nur zusehen/-hören.

allerdings hast du ja einen router mit ner firewall und brauchst ZA in sachen sicherheit nicht mehr.
genaugenommen ist es ein risiko mehr, denn es ist ein programm, und programme können fehler haben. diese fehler können benutzt werden deinen pc anzugreifen.
(wenn du die firewall im router richtig konfiguriert hast, dann siehst du in ZA bei "zugriffsversuche" dass sich da nichts mehr ändert, weil die routerfirewall "vieles blockt")

ich benutze ZA eigentlich nur, um zu wissen, was raus will.

hast du eine wlan-verbindung?
wenn nicht, ausschalten. wenn ja, absichern(!).

*e*
dingens.org kannst du aber trotzdem "nutzen" - stellt ja die unnötigen dienste ab, und dadurch soll sich die leistung des systems verbessern. (frag mich nicht wieviel)
schadet jedenfalls nicht.
*e*

Gut programmierte Malware wird kaum bei Deiner Firewall vorstellig werden.

Hallo,
und wenn da steht "svchost.exe will ins Internet" weiß Du auch was und warum das so ist? :D

Gruß

Schrulli

@MightyMarc & Schrulli

:D ja.
hab auch, seit ich das video von dingens.org gesehen hab, absolute keine zweifel mehr.
ich gedenke sie auch zu deinstallieren, muss mir aber noch nen tread (link) von yopie ansehen, zwecks ad-hoc ...

is halt schön, was man hier so alles lernt *schleim*

Hallo,
geht mir aber nicht anders! Jeden Tag was neues, machmal gut, machmal schlecht. :D

Gruß

Schrulli

ok, ich habe endlich mal zeit gefunden, nochmal einen eScan durch zuführen.
hier also meine zweite virus-logfile:


-----------------------------------------------------------------------------
Object "mybar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "netster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "netster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "windows adstatus Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "advsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sahagent Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\WinStatX.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\DOKUME~1\####~1\LOKALE~1\Temp\Rar$EX00.547\hijackthis.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Vc" refers to invalid object "C:\Programme\sony\vaio media 2.5\Vc". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".oem". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sil". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB817611". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB822827". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823182". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824105". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824141". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB825119". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB826367". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB826939". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828035". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828741". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB833407". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB833987". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB835409". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB835732". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB840987". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB841356". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB841533". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB842773". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB867282-IE6SP1-20050127.163319". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB871250". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB873376". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB883939-IE6SP1-20050428.125228". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB890923-IE6SP1-20050225.103456". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB891711". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB896426". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB896688-IE6SP1-20051004.130236". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB896727-IE6SP1-20050719.165959". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB897715-OE6SP1-20050503.210336". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB905495". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB905915-IE6SP1-20051122.175908". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (1.0.7)". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q327979". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "q329112". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329692". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q331958". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810400". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q811789". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813818". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813862". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813942". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q814995". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q815917". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q816048". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q828026". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Programme\Messenger\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\#######\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
--------------------------------------------------------------------------


hoffe ihr könnt mir dazu was sagen...


vielen dank im voraus


mpc

sch*****.. hab gerade bemerkt, dass ich den scan zwar im abgesicherten modus durchgeführt, jedoch die systemwiederherstellung vorher nicht deaktiviert habe.

dann muss ich wohl nochmal..

