Trojaner-Board - unsichtbarer Plagegeist

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - unsichtbarer Plagegeist (https://www.trojaner-board.de/8104-unsichtbarer-plagegeist.html)

hallo mRNA,

wir Neulinge müssen uns erst mal hier mit den technischen Dingen vertraut machen, klappt aber schon ganz gut, besonders die Hilfsbereitschaft ist hier phänomenal gut und schnell.
Mit DOS kenne ich mich leider nicht aus, wie man es startet, weiss ich, aber dann setzt es schon aus. Vielleicht kannst du mir ja die Befehle mal hier reinsetzen, dann werde ich schon klarkommen.

hi SD,

der Sachsenhausener Äbbelwoi ist mir wohl bekannt, dazu noch Handkäs mit Musik, virenlose Computer und funktionierende Smileys wären fast das Paradies :teufel3:

:kloppen:

mal sehen, ob der klopper geht, alle animierten Smileys scheinen bei mir zu streiken, liegt wohl an den Grundeinstellungen.

Den Shredder werde ich mir mal morgen unter die Lupe nehmen, heute verhindern die müden Stellen im Gesicht solch geistige Anstrengungen.

Also dann gute N8 :sleepy:

Stimmt, gefällt mir hier auch sehr gut, schnelle und kompetente Hilfe, auch wenn der eigentliche Grund, warum wir hier sind, wenig erfreulich ist.

Zum DOS: Ist eigentlich ganz einfach:

Mit dem Befehl "cd Verzeichnisname" wechselst du zwischen Verzeichnissen, "dir" listet den Inhalt von Verzeichnissen auf, mit "del dateiname.ext" löschst du Dateien, mit "ren altername.ext neuername.ext" benennst du Dateien um.

Wenn sich deine Datei also im Verzeichnis C:\programme\Anwendung\Programm.exe liegt, wären die Befehle:

Code:

cd c:\programme\anwendung\    (wechselt in das Verzeichnis)
 

dir Programm.exe                    (Zeigt an, ob die Datei überhaupt existiert)
 

del Programm.exe                     (löscht die Datei)
 

       oder
 

ren programm.exe virus.xxx         (benennt die Datei um)
 

      oder
 

move programm.exe c:\virus\       (verschiebt die Datei nach c:\virus\programm.exe)

Guten Abend,

eine seltsame Sache: die Google-Toolbar ist verschwunden, obwohl sie im hijack angezeigt wird, auch neu installieren hat nichts geholfen, sie ist einfach nicht sichtbar.

Nicht im abgesicherten Modus schaut euch doch mal den neuen Scan von hijackthis an, ob da was verdächtiges zu sehen ist.

Trotz allem schönes Wochenende und

:party:

mit Korkhase
Logfile of HijackThis v1.97.7
Scan saved at 23:18:20, on 09.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\TESTDOKUMENTE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductU...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.3358101852
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Logfile of HijackThis v1.97.7 ... ist veraltet. Aktuell ist 1.98.2

@Christian

die neue Version ist heruntergeladen und das aktuelle Protokoll anhängend.
Noch eine Verständnisfrage: mein Thread hat vorne ein rotes Zeichen mit Pfeil, was bedeutet das, soll man wegen der Übersicht lieber einen neuen Thread eröffnen? Mache ich doch gerne, wenn das so gemeint ist.

Verdächtig kommt mir diese Zeile vor:

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

Bitte um Untersuchung.

Logfile of HijackThis v1.98.2
Scan saved at 18:58:56, on 10.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Nein, das ist nicht so gemeint.

Fixe nun dies:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/contro...eb/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/h...uni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/c...n/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec...ta/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tec.../ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab

Welches Problem hast du jetzt eigentlich noch?

