bw2.exe und dann gings los
 

habe am 10.01. um 01.19 eine Website besucht und mich dort wohl infiziert. Jedenfalls entdeckte ich neben einigen anderen Besonderheiten bw2.exe mit diesem Datum und Uhrzeit.

Alle Versuche in der Zwischenzeit die Plage wieder loszuwerden schlugen leider fehl. Kurze Zeit nach dem Einwählen werden Downloads gestartet, nach Browserstart werden Seiten aufgerufen (überwiegend blödsinnige Inhalte), meinen IE habe ich wohl so deformiert, dass der jetzt überhaupt nicht mehr online will (bleibt offline auch bei Eingabe "guter" Adressen).

Was kann ich tun?

@ gn8

mit welchem Browser bist Du denn hier? Welches Betriebssystem hast Du? Aber erstelle erstmal ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

Firefox 1 unter w2k

Bitteschön:

Logfile of HijackThis v1.99.0
Scan saved at 13:35:36, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\PGPserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\HPCD-W~1\DirectCD\directcd.exe
C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bagh.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bagh.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\HPCD-W~1\DirectCD\directcd.exe
O4 - HKLM\..\Run: [HP CD-Writer] C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD7C8A54-D3BB-4B5F-B514-69FE7C82A4A2}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINNT\system32\PGPserv.exe

Herzlichen entnervten Gruß, Wolf

@ gn8

überprüfe mit dem online-scan von Kaspersky:

C:\WINNT\system32\PGPserv.exe

teile uns das Ergebnis der Überprüfung mit.

Zu überprüfende Datei: PGPServ.exe Ok

Gruß, Wolf

@ gn8

kannst Du bitte sicherheitshalber den eScan - laut Anleitung im Link - durchführen? Der eScan muss in einem neuen Ordner "bases" auf C:\ laufen.

Poste dann das Ergebnis, also die Namen der Viren und deren Anzahl .. wie folgt:
öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und gib dies mit an:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wed Jan 12 15:05:54 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:06:46 2005 => File C:\WINNT\system32\dknmpntw.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:07:11 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:07:11 2005 => File C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:07:12 2005 => File C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:08:04 2005 => File C:\WINNT\system32\wrcsapi.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:08:05 2005 => File C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:20:53 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:21:45 2005 => File C:\WINNT\system32\dknmpntw.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:14 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:14 2005 => File C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:15 2005 => File C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:58 2005 => File C:\WINNT\system32\sabcsp.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:23:17 2005 => File C:\WINNT\system32\wrcsapi.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:23:18 2005 => File C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:24:17 2005 => File C:\DOKUME~1\WOLF-D~1\LOKALE~1\TEMPOR~1\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:24:18 2005 => ***** Scanning complete. *****

Wed Jan 12 15:24:18 2005 => Total Files Scanned: 3963
Wed Jan 12 15:24:18 2005 => Total Virus(es) Found: 9

Das ist im Leben kein Kompletter Scan!

Das sieht nach dem aus, was verschiedene Suchmaschinen zu bw2.exe sagen: Syware/Adware. Hast du schonmal Adaware oder Spybot probiert?

und nun noch die Links zu Sagamore's Tipp ;-)

--> hier findest Du die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3'.

Vielen Dank Euch allen, inzwischen habe ich mit 5 verschiedenen Programmen gescannt, gelöscht was zu löschen angeraten war, aber ich komme nicht wirklich weiter, nach jedem Neustart ist die Verpestung wieder da, jede Anwahl ins Netz bringt den ungewünschten Traffic, was noch passiert entzieht sich meiner Kontrolle.

Jedoch: das Papierkorbsymbol zeigt "gefüllt". Beim Öffnen jedoch keine Dateien. Beim "Leeren" werde ich nach dem Wunsch 2 Dateien zu löschen gefragt. Trotz Bestätigung bleiben die wohl drin, denn sofortige Neuleerung bringt wieder die gleiche Frage. Anscheinend sind 2 Dateien im Papierkorb, die die Wiederherstellung der Pest bewirken, die sich weder ansehen noch löschen lassen. Der MSIE geht auf und zeigt mir die unerwünschtesten Seiten, selbst Firefox läd in weiteren Tabs mal diese und mal jene Seite.

Hat jemand dazu eine Idee?

@ gn8

==> boote in den abgesicherten Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bagh.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bagh.de/
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll

boote in den normalen Modus.

==> sende bitte diese Datei passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Ich würde gerne erfahren, ob es sich um Malware handelt:

C:\WINNT\system32\PGPserv.exe

==> Erstelle ein neues Hijack This Logfile und poste es.

mehrfach erfolglos genau so gemacht, immer wieder da.

die Einträge sind mir bekannt und machen Sinn.

