Trojaner-Board - Hijack log file auslesen????

Hallo hexchen64,,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

überprüfe mit dem online-scan von Kaspersky folgende zwei Dateien:

C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\trsl.exe
C:\WINDOWS\hqv.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This:

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {65AA3A52-E139-7E9B-8752-6C550EAE781E} - C:\WINDOWS\System32\ijmtlya.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin]C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [APIMon] C:\WINDOWS\System32\winapix.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [NS] ns.exe
O4 - HKLM\..\Run: [System Tray Services] spooles32.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [NS] ns.exe
O4 - HKLM\..\RunServices: [System Tray Services] spooles32.exe
O4 - HKCU\..\Run: [ChkMail] °<‹
O4 - HKCU\..\Run: [MyWebSearch Email Plugin]C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [ssate.exe] C:\WINDOWS\System32\irun4.exe
O4 - Startup: MyWebSearch Email Plugin.lnk =C:\Programme\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch EmailPlugin.lnk=:\Programme\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - ht*p://bar.mywebsearch.com/menusearch.html?p=ZSIM0005
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - ht*p://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - ht*p://www.spywarestormer.com/files2/Install.cab

[Korrektur:] Boote in den normalen Modus.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" [mit Dank an Sabina übernommen ;-)]

lösche:

winapix.exe
PDSched.exe
ns.exe
spooles32.exe
mwsoemon.exe
irun4.exe
MWSOEMON.EXE

[Korrektur:] Aktiviere die Systemwiederherstellung.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen! Danach die Systemwiederherstellung aktivieren, in den normalen Modus booten.

Teile uns das Ergebnis des eScan mit: welche/wieviel Viren wurden auf Deinem System gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

[edit] http://www.trojaner-board.de/images/smilies/party.gif @ *Christian* ... hab Dich erst nach dem posten entdeckt. [/edit]