@Christian

danke für die Untersuchung, die angegebenen Zeilen habe ich gefixed. Probleme bereiten mir unerklärliche Verhaltensweisen des Systems.
Aktuell: Google-Toolbar heruntergeladen und installiert, aber sie erscheint nicht oder Ad-Aware wird gestartet und bleibt regelmäßig nach ca. 30 sek bei einem Eintrag von Norton hängen, gleichzeitig hängt sich das System auf und nur mit dem brutalen Ausschaltknopf komme ich wieder raus , im abgesicherten Modus läuft es bis zum Ende durch, allerdings ohne nennenswerte Virushinweise (nur Cookies).
Ich muß mich wohl damit abfinden, wenn noch mehr Pannen passieren, werde ich das System völlig neu initialisieren, ist schließlich schon 4 Jahre im Einsatz, da sammelt sich viel Unnützes an.

Damit kann ich wohl den Thread als abgeschlossen betrachten und danke nochmals allen Helfern.

Gruß Korkhase

@Christian

ein kleiner Nachtrag: Die Google-Toolbar konnte nicht installiert werden, weil aus irgendeinem Grund die JAVA-Version fehlerhaft war, man sieht also, es muss nicht immer ein Virus sein, der einem das virtuelle Leben schwer macht, manchmal ist man auch selber schuld :juul:

Gruß und schönes WE

Aktualisiere dein Java.

Wenn du mit Ad-ware scannst, dann deaktiviere bitte den Norton-Viren-Wächter.
Vergesse aber nicht, den Wächter nach Abschluss des Scanns von Ad-aware wieder zu aktivieren.

Guten Morgen,

wie aus diesem etwas langgeratenen Thread ersichtlich ist, hatte ich Probleme mit dem Wurm Swen und die schienen auch beseititgt zu sein, der hijack-scan war "sauber".
Jetzt habe ich noch einen Swen-scan bei Norman entdeckt und habe den mal laufen lassen. Da kamen noch einige Hinterlassenschaften von Swen zum Vorschein, die ich mal anhänge:

Scanning drive: c:\
...............................................................................
...............................................................................
.......................................

Cleaning the registry
Setting reg key: HKCR\exefile\shell\open\command to "%1" %*
Setting reg key: HKCR\regfile\shell\open\command to regedit "%1"
Setting reg key: HKCR\scrfile\shell\open\command to "%1" /S
Setting reg key: HKCR\scrfile\shell\config\command to %1
Setting reg key: HKCR\piffile\shell\open\command to "%1" %*
Setting reg key: HKCR\batfile\shell\open\command to "%1" %*
Setting reg key: HKCR\comfile\shell\open\command to "%1" %*
Deleted registry key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DTgraf
c Desktopkalender
Deleted registry key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Die Kl
mpner 2002
Infected processes killed: 0
Files scanned: 25285
Infected files: 0 deleted, 0 repaired

Done!

Press any key to exit. (Ende)

Offensichtlich werden die Fehler nur angezeigt und nicht repariert, wobei die beiden zu löschenden Schlüssel nicht auffindbar sind. Jetzt mein Problem:
Ich wollte die Reg-Schlüssel so ändern, wie der Scan es anzeigt. Dabei mußte ich feststellen, dass alle angezeigten Schlüssel in "Gänsefüßchen" eingeschlossen sind, die sich bei der Funktion "Ändern" in der Reg. nicht entfernen lassen, weil sie im Änderungsfeld garnicht angezeigt werden.
Beispiel: ""%1" %*" und nicht wie im Scan angezeigt "%1" %*

Könnt ihr mir einen Rat geben, was zu tun ist? Möglicherweise verstehe ich ja nur die Syntax der Registry nicht richtig und die Gänsefüßchen gehören da wirklich hin.

Dank und Gruß
Korkhase

Guten Mittag Korkhase,

da muss ich leider passen, damit habe ich mich noch nicht befasst. Keine Ahnung.

SD

Hallo Shadowdance,

danke für deine ehrliche Antwort, niemand ist allwissend, vielleicht gibt es hier noch jemand, der in den Geheimnissen der Registry so ein excellenter Experte ist wie du in der Auswertung von Hijackprotokollen. :daumenhoc

Na dann Mahlzeit :D