Datei ist mir bekannt, gehört zu PGP, soll ich sie dennoch an Christian senden?

Gerade einen neuen Scan gemacht mit folgenden Ergebnissen (gekürzt um die überflüssigen Angaben, dafür aber diesmal komplett):

Thu Jan 13 17:02:07 2005

Version 4.8.1
(C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\mwavscan.com)
Latest Date of files inside MWAV: 12 Jan 2005 07:00:52.
Virus Database Date: 2005/01/12
Virus Database Count: 115286

not-a-virus:AdWare.Look2Me.u
not-a-virus:AdWare.Sahat.f
not-a-virus:AdWare.Zestyfind
I-Worm.Klez.h
I-Worm.Bagle.gen
I-Worm.NetSky.c
I-Worm.Bagle.at
I-Worm.Mydoom.g
I-Worm.Klez.e
I-Worm.BadtransII
I-Worm.Tanatos.a
I-Worm.NetSky.b

Thu Jan 13 20:35:56 2005
***** Scanning complete. *****
Total Files Scanned: 218605
Total Virus(es) Found: 50
Total Errors: 9
Time Elapsed: 03:32:58
Virus Database Date: 2005/01/12
Virus Database Count: 115286


Danke für die Unterstützung, Wolf

@ gn8 diese Art wie Du es angegeben hast, nützt uns nichts. Mache es bitte so: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

.. auch wenn Du meinst, dass es unnütze Arbeit ist.

Die Arbeit hatte ich mir sowieso gemacht, will den Müll ja wieder loswerden, wollte hier nur überflüssigen Zierat vermeiden.

Die Viren machen mir in den Mailarchiven keine Probleme, lese nur im Textmodus und öffne Anhänge nicht. Sie sind teilweise auch schon sehr lange an den Stellen. Es geht um die Adware, die ich einfach nicht los werde: der Papierkorb bleibt optisch gefüllt, ich kann ihn nicht leeren und nicht sehen was drin ist.

Soll ich PGPServe.exe noch verschicken?

Thu Jan 13 17:02:07 2005

Version 4.8.1
(C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\mwavscan.com)
Latest Date of files inside MWAV: 12 Jan 2005 07:00:52.
Virus Database Date: 2005/01/12
Virus Database Count: 115286

Thu Jan 13 17:07:55 2005
C:\WINNT\system32\fjamebuf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

C:\WINNT\system32\iOsperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\obeprn.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxcsapi.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\temp.fr2EE3 infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\WOLF-D~1\LOKALE~1\TEMPOR~1\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\Andrea Trenner\erledigt\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Sent\MESSAGES.TBB infected by "I-Worm.Klez.e" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Trash\MESSAGES.TBB infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\erledigt\MESSAGES.TBB infected by "I-Worm.BadtransII" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\kobinet\MESSAGES.TBB infected by "I-Worm.Tanatos.a" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\lebenshilfe\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\mailadmin\MESSAGES.TBB infected by "I-Worm.NetSky.b" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\Sent\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Lokale Einstellungen\Temp\temp.fr2EE3 infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\fjamebuf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\iOsperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\obeprn.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxcsapi.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Thu Jan 13 20:35:56 2005
***** Scanning complete. *****
Total Files Scanned: 218605
Total Virus(es) Found: 50
Total Errors: 9
Time Elapsed: 03:32:58
Virus Database Date: 2005/01/12
Virus Database Count: 115286

@ gn8

Lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear".

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

infected by "not-a-virus:AdWare.Look2Me.u"

C:\WINNT\system32\fjamebuf.dll
C:\WINNT\system32\iOsperf.dll
C:\WINNT\system32\ltghours.dll
C:\WINNT\system32\m8640ijqe8oe0.dll
C:\WINNT\system32\obeprn.dll
C:\WINNT\system32\wxaueng.dll
C:\WINNT\system32\wxcsapi.dll
C:\WINNT\system32\fjamebuf.dll
C:\WINNT\system32\iOsperf.dll
C:\WINNT\system32\ltghours.dll
C:\WINNT\system32\m8640ijqe8oe0.dll
C:\WINNT\system32\obeprn.dll
C:\WINNT\system32\wxaueng.dll
C:\WINNT\system32\wxcsapi.dll

Solltest Du die dll's nicht löschen können, versuche es so:

Cidre und Chaosman zum löschen von DLL's zitiert:
"entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollte die Datei sich löschen lassen: C:\WINNT\system32\fjamebuf.dll ." Lösche/fixe nun auch die anderen Einträge.

