"System Alert" - Meldung
 

Hallo,

seit ca. 1 Stunde erhalte ich ständig diese Meldung: "System Alert" - danach wird von welchem Programm auch immer aus versucht, per IE ins Netz zu gehen.

Wer kann mir einen Rat geben dazu?

Vielen Dank vorab,
maysun

PS: hier geht nur firefox - IE ist blockiert bzw. defekt! Wie auch immer: habe nichts "heruntergeladen" noch etwas erneuert in der software. Der Befehl- und Aktiviercode muß also sonstwie hereingekommen sein.

Poste bitte ein Hijackthis nach dieser Anleitung hier ins Board:
http://www.trojaner-board.de/17493-a...ijackthis.html
Dies zeigt Deine aktuellen Systemprozesse an. Benenne dabei die Hijackthis.exe in einen anderen Namen um und poste das Ergebnis.

Hört sich im ersten Moment an, als hättest Du einen schädlichen Codec heruntergeladen....

Hallo Mobius07,

ok, danke, mach ich gleich.

maysun

hallo,

hier der scan:

Logfile of HijackThis v1.99.1
Scan saved at 00:17:51, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\jdk-1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\VirusProtectPro 3.3\VirusProtectPro 3.3.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\IrfanView\i_view32.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\highcheck\HijackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\**** \LOKALE~1\Temp\juan.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [VirusProtectPro 3.3] "C:\Programme\VirusProtectPro 3.3\VirusProtectPro 3.3.exe" /h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

muss jetzt mal langsam in Richtung Tagesausgleich hozizontal gehen ...

Würde mich auf Hinweise aber auch morgen abend freuen .... denn tagsüber arbeite ich und kann diesen Probs leider nicht nachgehen - obwohl ich es gerne würde, weil es soooo sehr nevt und vor allem: weil es noch nicht klar ist!

Denke mal - es hilft (so eine Lösung gefunden wird) auch anderen - sowas gibt es nicht nur einmal! ;)

Vielen Dank an jene, die sich mit dem Thema beschäftigen.

LG
maysun

Du hast sehr viele schädliche Einträge drauf, sieht nicht gut aus ob wir den sauber bekommen! Wie ich vermutet hatte :schmoll:
Fixen (Haken bei "fixed checked")
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\**** \LOKALE~1\Temp\juan.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
Bei den Einträgen solltest Du eigentl. neu aufsetzen: Vundo/Smidfraud/Zlob ist das übel!
Eine Möglichkeit währe dieser Weg:
http://www.trojaner-board.de/30411-a...-von-zlob.html
Dazu Vundofix : www.atribune.org - Home
Dies alles im abgesichertem Modus mit deaktivierter Systemherstellung!!!
Willst Du Dir das antun ohne dabei Gewähr zu haben ,oder direkt neu aufsetzen?
http://www.trojaner-board.de/12154-a...sicherung.html

Hallo Mobius07,

danke für Deinen Hinweis. Werde versuchen, das jetzt noch hinzubekommen. Muss leider horizontal (leider Spezies Mensch) - mach das jetzt einfach aber mal.

Meldung wahrscheinlich erst morgen Abend. Würde mich freuen, dann Deine Meinung dazu zu sehen. Einfach, weil ich finde, das Kontinuität der beste Garant ist. Sorry - ist nicht wertend gemeint!

Vielen Dank jedenfalls jetzt schon - ich fang dann schon mal damit an, Deinen Rat umzusetzen.

Viele Grüße
maysun

*kurzeinmisch*

Dein System ist echt übel dran, der Zlob/Smitfraud allein ist schon sehr hartnäckig und auch die Anleitungen hier mit den verlinkten Removaltools garantieren dir kein sauberes System. Und dann sind da ja noch andere Schädlinge und womöglich noch Zeugs, was man mit HJT noch nicht aufgedeckt hat.
Vermutlich wirst du mit diesem System nicht mehr auf nen grünen Zweig kommen und mit einem Neuaufsetzen wohl schneller sein.