also, nochmal alles korrekt durchgeführt und hier das ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 14:32:39 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Sat Feb 11 14:32:39 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Feb 11 14:32:39 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Sat Feb 11 14:32:40 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Feb 11 14:32:43 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.
Sat Feb 11 14:37:27 2006 => File C:\Dokumente und Einstellungen\sergio martinelli\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Sat Feb 11 15:36:21 2006 => File C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.
Sat Feb 11 15:54:55 2006 => File C:\WINDOWS\I386\LOGONUI.EX_ infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.
Sat Feb 11 16:13:11 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Sat Feb 11 15:33:04 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\kazaa !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\limewire !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\myway !!!
Sat Feb 11 14:32:41 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Sat Feb 11 14:32:43 2006 => Offending file found: C:\WINDOWS\smdat32a.sys
Sat Feb 11 14:32:43 2006 => Offending Folder found: C:\WINDOWS\system32\sahimages
Sat Feb 11 14:32:43 2006 => Offending Folder found: C:\Programme\limewire
Sat Feb 11 14:32:43 2006 => Offending Folder found: C:\Programme\myway
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 11 16:13:11 2006 => Total Objects Scanned: 68272
Sat Feb 11 16:13:11 2006 => Total Critical Objects: 22
Sat Feb 11 16:13:11 2006 => Total Disinfected Objects: 0
Sat Feb 11 16:13:11 2006 => Total Deleted Objects: 0
Sat Feb 11 16:13:11 2006 => Total Errors: 68
Sat Feb 11 16:13:11 2006 => Time Elapsed: 01:41:06
Sat Feb 11 14:31:20 2006 => Virus Database Date: 2/3/2006
Sat Feb 11 16:13:11 2006 => Virus Database Date: 2/3/2006
Sat Feb 11 16:42:59 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

PLEASE HELP!!

ich habe schon wieder probleme mit dem internet..
kann ich die infizierten files einfach per killbox löschen, oder wirds komplizierter??

wäre sehr dankbar für ein bisschen hilfe!


gruss

mpc.

Mache folgendes:

Erstelle eine Textdatei und kopiere die folgenden Zeilen rein. Dann speichert Du sie mit dem Namen "del.bat" ab und kopierst die Datei ins Verzeichnis C:\. Im abgesicherten Modus Startest Du die del.abt und postest den Inhalt der del.log hier.

Bitte beachten: in Deiner del.bat müssen die ersten 2 Zeilen eine Zeile bilden !

del /F /S /Q C:\Dokumente und Einstellungen\sergio martinelli\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip >> C:\del.log
del /F /S /Q C:\WINDOWS\$NtServicePackUninstall$\logonui.exe >> C:\del.log
del /F /S /Q C:\WINDOWS\I386\LOGONUI.EX_ >> C:\del.log
del /F /S /Q C:\WINDOWS\smdat32a.sys >> C:\del.log
rmdir /S /Q C:\Programme\limewire >> C:\del.log
rmdir /S /Q C:\Programme\myway >> C:\del.log
rmdir /S /Q C:\WINDOWS\system32\sahimages >> C:\del.log
reg delete "HKLM\Software\kazaa !!!" /f >> C:\del.log
reg delete "HKLM\Software\limewire !!!" /f >> C:\del.log
reg delete "HKLM\Software\myway !!! /f >> C:\del.log
reg delete "HKLM\Software\windows adstatus !!!" /f >> C:\del.log
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\ameopt !!!" /f >> C:\del.log
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\uni nstall\limewire !!!" /f >> C:\del.log

Wahlweise kannst Du Dir die del.bat auch hier runterladen:
http://rapidshare.de/files/13251533/del.bat.html

ok, vielen dank erstmal.
hoffe ich hab das richtig gemacht, ging nämlich ganz fix...
es ging einfach so ein dos fenster auf, dann wurde ich gefragt ob gewisse files permanent entfernt werden können und nachdem ich "yes" eingegeben habe, war da dieses neue logfile (sehr kurz...) :

------------------------------------------------------------------------
Datei wurde gel”scht - C:\WINDOWS\$NtServicePackUninstall$\logonui.exe
Datei wurde gel”scht - C:\WINDOWS\I386\LOGONUI.EX_
Datei wurde gel”scht - C:\WINDOWS\smdat32a.sys
------------------------------------------------------------------------


war das korrrekt??

Hmmm da hätte eigentlich mehr passieren sollen...

Erstmal den Java-Cache leeren:

Systemsteuerung > Java > erster Reiter Dateien löschen > Alle Haken setzen und bestätigen
Danach auf Einstellungen und Maximalen Speicherplatz auf 0 MB einstellen.