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Wenn das auch nicht funktioniert, lade die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. (Antwort zum DSO Exloit bei der Anwendung von Spybot-Search & Destroy 1.3). Scanne Deinen Rechner mit den beiden Programmen nacheinander und lass alle bestehenden Probleme beheben.


Entfernung von Würmern:

trendmicro:
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Trash\MESSAGES.TBB infected by "I-Worm.Bagle.at"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\kobinet\MESSAGES.TBB infected by "I-Worm.Tanatos.a"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\erledigt\MESSAGES.TBB infected by "I-Worm.BadtransII"

Anti W32.Klez (Varianten A-I):
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\Andrea Trenner\erledigt\MESSAGES.TBB infected by "I-Worm.Klez.h"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Sent\MESSAGES.TBB infected by "I-Worm.Klez.e"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\lebenshilfe\MESSAGES.TBB infected by "I-Worm.Klez.h"
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\Sent\MESSAGES.TBB infected by "I-Worm.Klez.h"

Anti W32.NetSky (alle Varianten):
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\mailadmin\MESSAGES.TBB infected by "I-Worm.NetSky.b"

Clear all ist gemacht.

Anzeige aller Dateien ist und bleibt immer eingestellt (gewesen).

Habe w2k und kann keine Systemwiederherstellung ausschalten.

DLLs ließen sich problemlos löschen.

Spyware und Adware haben bestehende Probleme behoben.

An den anderen "Infekten" arbeite ich jetzt manuell, da sie teilweise nicht einmal erkannt wurden (Netsky z.B.).

Vorläufiges Ergebnis: Rechner läuft, keine Werbeseiten seit 4 Stunden, jedoch zu hoher Traffic (sowohl senden wie empfangen). Papierkorb des Nutzers noch immer als gefüllt angezeigt, Löschrückfrage nach 2 Datein, die bleiben unsichtbar, lassen sich aber auch nicht löschen. Neue gelöschte Dateien sind im Papierkorb auch nicht sichtbar. Dies alles nur beim Nutzer, nicht beim Administrator.

Es bleiben noch oder immer noch:

Jan 15 00:59:18 2005 => WINNT\system32\cwmuid.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 00:59:49 2005 => WINNT\system32\irpol5731.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 00:59:51 2005 => WINNT\system32\jr4025hmg.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
Jan 15 01:01:10 2005 => WINNT\system32\wunsock.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Jan 15 01:54:21 2005 => DuE\wdt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.

... obwohl MSIE seitdem nicht mehr geöffnet.

Papierkorb unverändert nicht "normal", Traffic noch immer zu hoch

WINNT\system32\cwmuid.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\irpol5731.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\jr4025hmg.dll infected by "not-a-virus:AdWare.Look2Me.u"
WINNT\system32\wunsock.dll infected by "not-a-virus:AdWare.Look2Me.u"
\Dokumente und Einstellungen\wdt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus.

Das ist, zusammen mit dem gefüllten und unansehbaren sowie unlöschbaren Papierkorb der derzeitige Stand, auch nach mehrmaligem Verwenden der Tools.

Hat jemand zum mysteriösen Papierkorb eine Idee? Ich denke, dass dort eine Quelle (oder zwei) zu finden sein wird.

@ gn8

Befolge diese Vorgehensweise dann ist das Papierkorb Problem behoben.
http://www.pcwelt.de/forum/showpost....99&postcount=4

Zum Rest deiner Leidensgeschichte:
Ich bin zwar nicht begeistert aber versuchs mal mit dem Uninstaller -> http://www.look2me.com/cgi-bin/UnInstaller

Jetzt ist das Papierkorbsymbol vom Desktop verschwunden, jedoch auf jeder Festplatte blieb der Ordner RECYCLER mit einem Inhalt von einem Papierkorbsymbol unter dem Namen: S-1-5-21-1482476501-920026266-1343024091-1000 das sich nicht löschen lässt weil angeblich in Benutzung (weder im gesicherten noch sonstwie Modus).

Unter dem Link verbarg sich zwar ein sogenanntes "Lizenzabkommen", aber Klicken auf I accept brachte nix (kein Download). Im Quelltext der Seite war leider auch nix zu erkennen. Vielleicht sammeln die da nur weitere Opfer, denn kurz danach hatte ich wieder zwei exe in den Downloaded Internet Files :pukeface: .

Wenn niemandem nix erhellendes mehr einfällt kaufe ich mir morgen eine neue Platte, die beiden Datenplatten sind ja glücklich nicht betroffen.

Dank für alle Bemühungen! :juul: