Trojaner-Board - eScan Log und HiJack Log, hab ich ein Virus?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - eScan Log und HiJack Log, hab ich ein Virus? (https://www.trojaner-board.de/24409-escan-log-hijack-log-hab-virus.html)

eScan Log und HiJack Log, hab ich ein Virus?

Hallo!
Hab heut Mittag komplett mein System formatiert und wieder drauf gespielt und dennoch findet eScan Viren. Kann mir jemand weiterhelfen? Wie kann ich den Virus und die gefundenen Fehler von eScan beheben???
Hab zuvor mir "ewido" und "a2" gescannt und nichts gefunden.
Danke im vorraus

LOG VON eSCAN:

Sat Dec 10 20:11:05 2005 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:11 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Dec 10 20:11:12 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\REALTEK Semiconductor Corporation\REALTEK Gigabit and Fast Ethernet NIC Driver\setup.exe". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:14 2005 => Entry "HKCR\TypeLib\{A4CA8810-6E46-36FF-A048-B7FD564742F8}" refers to invalid object "Path". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:15 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:15 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:15 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:15 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:11:16 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: Keine Aktion vorgenommen.

Sat Dec 10 20:24:47 2005 => ***** Scan vollständig. *****

Sat Dec 10 20:24:47 2005 => Gescannte Dateien: 47923
Sat Dec 10 20:24:47 2005 => Gefundene Viren: 1
Sat Dec 10 20:24:47 2005 => Anzahl der desinfizierten Dateien: 0
Sat Dec 10 20:24:47 2005 => Umbenannte Dateien: 0
Sat Dec 10 20:24:47 2005 => Anzahl der gelöschten Dateien: 0
Sat Dec 10 20:24:47 2005 => Anzahl Fehler: 19
Sat Dec 10 20:24:47 2005 => Zeit vergangen: 00:14:15
Sat Dec 10 20:24:48 2005 => Virus Datenbank Datum: 2005/12/10
Sat Dec 10 20:24:48 2005 => Virus Datenbank Zähler: 160607
Sat Dec 10 20:24:48 2005 => Scan vollständig.

LOG VON HiJACK:

Logfile of HijackThis v1.99.1
Scan saved at 20:32:03, on 10.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TraXEx\TraXEx.exe
E:\PC-Programme\Zusätzliche Programme\systemcleaner\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe (file missing)
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe

@-=Wolf=-

Zitat:

Hab heut Mittag komplett mein System formatiert und wieder drauf gespielt und dennoch findet eScan Viren.

eScan findet ein infected, was aber kein Virus ist; dieser könnte entweder mit wiederhergestellten Daten zurückkopiert werden oder bei der unvorsichtiger Benutzung der IE am PC platz finden.
Was mich aber wundert: es gibt bei dir jede Menge ungültigen Registry-Einträgen, die höchstwahrscheinlich noch vom alten System stammen. Hast du die Systempartition wirklich gelöscht und die Festplatte vollständig neu formatiert?

@Rene-gad:

Hab mein System (sprich: C:\) komplett formatiert. Laufwerke wie D, E, F, usw. blieben bestehn. Hab nach Formatierung alles mögliche wieder installiert und mit Programmen wie "TraXEx" "xp-Antispy" "XP-Tuner" "Internet-spuren vernichter" nochmals alles durchforstet, vllt kommt es ja von daher.??

Wie bekommt man das "infected" weg? Was soll das sein?

@-=Wolf=-

Zitat:

Wie bekommt man das "infected" weg? Was soll das sein?

Dafür gibt es keine einheitliche Meinung ;) : IMHO man muss den {5e2121ee-0300-11d4-8d3b-444553540000} - Ordner richtig suchen und löschen. Es gibt aber die Meinung, dass diese Bezeichung für CLSID - Class steht. In dem Fall sollte man über RegEdit vorgehen.

Mhhh scheint ja noch spannend zu werden heut nacht :D
Unter RegEdit find ich gleich mehrere Einträge ca. 8mal mit der Nummer von oben. (({5e2121ee-0300-11d4-8d3b-444553540000})! )

iO ich möchte Dich/Euch auch nicht länger aufhalten, aber eine Frage hätt ich noch:
1.Hat das "infected" nun negative Einflüße?
2.Wie schauts mit den Einträgen von HiJack aus?
3.Welche kann ich davon löschen?
4.Ist sonst alles iO bei mir? (also auf em Rechner :-P )

Zitat:

Zitat von Rene-gad

Es gibt aber die Meinung, dass diese Bezeichung für CLSID - Class steht. In dem Fall sollte man über RegEdit vorgehen.

Yep. Könnte passen:

http://www.sophos.de/virusinfo/analyses/trojcimuzc.html

@ Wolf:

Mal etwas OT...

Bist Du Dir sicher, dass Programme wie "TraXEx" "xp-Antispy" "XP-Tuner" "Internet-spuren vernichter" wirklich notwendig sind? So etwas kann man i.d.R. auch mit Bordmitteln erledigen, ohne sich zusätzliche Software ins Haus zu holen. Positiver Nebeneffekt: Man lernt was da überhaupt gemacht wird.

@MightyMarc:
Stimmt da hast Du absolut recht. Hatte allerdings nie wirklich Zeit dazu mich damit auseinander zu setzen. Was aber diesen Wochenende etwas nachgeholt wird *versprochen* ;) So übern Mittag gesehn ist es doch recht interessant was es alles gibt und was man noch alles lernen kann. Ich hoff ich muß mich aber dafür nicht bei den Leuten bedanken die Trojaner,Viren und sonstiges entwickeln.

@Wolf

kleiner Hint:

Frag doch einfach mal hier im Windowsforum (oder im user2user-Forum eines ganz großen deutschen IT-Verlages, dessen Namen ich hier nicht nennen will, da ich nicht weiss, ob man hier Verweise auf dieses Forum gerne sieht) wie Du etwas bestimmtes realisieren kannst.
Häufig hilft es schon, die Fragestellung hinzubekommen um etwas mehr Klarheit über die Vorgänge zu erlangen.
Zudem hat die c't einige dieser "Systemoptimierungstools" getestet und ist zu dem Ergebniss gekommen, dass sie sie gut wie nichts bringen.

Gruß

MightyMarc

Vielen Dank für eure Hilfe und die Tips! Hab das Problem in Griff bekommen.
Und zwar wie schon oben zu sehen war hatte ich ein "infected"-File auf E:\Recycler\NPROTECT\00000002. die Datei ließ sich aber nicht löschen, selbst mit diversen Programmen nicht. Es handelte sich um ein "BkCln.Unknown"-Virus.
Und ein "CWS.LoadAdv.400" wurde gefunden.
Hab also das E:\-Laufwerk formatiert und sie da, alles wieder bestens selbst mein PING wo seit 2 Wochen immer an die 200ms war ging wieder runter auf 53ms.

Danke nochmals an Rene-gad und MightyMarc!