Führe mal folgenden Befehl aus und poste die query.log

reg query HKLM\Software >> C:\query.log

hmm.. mit "start" > "ausführen" oder?? ich krieg das irgendwie nicht hin..
kannst du mir das ein bisschen genauer erklären?

start > ausführen > cmd (Enter drücken)

und dann das eingeben

sorry, aber ich peils immer noch nicht ganz..

habe im dos fenster "reg query HKLM\Software" eingegeben, dann kommt eine liste (falls dies bereits die log. ist, kann ich sie weder markieren noch kopieren),
un dann bin ich im verzeichnis C:>Dokumente und Einstellungen\mein name> da sollte ich dann C:\query.log eingeben??
das geht irgendwie nicht..
falls ich zuerst aus dem unterverzeichnis raus muss, wie mach ich das?
komme nicht mehr weiter..(sorry)

das soll im DOS-Fenster alles in eine Zeile

reg query HKLM\Software >> C:\query.log (Enter drücken)

Macht reg query und leitet die Ausgabe in die Datei C:\query.log um

ach so.. sorry!!:o

na dann, hier ist sie:



! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software
<NO NAME> REG_SZ

HKEY_LOCAL_MACHINE\Software\ACE Compression Software

HKEY_LOCAL_MACHINE\Software\Adobe

HKEY_LOCAL_MACHINE\Software\Agere

HKEY_LOCAL_MACHINE\Software\Ahead

HKEY_LOCAL_MACHINE\Software\Alcohol Soft

HKEY_LOCAL_MACHINE\Software\Apple Computer, Inc.

HKEY_LOCAL_MACHINE\Software\ASPI32

HKEY_LOCAL_MACHINE\Software\Audio2x.com

HKEY_LOCAL_MACHINE\Software\Azureus

HKEY_LOCAL_MACHINE\Software\Brother

HKEY_LOCAL_MACHINE\Software\C07ft5Y

HKEY_LOCAL_MACHINE\Software\Cakewalk Music Software

HKEY_LOCAL_MACHINE\Software\CDDB

HKEY_LOCAL_MACHINE\Software\Classes

HKEY_LOCAL_MACHINE\Software\Clients

HKEY_LOCAL_MACHINE\Software\Digital Design Ltd

HKEY_LOCAL_MACHINE\Software\Drag'n Drop CD

HKEY_LOCAL_MACHINE\Software\Drag'n Drop CD+DVD

HKEY_LOCAL_MACHINE\Software\Easy Systems Japan Ltd.

