"BkCln.Unknown" Virus ...wie werde ich den loooos ??? HILFE !!!
 

Hallo !

Habe Win2000 als Betriebssystem und der Rechner fährt sich in unregelmässigen Abständen runter.

Ich habe die Tips aus dem Forum befolgt und meinen PC mit eScan gescannt...
Dabei wurde dieser Virus(?) gefunden
G:\WINNT\A"BkCln.Unknown" Virus found gefunden...

Ich kann ihn aber nicht entfernen, da ich im explorer keinen Ordner namens A unter winnt finde *heul*

Wenn ich meine Viren-progis laufen lasse (Spyware, ad-aware, the cleaner, eScan und a2) fährt sich der PC runter, auch im abgesicherten Modus !

Bin ratlos und am Ende ( psychisch und mit meinem Latein )

BITTE , BITTE helft mir...ich bin ohne PC nur ein halber Mensch ;o)

Wie krieg ich den Virus gelöscht, bzw. gibt es irgendein Programm, was dies bewerkstelligen kann ?????

HIIIILFEEEEE !!!!!!

Euer fix und fertiger Buzi

Vielleicht hilft dir das weiter:

gehst du im Explorer auf Extras/Ordneroptionen/Ansicht und da nimmst du den Haken bei Geschützte Systemdateien ausblenden weg. Dann runterscrollen und Alle Dateien und Ordner anzeigen!

mfG
Sword

Hab ich schon gemacht Sword *heul*

Ihr wisst wohl alle auch keinen Tip mehr, oder ? *hoff*

Ich bin ratlos...........

ich finde unter winnt nur eine 1kb datei die Ä heisst, aber die kann ich net öffnen...wenn ich sie mit dem editor öffne steht da : eine programmdatei ?!?!?!

soll ich die vielleicht löschen, oder funzt dann gar nix mehr ????

BITTE HELFT MIR LIEBE USER ! ! ! ! ! !

Hilfreich wäre es natürlich wenn du mit Hijack durchscannen könntest und das logfile hier rein postet,oder fährt der pc auch dann automatisch runter?

also mit hijack hab ich es noch nicht probiert ( wo krieg ich das denn her?)
aber bei escan und den anderen proggis fährt er sich nach ner zeit runter :(

Weisst du vielleicht, warum er mir (als es mal lief mit eScan ) diesen ordner angegeben hat , den es in winnt gar nicht gibt ?? --> G:\WINNT\A

Danke für Eure Mühe...ich hoffe, Euch fällt noch was ein ;o)

@ DucBuz

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Porbiere es erstmal mit hijack dannach gucken wir weiter.

Hier ist der download + Anleitung.

Du könntest auch nochmal folgendes probieren:

Den PC im abgesicherten Modus Starten (nach dem Einschalten die F8 Taste gedrückt halten) und Antivir durchlaufen lassen! So sollte er eventuell nicht abstürtzen.

Und im Notfall könntest du eine Systemwiederherstellung vornehmen?!

Vielleicht sagt nochmal einer von den etwas erfahreren was dazu,bin um Gottes willen kein Profi,aber ein wenig Ahnung hab ich schon.

Tue Mar 01 18:08:29 2005 => File G:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

das logfile von escan wäre wohl zu lang um es komplett zu posten.....
bin froh das ich überhaupt was posten kann, mein pc hat sich ca. 20 mal runtergefahren :(
wird immer schlimmer

trotzdem danke dane für deine schnelle antwort....
fällt eich sonst noch was ein ???

Logfile of HijackThis v1.99.1
Scan saved at 21:39:25, on 01.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\spoolsv.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\Programme\CPUCooL\CooLSrv.exe
G:\WINNT\System32\svchost.exe
G:\WINNT\system32\nvsvc32.exe
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\Explorer.EXE
G:\Programme\Motherboard Monitor 5\MBM5.EXE
G:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
G:\Programme\The Cleaner\tca.exe
G:\Programme\The Cleaner\tcm.exe
G:\Programme\VIAudioi\SBADeck\ADeck.exe
D:\games\valve\steam\steam.exe
D:\Daten\Messenger\ypager.exe
G:\Programme\Zone Labs\ZoneAlarm\zapro.exe
G:\Programme\AnalogX Proxy\proxy.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\WinRAR\WinRAR.exe
G:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.119\HijackThis.exe
G:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ReGet MSIE handler - {38AAF321-C5B4-11D1-B75E-400000000000} - G:\Programme\ReGet\ReGet.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] G:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "G:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [LWBMOUSE] G:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [tcactive] G:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] G:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AudioDeck] G:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] G:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Daten\Messenger\ypager.exe -quiet
O4 - Startup: Proxy.lnk = G:\Programme\AnalogX Proxy\proxy.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TC Active!.lnk = G:\Programme\The Cleaner\tca.exe
O4 - Global Startup: TC Monitor.lnk = G:\Programme\The Cleaner\tcm.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = G:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Download using ReGet - G:\Programme\ReGet\RG_Link.htm
O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &List for ReGet - G:\Programme\ReGet\RG_List.htm
O8 - Extra context menu item: Download All by Re&Get - G:\Programme\ReGet\RG_All.htm
O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Daten\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Daten\MESSEN~1\YPager.exe
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O15 - Trusted Zone: www.ebay.de
O15 - Trusted Zone: http://*.ejected.de
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D2C063-3C3C-4902-92BC-1ED36658C1CF}: NameServer = 145.253.2.196 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - G:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINNT\system32\ZoneLabs\vsmon.exe