Ich glaub heute wirds eng damit, aber rein theoretisch ist es machbar. Ich als Humanoid muss jetzt auch in die Ratze.... Kontinuierlich zur Arbeit :)

Gruß von der Wupper an die Weser! Eine Gewähr habe ich immer ausgeschlossen, aber ein direkter Backdoor ist nicht zu erkennen. Dein Reden, aber dafür ist dieses Board ja da: Einen Versuch ist es doch in diesem Fall wert. Danach gibt es immer noch den letzten Ausweg...

Gruß zurück :party:
Vllt. hast du da recht, ich bin da aber eher skeptisch...v.a. wenn man bedenkt, dass es am Ende doch auf die Neuinstallation hinauslaufen kann (vllt. wird das System sogar ganz geschrottet oder unvorgesehene Probleme treten auf), ärgert man sich doch über die vertane Zeit, die man fürs Bereinigen aufgebracht hat...:rolleyes:

Hallo,
meinst echt, das ist so ernst? Also Neuaufstsen?

Mhm - na ja wenns so ist - Danke für die Info"

SuperDanke!!!!
Petra

Jo leider :(
Die Bereinigung kann erfolgreich sein, danach hast du aber keine Gewissheit bzw. Garantie, dass auch alles weg ist.

Siehe auch hier => Entfernung von Schädlingen

Neuaufsetzen ist immer sicherer. Kommt nur drauf an, ob Du den Versuch starten willst zu bereinigen, ohne Gewähr zu haben (Siehe meinen ersten Beitrag) . Aber ganz Hoffnungslos ist es nicht. Muss man relativ sehen. Bleibt aber Dir überlassen ob Du das ganze Prozedere durchführen möchtest oder in vier bis fünf Stunden einfach ein neues Image aufspielst.

mhm na dann - ist von der Wahrscheinlichkeitsrechnung her es wohl gut, erst mal die "Schädlinge" zu eliminieren.#


Neu Aufsetzen (mit allen Verlusten und der Zeit, die das kostet, alles zu retten) wäre wohl die letzte Lösung.

Mhm muß ich wohl morgen dran gehen- habe noch Kunden ahead... Mist ehrllich!

Danke Möbius07 und hoffe, dass Du morgen noch da bist.

Petra

Überlege Dir einfach was für Dich sinnvoller erscheint, und ob Du Zeit und Musse dazu hast. Von der Wahrscheinlichkeit her kann man sich nie 100% sicher sein. Das Bereinigen kostet auch viel Zeit, und ob es am Ende erfolgreich ist kann man nie wissen. Aber man sollte nicht sofort die Flinte ins Korn werfen, wenn noch ein Plan B zu vorhanden ist. Klappts nicht, setzen wir sofort neu auf.

Hallo mobius07,

Anfrage zu Arbeitsschritt 1:

beim Versuch, die von Dir geposteten items zu "fixen" stellte ich fest, das beim erneuten high-check einige items nicht mehr aufgezeigt - also nicht mehr für "fix checked" anzugeben waren. Es handelt sich dabei um die Einträge "c: ...". Wenn ich aber ein log-file erstelle, sind sie vorhanden. Nur eben nicht auf dem screen vom highjack, mit dem zu arbeiten ist und bei dem ich die Einträge zum "ficen" mit Haken bestätigen kann. Habe ich etwas falsch verstanden/angewendet?

Vielen Dank für eine Antwort.

maysun

Korrektur: sollte im vorherigen post nicht "ficen" heißen, sondern "fixen".

Items? high-check? Ist wohl schon ein paar Tage her zwischen dem ersten Log-File und Deinem neuen. Stell mal ein neues Log rein! Weiss jetzt nicht so genau was Du meinst.