HKEY_LOCAL_MACHINE\Software\exPressit S.E. 2.1

HKEY_LOCAL_MACHINE\Software\fphfte

HKEY_LOCAL_MACHINE\Software\Gemplus

HKEY_LOCAL_MACHINE\Software\Globespan

HKEY_LOCAL_MACHINE\Software\GNU

HKEY_LOCAL_MACHINE\Software\Google

HKEY_LOCAL_MACHINE\Software\InstalledOptions

HKEY_LOCAL_MACHINE\Software\InstallShield

HKEY_LOCAL_MACHINE\Software\Intel

HKEY_LOCAL_MACHINE\Software\InterVideo

HKEY_LOCAL_MACHINE\Software\JavaSoft

HKEY_LOCAL_MACHINE\Software\Jens Fangmeier

HKEY_LOCAL_MACHINE\Software\Kazaa

HKEY_LOCAL_MACHINE\Software\LimeWire

HKEY_LOCAL_MACHINE\Software\Macromedia

HKEY_LOCAL_MACHINE\Software\Magnet

HKEY_LOCAL_MACHINE\Software\Microsoft

HKEY_LOCAL_MACHINE\Software\MoodLogic

HKEY_LOCAL_MACHINE\Software\Mozilla

HKEY_LOCAL_MACHINE\Software\mozilla.org

HKEY_LOCAL_MACHINE\Software\MozillaPlugins

HKEY_LOCAL_MACHINE\Software\MyWay

HKEY_LOCAL_MACHINE\Software\ODBC

HKEY_LOCAL_MACHINE\Software\Policies

HKEY_LOCAL_MACHINE\Software\Program Groups

HKEY_LOCAL_MACHINE\Software\RealNetworks

HKEY_LOCAL_MACHINE\Software\RichFX

HKEY_LOCAL_MACHINE\Software\ScanSoft

HKEY_LOCAL_MACHINE\Software\Schlumberger

HKEY_LOCAL_MACHINE\Software\sis

HKEY_LOCAL_MACHINE\Software\Soeperman Enterprises Ltd.

HKEY_LOCAL_MACHINE\Software\SoftShape

HKEY_LOCAL_MACHINE\Software\Sony

HKEY_LOCAL_MACHINE\Software\Sony Corporation

HKEY_LOCAL_MACHINE\Software\Symantec

HKEY_LOCAL_MACHINE\Software\Syntrillium

HKEY_LOCAL_MACHINE\Software\Visioneer

HKEY_LOCAL_MACHINE\Software\WebUpdate

HKEY_LOCAL_MACHINE\Software\Wildfire Studios

HKEY_LOCAL_MACHINE\Software\Windows 3.1 Migration Status

HKEY_LOCAL_MACHINE\Software\Windows AdStatus

HKEY_LOCAL_MACHINE\Software\winLAME

HKEY_LOCAL_MACHINE\Software\WordNet

HKEY_LOCAL_MACHINE\Software\Xing Technology Corp.

HKEY_LOCAL_MACHINE\Software\Yahoo

HKEY_LOCAL_MACHINE\Software\Zeon

HKEY_LOCAL_MACHINE\Software\Zone Labs

OK, das wollte ich wissen. Die del.bat konnte nicht funktionieren.

Probiere es mal mit dieser del2.bat (abgesicherter Modus) und poste den Inhalt der Datei C:\del2.bat

http://rapidshare.de/files/13266388/del2.bat.html

hm..da passiert auch nicht viel mehr:


------------------------------------------------------
Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.
------------------------------------------------------

mache ich was falsch?

So, und nun mal bitte ein neues HJT-Log

ok, here it is:

Logfile of HijackThis v1.99.1
Scan saved at 20:26:24, on 14.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\sony\giga pocket\shwserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\Programme\sony\giga pocket\GPVSvr.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\sony\giga pocket\RM_SV.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\sony\usbsircs\usbsircs.exe
C:\HijackThis.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Keyboard Closure Setup.lnk = ?
O4 - Global Startup: Remocon-Treiber.lnk = ?
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23a4d5833eea077af906/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Programme\sony\giga pocket\shwserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Programme\sony\giga pocket\halsv.exe
O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Programme\sony\giga pocket\RM_SV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Programme\sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

Papierkorb mal leeren und nochmal einen Scan mit eScan durchführen. Nach Adam Riese sollte dabei aber nichts mehr zu finden sein. Aber sicher ist sicher.

ok, werd ich machen.
vielen dank für deine hilfe.

jetzt hab ich aber trotzdem noch eine frage:

eScan hat mir zuvor ja 22 infizierte files angegeben, wovon 3 mit "trojan downloader" betitelt waren. wurden diese dinger bei den letzten aktionen, die ich nach deiner anleitung ausgeführt habe beseitigt? ich kann mich nämlich nicht erinnern, diese bewusst gefixt zu haben..

falls alles in ordnung ist, müssten dann also beim nächsten eScan tatsächlich auch "null" kritische objekte im ergebnis stehen?