unglaublich mein pc ist mal nicht alle 30 sek. ausgegangen..
ich hoffe und bete euch sagt dieses file IRGENDWAS, was mir helfen kann !

Danke !

systemwiederherstellung ? mhh klingt kompliziert...
meinst du windows neu draufspielen ?
ich wäre froh wenn ich alles vermeiden kann, was sowas betrifft. Habe demnächst Prüfungen und brauche pc und die Daten darauf...

Wenn ich antivir / adaware / eScan / spybot etc. im abgesicherten Modus laufen lasse, fährt er nach ner Zeit runter...

Ich schreib jetzt grad alles was mir einfällt, weil ich eben ne Stunde nix schreiben konnte, weil pc alle 30 Sek. runtergefahren ist ;)

Ich wäre auch seeeehr dankbar wenn IRGENDEIN PROFI / GENIE sich meinem Problem annehmen könnte und mir helfen könnte....wie gesagt, ich brauch meinen pc für die Prüfungen und überhaupt bin ich ohne pc und internet nur ein halber Mensch...

Danke im Voraus, ICH HOFFE AUF EUCH LIEBE USER DES TROJANER-BOARDS :)
Hoffentlich kann irgendwer was mit diesem hijackfile anfangen....*hoff*

O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)

Das kannst du erstmal fixen.

Bei dem rest bin ich mir unsicher.

Ansonsten wie schaut es mit Windows Updates bei dir aus?

Hab nochmal genauer hingeguckt...


G:\Programme\VIAudioi\SBADeck\ADeck.exe - Unknown
G:\Programme\AnalogX Proxy\proxy.exe - Unknown
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file) - Nasty
O4 - HKLM\..\Run: [MBM 5] "G:\Programme\Motherboard Monitor 5\MBM5.EXE" - Unknown
O4 - HKLM\..\Run: [AudioDeck] G:\Programme\VIAudioi\SBADeck\ADeck.exe 1 - Unknown
O4 - Startup: Proxy.lnk = G:\Programme\AnalogX Proxy\proxy.exe - Unknown
O4 - Global Startup: TC Active!.lnk = G:\Programme\The Cleaner\tca.exe - Unknown
O4 - Global Startup: TC Monitor.lnk = G:\Programme\The Cleaner\tcm.exe - Unknown
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU) - Possibly nasty
O9 - Extra 'Tools' menuitem: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU) - Possibly nasty
O15 - Trusted Zone: http://*.ejected.de - Possibly nasty


Bin etwas im streß grade....

Danke für die schnelle Antwort Dané ...

O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
wie kann ich das denn fixen ?????

und in dem link den du mir geschickt hast finde ich keine Anleitung, wie ich den
BkCln.Unknown loswerden kann ? Kann aber sein, dass ich Tomaten auf den Augen habe, weil ich schon den ganzen Tag hier rumdocktere und ca. 100 mal den PC neugestartet habe :(

entschuldige, aber ich versteh nur bahnhof ?

die wo possibly nasty steht sind doch ganz normale Programme : mein proxy, mein e-mail server und re-get....

der den du zuerst gepostet hast kenn ich net und da steht ja auch ausdrücklich nasty hinter
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file) - Nasty

aber wie fix ich das ???
re-get könnt ich auch löschen wenns hilft...

und....mein hauptproblem...wie werd ich den verdammten BkCln.Unknown los?
*heul*
*kopfaufntischhau*

als erstes führe das hier aus

lade Dir dann Clearprog haken setzen bei alles löschen und ok drücken

danach boote in den abgesicherten Modus und fixe mit HTJ folgende Einträge:

O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)

wenn Du folgendes Programm nicht kennst auch fixen:

O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU

wenn Du das Programm nicht kennst folgende Dateien von Hand löschen:
G:\Programme\ReGet\ReGet.dll


versuch dann nochmal eScan im abgesicherten Modus laufen zu lassen. Teile Ergebnis mit wie beschrieben

Bin durcheinander gekommen ,tut mir leid.

Ich hab ein Programm zum desinfizieren gefunden ,probier das erstmal und denn gucken wir mal. SpHjfix.exe

Leute mit dem selben Problem und Lössungsvorschläge---> LINK

Danke Gigamail für deine Hilfe !

Hier das neue Logfile, nachdem ich alles gemacht habe was da stand:

Logfile of HijackThis v1.99.1
Scan saved at 22:22:04, on 01.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\spoolsv.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\Programme\CPUCooL\CooLSrv.exe
G:\WINNT\System32\svchost.exe
G:\WINNT\system32\nvsvc32.exe
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\Explorer.EXE
G:\Programme\Motherboard Monitor 5\MBM5.EXE
G:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
G:\Programme\The Cleaner\tca.exe
G:\Programme\The Cleaner\tcm.exe
G:\Programme\VIAudioi\SBADeck\ADeck.exe
D:\games\valve\steam\steam.exe
D:\Daten\Messenger\ypager.exe
G:\Programme\Zone Labs\ZoneAlarm\zapro.exe
G:\Programme\AnalogX Proxy\proxy.exe
G:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
G:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ReGet MSIE handler - {38AAF321-C5B4-11D1-B75E-400000000000} - G:\Programme\ReGet\ReGet.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] G:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "G:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [LWBMOUSE] G:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [tcactive] G:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] G:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AudioDeck] G:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] G:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Daten\Messenger\ypager.exe -quiet
O4 - Startup: Proxy.lnk = G:\Programme\AnalogX Proxy\proxy.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TC Active!.lnk = G:\Programme\The Cleaner\tca.exe
O4 - Global Startup: TC Monitor.lnk = G:\Programme\The Cleaner\tcm.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = G:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Download using ReGet - G:\Programme\ReGet\RG_Link.htm
O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &List for ReGet - G:\Programme\ReGet\RG_List.htm
O8 - Extra context menu item: Download All by Re&Get - G:\Programme\ReGet\RG_All.htm
O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Daten\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Daten\MESSEN~1\YPager.exe
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D2C063-3C3C-4902-92BC-1ED36658C1CF}: NameServer = 145.253.2.196 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - G:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINNT\system32\ZoneLabs\vsmon.exe

das clearproq hab ich gemacht
aber nun....

ich weiss nicht was htj ist ???
bin nicht so bewandert in dem thema...
is das auchn programm ?

Danke dané für das Programm zum desinfizieren
und danke Gigamail für deine Tips

Bin total froh, das ihr mir helft *freu*
wollt ich nur mal so zwischendurch sagen
DANKE ! ! ! !

= lese Dir in meinem 1. Posting die Anleitung durch da steht auch wie gefixt wird

den hier noch im abgesicherten Modus fixen:
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)

was ist mit denen?
kennst Du das Programm?

reget ist ein downloadmanager....soll ich den löschen ?

sorry gigamail, aber ich finde in deinem posting nicht wie man mit hjt fixed....
kannst dus mir bitte nochmal sagen, bzw. nen link posten ?

wenn Du das teil kennst lasse es drauf

schaust Du hier

ups überlesen
ich hoffe ich nerve nicht *liebguck* aber ich bin einigermassen panisch ;)

als erstes lese Dir den Link durch da steht alles erklärt, wenn Du das getan hast kannst Du auch das mit dem Fixen, Du setzt den Haken vor den genannten Eintrag und drückst auf Fix checked :crazy: :crazy:
versuch danach den eScan

Hier nochmal die Erklärung

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Ichbin am Ende...
dachte schon es hätte geklappt *heul*
Aber beim scan mit eScan ist der pc wieder runtergefahren *buahahahaha*

O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
hab ich gefixed..aber hat ja wohl nix gebracht

bis zum runterfahren hat eScan das gefunden_:
File G:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

also ist der scheiss bkcln.unknown immer noch drauf und verursacht wohl das scheiss runtergefahre *schluchz*

bin ratlos und am ende....
HELFT MIIIIIIIIIIIR BIIIIIIITTEEEEEEEEEEEEEEEEE ! ! !

hier das letzte hjt logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:05:42, on 01.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\spoolsv.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\Programme\CPUCooL\CooLSrv.exe
G:\WINNT\System32\svchost.exe
G:\WINNT\system32\nvsvc32.exe
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\Explorer.EXE
G:\Programme\Motherboard Monitor 5\MBM5.EXE
G:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
G:\Programme\The Cleaner\tca.exe
G:\Programme\The Cleaner\tcm.exe
G:\Programme\VIAudioi\SBADeck\ADeck.exe
D:\games\valve\steam\steam.exe
D:\Daten\Messenger\ypager.exe
G:\Programme\Zone Labs\ZoneAlarm\zapro.exe
G:\Programme\AnalogX Proxy\proxy.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ReGet MSIE handler - {38AAF321-C5B4-11D1-B75E-400000000000} - G:\Programme\ReGet\ReGet.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] G:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "G:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [LWBMOUSE] G:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [tcactive] G:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] G:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AudioDeck] G:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] G:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Daten\Messenger\ypager.exe -quiet
O4 - Startup: Proxy.lnk = G:\Programme\AnalogX Proxy\proxy.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TC Active!.lnk = G:\Programme\The Cleaner\tca.exe
O4 - Global Startup: TC Monitor.lnk = G:\Programme\The Cleaner\tcm.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = G:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Download using ReGet - G:\Programme\ReGet\RG_Link.htm
O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &List for ReGet - G:\Programme\ReGet\RG_List.htm
O8 - Extra context menu item: Download All by Re&Get - G:\Programme\ReGet\RG_All.htm
O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Daten\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Daten\MESSEN~1\YPager.exe
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D2C063-3C3C-4902-92BC-1ED36658C1CF}: NameServer = 145.253.2.196 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - G:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINNT\system32\ZoneLabs\vsmon.exe

probier jetzt mal das desinfektionstool von dané aus...viellciht bringts ja was ;)
Dané ich lad dich aufn Bier ein falls ja :)
Giga dich natürlich auch, wenns noch klappt *hoff*

alle wech ? *schnüff*
schlaft schon, was ?
ich hoffe, ihr habt morgen den goldenen Tip für mich ;)
"desinfiziere" erstmal weiter mit dem hjfix tool, was dané empfohlen hat, vielleicht bringts ja was ...

Danke für eure Mühe bis jetzt !

lade Dir die Killbox lösche im abgesicherten Modus erstmal die gefundenen Dateien.
Datei reinladen und rotes Kreuz drücken, wenn Du gefragt wirst "Do you want to reboot?" auf no erst bei der letzten auf yes
danach eScan wieder probieren
frage kennst Du das Programm?
O4 - Startup: Proxy.lnk = G:\Programme\AnalogX Proxy\proxy.exe

jo, das ist mein proxy-server...

hast Du den Rest schon erledigt (escan, Killbox)

wenn ich nur könnte giga :(

also den hier, der wahrscheinlich der Übeltäter ist : G:\WINNT\A infected by "BkCln.Unknown" Virus kann ich nicht löschen mit killbox, weil es das Verzeichnis G:\WINNT\A nicht gibt ?!?!?!?!?!
Es gibt eine 1kb datei in winnt die Ä heisst...ist es das vielleicht ? soll ich die löschen ?

den hier :File G:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot hab ich nicht gelöscht (könnt ich aber), weil ich hier irgendwo im board gelesen habe, das das kein virus ist, sondern ein normales systemtool ?!?!?!

da ich den BkCln.Unknown" Virus nicht löschen kann, kann ich leider auch eScan net durchführen, weil der pc nach kurzer Zeit runterfährt...fast so, als würde er sich vor dem löschen schützen will....

probiere nochmal ob Du es dann findest

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

hab ich schon gemacht giga, finde es trotzdem nicht :(

So, kurze Zusammenfassung:

Habe die 1kb-datei namens Ä manuell gelöscht und siehe da...der BkCln.Unknown
ist weg *freu* gibt noch 2 andre solche 1kb-datein namens 0 und _ ...auch weg mit denen ?

Die schlechte nachricht: beim laufen lassen von antivir im angesicherten modus ging der pc wieder aus *schluchz*

Dafür blieb er an, als ich einen kompletten 2 stündigen eScan durchführte...

Hier nun also die neusten Ergebnisse :

Wed Mar 02 16:19:28 2005 => ***** Scanning complete. *****
Wed Mar 02 16:19:28 2005 => Total Files Scanned: 27075
Wed Mar 02 16:19:28 2005 => Total Virus(es) Found: 16
Wed Mar 02 16:19:28 2005 => Total Disinfected Files: 0
Wed Mar 02 16:19:28 2005 => Total Files Renamed: 0
Wed Mar 02 16:19:28 2005 => Total Deleted Files: 0
Wed Mar 02 16:19:28 2005 => Total Errors: 137
Wed Mar 02 16:19:28 2005 => Time Elapsed: 01:47:53
Wed Mar 02 16:19:28 2005 => Virus Database Date: 2005/03/01
Wed Mar 02 16:19:28 2005 => Virus Database Count: 119806

Wed Mar 02 16:19:28 2005 => Scan Completed.