Hallo Mobius07,

was ich meinte, war folgendes: Im log-file von highjack sind die Daten von "C: ..." enthalten. Soweit, so gut. Lasse ich aber aktiv einen scan laufen und möchte danach bestimmte Einträge fixen, sind genau die Einträge von "C: ..." nicht sichtbar, also auch nicht "fixbar". Das meinte ich - und darum dachte ich, besteht zumindest die Möglichkeit, das ich etwas falsch gemacht habe.

Wenn ich jetzt im Anhang ein neues "highjack-scan" zeige, ist es eines aus der "log-version". Es entspricht nicht der Ansicht, die ich habe, wenn ich einfach den check laufen lasse und danach bestimmte items mit Haken zum checken anklicke.

Da blicke ich eben grad nicht durch .... War das verständlich? Wenn nicht - bitte klarmachen.

LG
maysun

PS: lächel - aber das meine ich ernst, total ernst: ihr seid echt wichtig und die meisten von uns Menschen merken es immer erst dann, wenn's knallt! Egal - such is teamwork. Danke, das ihr dabei seit!

Anhang:
<highjack aktuell

Logfile of HijackThis v1.99.1
Scan saved at 20:31:04, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\jdk-1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\cleanmgr.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://???.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\***\LOKALE~1\Temp\juan.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [VirusProtectPro 3.3] "C:\Programme\VirusProtectPro 3.3\VirusProtectPro 3.3.exe" /h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://???.microsoft.com/
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Na, du kannst bei Hijackthis natürlich nicht die "Einträge" fixen, die im Logfile als laufende Prozesse auftauchen. :)
Das geht nur bei denen, die im Logfile mit einem Buchstaben und direkt dahinter einer Zahl codiert sind.

Ach ja, jetzt weiss ich was du meinst:
Fixe die anderen Einträge sofern noch nicht geschehen. Nein, ich hab das jetzt nicht geschnallt, sorry. Beim scann siehst Du die C: Dateien nicht, nur im späteren Log. Such das Programm C:\Programme\Video ActiveX Access unter Start > Systemsteuerung > Software und klicke auf "entfernen".
Solltest Du diese Datei nicht finden mache die versteckten Dateien wie folgt sichtbar :
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen
Unter Start > Suchen > Dateien und Ordnern > Video ActiveX Access eigeben und löschen. Dann gehts weiter.

Schädliche Einträge, fixen:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\***\LOKALE~1\Temp\juan.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dl
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file) ... der ist sogar noch neu drauf. :mad:
Also, mal ganz ehlich, hat sich verschlechtert.... Ob sich das lohnt.....

Hallo Mobius07,

danke für die Antwort,

nun - unter "software" waren die Einträge leider nicht zu finden - habe die registry aufgerufen und sie zumindest dort gelöscht.

Wie geht es jetzt weiter und - was mich interessieren würde - gibt es bei dem aktuelleren logfile-posting noch Einträge, die zu bearbeiten wären, also neue?

Vielen Dank aber für die Info!!!!

LG
maysun

Du solltest Dich wirklich mit dem Gedanken anfreunden, neu aufzusetzen.
Das mit dem Bereinigen ist bei den Mengen an Einträgen viel zu zeitaufwändig und unsicher. Du hast null Garantie, und in der gleichen Zeit spielst Du locker ein neues Image auf. Oder hast Du wichtige Dateien die Du nicht verlieren willst?
Den Aktive X Sch... finden: Siehe Anleitung versteckte Dateien und Ordner sichtbar machen. Neue Einräge? Ja hast Du! Steht alles unten....

Hallo mobius07,

ja es gibt sehr viele und wichtige Dateien.

Na und unten sehe ich nix ....

Danke trotzdem

maysun

@Maysun, das soll jetzt nicht oberlehrerhaft klingen :heilig:
aber über Backups macht man sich immer Gedanken BEVOR etwas passiert. Was willst du denn machen, wenn sich von heute auf morgen die Festplatte verabschiedet?