dank und gruss

mpc101

Das nennt man dann wohl Wachkoma :D
Scherz beiseite. 9 Objekte wurden mit der del.bat gelöscht. Eins wurde durch das Leeren des Java Caches entsorgt. 4 sind imho belanglose Einträge die auf keine konkreten Dateien verweisen (imho nur auf die Infektion selbst), drei Hinweise auf leere Ordner und der Rest liegt im Papierkorb, den Du ja leeren solltest. Also im schlimmsten Fall sollte es vier Meldungen geben.

hahaha
mann, mann, mann, das ist mir fast ein bisschen unheimlich, was du alles über meinen rechner erzählen kannst...

also dann möcht ich mich nochmal ganz herzlich bei dir bedanken und mach mich so bald als möglich mal an den eScan..

gruss

mpc

Da ist überhaupt nichts unheimliches dabei. Das ist ganz einfach:

Diese Einträge sind nur allgemeine Feststellungen. System ist mit xyz infiziert.

Der Eintrag taucht später noch mal auf.

Das ist wie man am Pfad erkennen kann die Malware im Java-Cache.

3 infizierte Dateien. Die haben wir im ersten Durchgang (del.bat) gelöscht.

Die Patienten befinden sich im Papierkorb (...\RECYCLER\...)

Die wurden mit der del2.bat gelöscht.

Den hatte ich beim Erstellen der del2.bat übersehen bzw versehentlich rausgelöscht. Er müsste beim eScan also wieder auftauchen. Kosmetisches Problem. Lösung:

reg delete HKLM\Software\magnet\handlers\limewire /f

Die 3 Verzeichnisse hätte es mitlöschen sollen. Im Log steht davon nichts, was vermutlich daran liegt, dass die Löschbefehle dafür keine Rückmeldung liefern.

nun guck sich mal einer diese kleinen schweinchen an..