Hier die gefundenen "viren" :

File G:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Daten\Stuff\Codecs von Axel\All Codec You Need\All Codec You Need Divx, Xvid, Nimo5_Build_8, Smr, Vcd, Svcd Codecs And WinDVD_releasedbyC.H.B._GHG\Video Codecs\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Daten\Stuff\Codecs von Axel\All Codec You Need Divx, Xvid, Nimo5_Build_8, Smr, Vcd, Svcd Codecs And WinDVD_releasedbyC.H.B._GHG\Video Codecs\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Daten\Stuff\Half Life Patches\g11091110.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File D:\Daten\Stuff\neue divx und xvd codecs 04\DivXPro5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Daten\Stuff\Tools\accessdiver\ad4.00.full.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File D:\Daten\Stuff\Tools\DivX5.02Bundle\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Daten\Stuff\Tools\GetRight\Get Right 4.5d Full.zip infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.
File D:\Daten\Stuff\Tools\GetRight\getrt412.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken.
File D:\Daten\Stuff\Tools\ReGet\ReGet_free.exe infected by "not-a-virus:AdWare.TimeSinc" Virus. Action Taken: No Action Taken.
File D:\Daten\Stuff\Video Bearbeitung\TmpegEncoder\TMPGEnc + ANLEITUNG.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Mein Kram\Eigene Dateien\My Music\1DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Mein Kram\Eigene Dateien\My Music\3radium_mp3codec12.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\Programme\AnalogX Proxy\proxy.exe tagged as not-a-virus:RiskWare.Proxy.AnalogX.410. No Action Taken.
File G:\Programme\Search-Assistant\saap.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File G:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Reget und Getright sind download manager, die ich löschen könnte, brauch sie eh nicht
Die hervorgeheobenen würde ich löschen, oder ?

die andren sind codecs und wahrscheinlich nicht gefährlich, oder ?

Also meine Frage: soll ich die hier löschen :
ReGet
GetRight
SearchAssistent (auffällig, weil am 27. erstellt, da ging der Trouble los)
accesdiver

auf einem sauberen System hat AdWare nicht's zu suchen ich würde sie runter hauen. Schau aber erst mal unter Systemeinstellung-->Software ob von den genannten was zum deinstallieren ist. Dann erst den Rest löschen
diese lasse unverändert

Wenn Du das gemacht hast mußt Du noch folgende Eiträge im abgesicherten Modus fixen:
O2 - BHO: ReGet MSIE handler - {38AAF321-C5B4-11D1-B75E-400000000000} - G:\Programme\ReGet\ReGet.dll
O8 - Extra context menu item: &Download using ReGet - G:\Programme\ReGet\RG_Link.htm
O8 - Extra context menu item: &List for ReGet - G:\Programme\ReGet\RG_List.htm
O8 - Extra context menu item: Download All by Re&Get - G:\Programme\ReGet\RG_All.htm
O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - G:\Programme\ReGet\ReGet.dll (HKCU)


folgende Dateien wenn noch vorhanden von hand löschen:
G:\Programme\ReGet\ReGet.dll
G:\Programme\ReGet\RG_Link.htm
G:\Programme\ReGet\RG_List.htm
G:\Programme\ReGet\RG_All.htm
G:\Programme\GetRight\GRdownload.htm
G:\Programme\GetRight\GRbrowse.htm

Habe alles so gemacht...hat nix geholfen :(

Habe danach alle spyareprogramme gelöscht und eins nach dem anderen wieder installiert...bei the cleaner lief er dann auch tatsächlich durch, ohne auszugehen, aber schon beim nächsten (adaware) wieder das selbe ...
Danach 5 mal ausgehen ohne irgendwas zu machen.

Sieht so aus, als wäre mein System total im Arsch...muss wohln übler Virus sein.

Ich denke, ich komme wohl um Format c nicht rum *heul*

Naja, ich hoffe, das dann irgendwann mein Rechner wenigstens wieder läuft .

Danke für Eure Vorschläge !

Ich geb auf :(

das verstehe ich nicht, ich denke Du willst erst mal clean werden?
Hast du vorher nochmal escan durchlaufen lassen, wenn ja was wurde festgestellt?