Nichtsdestotrotz kannst du noch Daten sichern, besorg dir ne Notfall CD wie BartPE oder Knoppix und sicher die Daten extern. Notfall-CD deswegen, damit ein kompromittiertes System nicht den Backvorgang beeinträchtigen kann. Und sichern solltest du sicherheitshalber nur reine Datendateien wie Musik, Bilder, Videos, Dokumente etc. keinesfalls ausführbare Dateien (*.exe, *.com etc).

@cosinus : Wer setzt schon gern seinen Rechner neu auf ?
Aber bei den Einträgen sollte man wirklich abwägen was sinnvoll erscheint.
Man versucht ja nur den Leuten das Beste zu wollen, in diesem Fall find ich das Ganze etwas frustrierend. Man macht das ja in seiner Freizeit hier, da sollte schon wenigstens ein Erfolg rüberkommen. Aber dies hier ist irgendwie ein Negativ-Erlebnis.

Gruß von der Schwebebahn an den Roland.

Hallo Mobius07,

vielen Dank für Deine Unterstützung. Den Rat, das System neu aufzusetzen, werde ich befolgen. Denn es scheint echt "dicht" besiedelt zu sein. Noch nicht einmal der Active X-Ordner läßt sich löschen. die imsmn.exe-Datei schlägt sich nach löschen immer wieder in den task-manager. So erreicht sie ein "ich-bin-aktiv-und-kann-nicht-gelöscht-werden-haha!". Da habe ich keine Chance.

Allerdings sehe ich Deinen Rat positiv.

Muß halt eben erst mal Zeit finden, um diese ganze Angelegenheit zu erledigen. Das war ja nicht eingeplant und momentan ist es eng. Eine Erfolgsmeldung erhälst Du nach Erledigung aber GARANTIERT, versprochen!

Vielleicht muß ich dann ja trotzdem noch mal was nachfragen ....

Jedenfalls hast Du sehr geholfen. Positiv :-) Danke!

Du solltest zumindest im Task-Manager den Prozess unterbinden können > die Kack.exe anklicken und Prozess beenden. Aber wie gesagt, das alles wird hier zum Rattenschwanz, Neuaufsetzen ist eine gute Entscheidung, "kluges Surfen" erledigt den Rest.
Sichere Dein System auf Jeden der Anleitung hier im Board nach, und nimm Dir als bald die Zeit.
Spybot und Antivir sind nützliche & kostenlose Helferlein für Dein System.
Ein gutes zusätzliches Tool ist dieses Prog:
a-squared HiJackFree 3.0 - ähnlich wie HJT, nur ohne LOG-File.
Download a-squared Anti-Malware (a2) - Kostenlose Downloads der Freeware und Testversionen
Dies ziegt Dir neben den laufenden Prozessen auch Autostarts,offenen Ports und die Dienste an.
Wenn Du weitere Fragen hast, frag ruhig. Dafür ist dieses Board ja da, und mehrere Meinungen können nie schaden.

eventuell hat die Bereinigung Erfolg gehabt .. jedenfalls sind die Fehlermeldungen weg, das zugehörige blinkende button ebenfalls, IE wird nicht mehr aktiviert und na ja - würde mich interessieren, wie das hj-log nun interpretiert wird.

Lediglich den "EVIA"-Eintrag ließ ich stehen - entspringt dem von CD geladenen Programm einer Rechtschutzvers. - falls es aber garantiert "schlecht" ist - wäre ich für Info dankbar!

Logfile of HijackThis v1.99.1
Scan saved at 20:08:36, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MMM://MMM.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = MMM://MMM.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = MMM://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = MMM://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=MMM://MMM.microsoft.com/
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Geht das so durch oder gibt es doch noch arges?