eScan hat wieder 9 stück angezeigt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jan 12 15:44:52 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Thu Jan 12 15:44:52 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Thu Jan 12 15:44:52 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Thu Jan 12 15:44:52 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Thu Jan 12 15:44:52 2006 => System found infected with myway Spyware/Adware ({0494d0d4-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Thu Jan 12 15:44:55 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.
Thu Jan 12 15:44:55 2006 => System found infected with advsearch Spyware/Adware (mydll.dll)! Action taken: No Action Taken.
Thu Jan 12 15:44:58 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Thu Jan 12 15:51:13 2006 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Thu Jan 12 20:27:08 2006 => Total Disinfected Objects: 0
Fri Feb 10 12:48:18 2006 => Total Disinfected Objects: 0
Fri Feb 10 12:49:31 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Fri Feb 10 12:49:31 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Fri Feb 10 12:49:31 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Fri Feb 10 12:49:31 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Fri Feb 10 12:49:36 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.
Fri Feb 10 12:49:36 2006 => System found infected with advsearch Spyware/Adware (mydll.dll)! Action taken: No Action Taken.
Fri Feb 10 12:54:21 2006 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Fri Feb 10 18:46:39 2006 => Total Disinfected Objects: 0
Sat Feb 11 11:49:32 2006 => Total Disinfected Objects: 0
Sat Feb 11 11:50:41 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Sat Feb 11 11:50:41 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Feb 11 11:50:41 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Sat Feb 11 11:50:41 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Sat Feb 11 11:50:45 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.
Sat Feb 11 11:50:46 2006 => System found infected with advsearch Spyware/Adware (mydll.dll)! Action taken: No Action Taken.
Sat Feb 11 11:55:31 2006 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv569.jar-560641e0-50694235.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Sat Feb 11 12:54:52 2006 => Total Disinfected Objects: 0
Wed Feb 15 18:23:59 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Wed Feb 15 18:23:59 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Feb 15 18:23:59 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Wed Feb 15 18:24:00 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Feb 15 20:04:14 2006 => Total Disinfected Objects: 0
Wed Feb 15 20:55:04 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Wed Feb 15 20:55:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Feb 15 20:55:05 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Wed Feb 15 20:55:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Feb 15 22:35:34 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jan 12 16:05:27 2006 => File C:\Program Files\Windows AdStatus\WinStatComm.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Thu Jan 12 16:34:28 2006 => File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Thu Jan 12 16:34:28 2006 => File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Thu Jan 12 16:34:41 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\25EC1DFC tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Thu Jan 12 16:34:41 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\532E6CF3 tagged as "not-a-virus:AdWare.Win32.WinAD.t". Action Taken: No Action Taken.
Thu Jan 12 17:08:05 2006 => File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
Fri Feb 10 13:50:16 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Fri Feb 10 13:50:16 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Fri Feb 10 13:50:16 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Fri Feb 10 13:50:16 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
Sat Feb 11 12:51:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Sat Feb 11 12:51:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Sat Feb 11 12:51:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Sat Feb 11 12:51:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
Wed Feb 15 19:24:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Wed Feb 15 19:24:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Wed Feb 15 19:24:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Wed Feb 15 19:24:09 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
Wed Feb 15 21:55:39 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc2.dll tagged as "not-a-virus:AdWare.Win32.WinAD.u". Action Taken: No Action Taken.
Wed Feb 15 21:55:39 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc3.DLL tagged as "not-a-virus:AdWare.Win32.MyWay.f". Action Taken: No Action Taken.
Wed Feb 15 21:55:39 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc4.EXE tagged as "not-a-virus:AdWare.Win32.MyWay.b". Action Taken: No Action Taken.
Wed Feb 15 21:55:39 2006 => File C:\RECYCLER\S-1-5-21-1621182911-3375218199-2936981263-500\Dc5.ini tagged as "not-a-virus:AdWare.Win32.Sahat.ao". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\gnu !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\limewire !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\myway !!!
Thu Jan 12 15:44:53 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Thu Jan 12 15:44:55 2006 => Offending file found: C:\WINDOWS\smdat32a.sys
Thu Jan 12 15:44:55 2006 => Offending file found: C:\WINDOWS\System32\mydll.dll
Thu Jan 12 15:44:55 2006 => Offending Folder found: C:\WINDOWS\System32\sahimages
Thu Jan 12 15:44:55 2006 => Offending Folder found: C:\Programme\limewire
Thu Jan 12 15:44:55 2006 => Offending Folder found: C:\Programme\myway
Thu Jan 12 15:44:58 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\gnu !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\kazaa !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\limewire !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\myway !!!
Fri Feb 10 12:49:33 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Fri Feb 10 12:49:36 2006 => Offending file found: C:\WINDOWS\smdat32a.sys
Fri Feb 10 12:49:36 2006 => Offending file found: C:\WINDOWS\system32\mydll.dll
Fri Feb 10 12:49:36 2006 => Offending Folder found: C:\WINDOWS\system32\sahimages
Fri Feb 10 12:49:36 2006 => Offending Folder found: C:\Programme\limewire
Fri Feb 10 12:49:36 2006 => Offending Folder found: C:\Programme\myway
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\gnu !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\kazaa !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\limewire !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\myway !!!
Sat Feb 11 11:50:43 2006 => Offending Key found: HKLM\Software\windows adstatus !!!
Sat Feb 11 11:50:45 2006 => Offending file found: C:\WINDOWS\smdat32a.sys
Sat Feb 11 11:50:46 2006 => Offending file found: C:\WINDOWS\system32\mydll.dll
Sat Feb 11 11:50:46 2006 => Offending Folder found: C:\WINDOWS\system32\sahimages
Sat Feb 11 11:50:46 2006 => Offending Folder found: C:\Programme\limewire
Sat Feb 11 11:50:46 2006 => Offending Folder found: C:\Programme\myway
Wed Feb 15 18:24:01 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Wed Feb 15 20:55:07 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jan 12 20:27:08 2006 => Total Objects Scanned: 98323
Fri Feb 10 12:48:18 2006 => Total Objects Scanned: 83
Fri Feb 10 18:46:39 2006 => Total Objects Scanned: 111137
Sat Feb 11 11:49:32 2006 => Total Objects Scanned: 36
Sat Feb 11 12:54:52 2006 => Total Objects Scanned: 57441
Wed Feb 15 20:04:14 2006 => Total Objects Scanned: 68354
Wed Feb 15 22:35:34 2006 => Total Objects Scanned: 68357
Thu Jan 12 20:27:08 2006 => Total Critical Objects: 26
Thu Jan 12 20:27:08 2006 => Total Disinfected Objects: 0
Thu Jan 12 20:27:08 2006 => Total Deleted Objects: 0
Fri Feb 10 12:48:18 2006 => Total Critical Objects: 0
Fri Feb 10 12:48:18 2006 => Total Disinfected Objects: 0
Fri Feb 10 12:48:18 2006 => Total Deleted Objects: 0
Fri Feb 10 18:46:39 2006 => Total Critical Objects: 22
Fri Feb 10 18:46:39 2006 => Total Disinfected Objects: 0
Fri Feb 10 18:46:39 2006 => Total Deleted Objects: 0
Sat Feb 11 11:49:32 2006 => Total Critical Objects: 0
Sat Feb 11 11:49:32 2006 => Total Disinfected Objects: 0
Sat Feb 11 11:49:32 2006 => Total Deleted Objects: 0
Sat Feb 11 12:54:52 2006 => Total Critical Objects: 22
Sat Feb 11 12:54:52 2006 => Total Disinfected Objects: 0
Sat Feb 11 12:54:52 2006 => Total Deleted Objects: 0
Wed Feb 15 20:04:14 2006 => Total Critical Objects: 9
Wed Feb 15 20:04:14 2006 => Total Disinfected Objects: 0
Wed Feb 15 20:04:14 2006 => Total Deleted Objects: 0
Wed Feb 15 22:35:34 2006 => Total Critical Objects: 9
Wed Feb 15 22:35:34 2006 => Total Disinfected Objects: 0
Wed Feb 15 22:35:34 2006 => Total Deleted Objects: 0
Thu Jan 12 20:27:09 2006 => Total Errors: 95
Fri Feb 10 12:48:18 2006 => Total Errors: 0
Fri Feb 10 18:46:39 2006 => Total Errors: 130
Sat Feb 11 11:49:32 2006 => Total Errors: 0
Sat Feb 11 12:54:52 2006 => Total Errors: 124
Wed Feb 15 20:04:14 2006 => Total Errors: 68
Wed Feb 15 22:35:34 2006 => Total Errors: 68
Thu Jan 12 20:27:09 2006 => Time Elapsed: 04:41:03
Fri Feb 10 12:48:18 2006 => Time Elapsed: 00:00:09
Fri Feb 10 18:46:39 2006 => Time Elapsed: 05:55:11
Sat Feb 11 11:49:32 2006 => Time Elapsed: 00:00:03
Sat Feb 11 12:54:52 2006 => Time Elapsed: 01:04:27
Wed Feb 15 20:04:14 2006 => Time Elapsed: 01:40:22
Wed Feb 15 22:35:34 2006 => Time Elapsed: 01:40:51
Thu Jan 12 15:21:19 2006 => Virus Database Date: 1/12/2006
Thu Jan 12 15:43:20 2006 => Virus Database Date: 1/12/2006
Thu Jan 12 20:27:09 2006 => Virus Database Date: 1/12/2006
Thu Jan 12 20:43:08 2006 => Virus Database Date: 1/12/2006
Fri Feb 10 12:48:06 2006 => Virus Database Date: 1/12/2006
Fri Feb 10 12:48:18 2006 => Virus Database Date: 1/12/2006
Fri Feb 10 12:48:23 2006 => Virus Database Date: 1/12/2006
Fri Feb 10 18:46:39 2006 => Virus Database Date: 1/12/2006
Fri Feb 10 19:12:36 2006 => Virus Database Date: 1/12/2006
Sat Feb 11 11:49:05 2006 => Virus Database Date: 1/12/2006
Sat Feb 11 11:49:32 2006 => Virus Database Date: 1/12/2006
Sat Feb 11 11:49:41 2006 => Virus Database Date: 1/12/2006
Sat Feb 11 12:54:52 2006 => Virus Database Date: 1/12/2006
Sat Feb 11 12:54:56 2006 => Virus Database Date: 1/12/2006
Wed Feb 15 18:23:07 2006 => Virus Database Date: 2/3/2006
Wed Feb 15 20:04:14 2006 => Virus Database Date: 2/3/2006
Wed Feb 15 20:17:24 2006 => Virus Database Date: 2/3/2006
Wed Feb 15 20:54:11 2006 => Virus Database Date: 2/3/2006
Wed Feb 15 22:35:34 2006 => Virus Database Date: 2/3/2006
Wed Feb 15 23:15:55 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

------------------------------------------------------------------------
was kann ich denn da noch machen??

Ein büschen unübersichtlich das ganze. Leider habe ich bis einschliesslich morgen Abend keine Zeit für Dein Problem, wobei ich denke, dass da mal noch jemand anderes drüberschauen sollte.

BTW: den Java Cache hattest Du gelehrt?

das mit dem java ist so:

in meiner systemsteuerung hab ich nur Java Plug-In das hat dann ein bisschen anders ausgesehen als von dir beschrieben, aber da war ein cache, welchen ich auch geleert hab.

ich denk mir mal, das kommt aufs gleiche raus...

zur log.file:

ich fand das auch ein bisschen komisch, dass da auch noch die vorherigen ergebnisse auftreten, aber da ich mich ja nicht auskenne, dachte ich das wäre halt normal so...

ja, wann auch immer du oder sonstwer zeit hat, sich die ware mal anzuschauen, wär ich froh darüber.
wie gesagt, ich bin dankbar dfür jede hilfe..

danke, dass du dir überhaupt die zeit genommen hast.

gruss

mpc

Ich denke, es sollte sich erstmal jemand anderes anschauen. Ich bin noch Novize (allgemeine Windows XP Probleme liegen mir eher), weswegen die Bereinigung wohl etwas suboptimal abgelaufen ist.

Hab da erst jetzt durchgeblickt. Mache mal folgendes:

http://virus-protect.org/cleanup.html

Dann folgendes:

Start -> Ausführen -> cmd

reg delete /S /Q HKLM\Software\magnet\handlers\limewire

Nochmal nen eScan. Sollte dann alles ok sein. Die Einträge die eScan bemängelte sind im Papierkorb plus der eine Registryeintrag den ich vergessen hatte.

Und lösche vor dem eScan mal die Logdatei, damit da nicht wieder tausend Einträge drinnen stehen.

reg delete /S /Q HKLM\Software\magnet\handlers\limewire

das sollte wieder alles auf eine zeile, oder?

wenn ich das eingebe kommt:

OK, schau mal nach, ob der überhaupt noch existiert.

Start -> Ausführen -> regedit (Enter)

HKey_LocalMachine -> Software -> magnet

Falls der Schlüssel existiert, exportiere ihn (rechter Mausklick -> exportieren) und dann löschen (rechter Mausklick Löschen).

eScan und gut ist.

ja, der existiert. habe ihn nach "eigene dateien" exportiert und gelöscht..
aber sollte ich den nicht direkt aus dem registrierungs-editor rauslöschen??
da ist er nämlich immernoch drinn...

Mache mal in regedit -> Ansicht -> aktualisieren

immer noch da...

Tritt das auch im abgesicherten Modus auf?

sorry, hatte grad nicht soviel zeit...

>>>ich hab "magnet" nun einfach im regedit "rechtsangeklickt" und dann auf "löschen", hab dann noch im abgesicherten modus nachgeschaut und erscheint nun wirklich weg zu sein...

werde bei gelegenheit noch einen eScan durchführen und die log posten.

vielen dank für deine hilfe!

mpc