Vielen Dank an Euch und an Mobius ;)
LG

Hast Du doch zu bereinigen versucht? Oh Mann!
Fixe alle R0 und R1 Einträge!
Geh in den abgesicherten Modus mit deaktivierter Systemherstellung, wieder alles bereinigen, lass Progs mehrmals durchlaufen.
Lösche dazu den IE-Explorer komplett
In der Systemsteuerung unter "Software" steht er bei "Windows XP - Software Updates".
Wieder neu drauf ziehen:
http://www.microsoft.com/downloads/d...0B&displaylang ... hier wieder runter laden!
Wo ist Dein Antirenscanner und Antispyscanner?
Sofort drauf damit:
Die Seite von Spybot-S&D! Spybot
AntiVir PersonalEdition Classic - Mehr als Sicherheit Antivir

Beide Progs scannen lassen.

War heute etwas früh um alles genau zu erklären. Ich verstehe die Einträge "MMM" nicht so ganz. Zumindest solltest Du den Explorer auch von CD starten können.
Dazu die Windows XP Setup CD einlegen und über START - AUSFÜHREN den folgenden Befehl eingeben:
rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\inf\ie.inf
Damit wird der Internet Explorer neu installiert und nicht einfach der Alte überspielt.
Zusätzlich einen alternativen browser wie firefox zulegen, und ganz wichtig die Antivirenprogs. Hoffentl. hast Du in der zwischenzeit nichts neues eingefangen.

Hallo Mobius07,


Danke für Deine Antwort! Nun habe ich dein letztes posting erst jetzt gelesen ... und war vorher fleissig :( .. hab' gleich heut früh alles der Reihe nach gemacht. im abg. Modus den IE gelöscht, die R0 + R1's fixen lassen (mehrmals), nochmals das smitfraudfix laufen lassen, spybot geholt, Antivir drauf. IE7 geladen (funzt jedoch nicht). Das Herunterladen konnte nur im normalmodus geschehen, da im abg. Modus der i-net-zugriff fehlschlug.
Nun: Antivir zeigt Treffer, auch wenn es löschen soll, wird die Fehlermeldung sofort wieder angezeigt (bis zu 15 mal). "C:\windows\system32\jeiaxf.dll", wird als Trojaner "TR\BHO.BD.9" idendifiziert. Btw: habe antivir dann vorübergehend deaktiviert, um Platz zum posten zu haben. Fehler wird trotzdem angezeigt (Meldefenster).

Ja, die CD - ist nicht hier, nicht "bei Fuß". Daher kann ich diesen Rat mit dem von CD neu aufspielen auch erst im Laufe der Woche ausführen. Da ist dann aber ein ganz alter IE drauf - das Programm habe ich glaub 2004 gekauft.

Na ja eine neue Erfahrung mit dem PC habe ich jetzt jedenfalls: er gibt jetzt Töne von sich. Aber nur, wenn Antivir einen Löschbefehl ausführen soll. Find ich ok.

Vielleicht ist das untergegangen zuvor: ich gehe nur per firefox in's Netz. IE habe ich nur für die patches verwendet - der funzte irgendwann aber nimmer. Mittlerweile kann man ja patches auch über firefox laden.

Soll ich noch ein hj-log hereinsetzen ? Müsste eigentlich fragen: "darf ich"?

LG
maysun

Wie ich Dir geschrieben hatte, eine Bereinigung ist unsicher und könnte mit Problemen behaftet sein.
Denn es handelt sich dabei ein Schadprogramm, das explizit weitere nachlädt. Es ist somit nicht einfach durch Löschen der erkannten Schädlingsdateien sicherzustellen, dass das System wieder in einen vertrauenswürdigen Zustand zurückversetzt wird. Dies sollte Dir bewusst sein. Es "kann" klappen, aber eine Sicherheit wirst Du in Deinem Fall wohl nie bekommen.
Warum es nicht immer sinnvoll ist Removal-Tools einzusetzen, kannst Du hier nachlesen und studieren:
Homepage von Malte J. Wetz

Diese "Töne" von Antivir werden wohl eher Funde sein :rolleyes:
Ein HJT-Log reinsetzen? Ob Du "darfst"? Klar, ist doch ein freies Board hier. :)

hallo,

nun ließ sich die Datei "find.bat" nicht als solche laden: anstatt des downloads erschien der Text daselbst. Macht nüscht - hatte von vorher (zum Glück noch erinnert) eine gefunden. Hoffe natürlich, dass dies das gleiche ist.

Hier nun erst mal das Ergebnis:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 08 22:58:30 2007 => System found infected with virusprotectpro Corrupted Adware/Spyware (virusprotectpro 3.3.lnk)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:32 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 22:58:48 2007 => System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
Sun Jul 08 23:01:44 2007 => [Scanne Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED]
Sun Jul 08 23:01:44 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\438d693b.qua
Sun Jul 08 23:01:44 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b09e.qua
Sun Jul 08 23:01:44 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b0ba.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b0d6.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b1d5.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b1e0.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b1f1.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b20d.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b213.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b27c.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b2b0.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b2d4.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b2d8.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b8c0.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b9fa.qua
Sun Jul 08 23:01:45 2007 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46f9b9fe.qua
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 08 22:58:30 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\microsoft\internet explorer\quick launch\virusprotectpro 3.3.lnk
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\process.exe
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\reboot.exe
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\swreg.exe
Sun Jul 08 22:58:32 2007 => Offending file found: C:\Dokumente und Einstellungen\user\Desktop\smitfraudfix\swsc.exe
Sun Jul 08 22:58:43 2007 => Offending Folder found: C:\Dokumente und Einstellungen\user_alt\Eigene Dateien\gkm\dkv
Sun Jul 08 22:58:43 2007 => Offending Folder found: C:\Dokumente und Einstellungen\user_alt\Eigene Dateien\gkm\krankenkasse\dkv
Sun Jul 08 22:58:48 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 08 22:23:32 2007 => Virus Database Date: 7/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



und nun noch das hj-log

Logfile of HijackThis v1.99.1
Scan saved at 01:14:24, on 09.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\jdk-1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://xxx.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://xxx.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5

"LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame

Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Vielleicht sieht es ja noch machbar aus?

Wer auch immer drüber schaut: Mercí beaucoup!

LG an die gute Seele, die dies macht,
maysun

Naja, Dein Log sieht wesentl ,besser aus. Aber der e-scan nicht so gut.
Dazu kommt, das Antivir wohl auch in Mitleidenschaft gezogen worden ist und Deine Startseite jetzt statt MMM in xxx umgewandelt worden ist. :eek:
Obwohl zum escan:
Das ist nichts aussergewöhnliches. Also sollte da irgendwo ein Problem sein, wird es nicht immer durch Malware hervorgerufen. Escan mag ja recht gut sein, verbreitet aber Panik unter Nutzern, die sich nicht gut in der Materie auskennen. Sprich, es findet eigentlich auf jedem Rechner irgendwas.
Das nervige an Escan ist, das es unaufgefordert Dateien, bzw Ordner im Systemverzeichniss erstellt. Lösche bitte die von Escan erzeugten Dateien.
Gut möglich das sich versch. Antiprogs nicht vertragen.
Lösche Antivir und zieh diesen neu drauf! Bereinige vorsichtshalber nochmals den Rechner.
Meine Güte, ein Endlosthread. Bin zu müde dafür :heulen:

*kurzeinmisch*
Was soll denn das noch hier? In dieser "Bereinigungs-"Zeit hätte man den Rechner locker 10x neu aufsetzen können... :eek:

@maysun: Lass es endlich, eine Bereinigung _kann_ erfolgreich sein, man weiß das aber leider nie genau, da du die Sauberkeit eines Systems nicht beweisen kannst.

Hallo Mobius07,

ja hatte auch den Eindruck, das im escan u.a. der Eintrag von "smitfraudfix" gescannt wurde als Trojaner - also der Eintrag eines Trojaner-Entfernungs-Tools.

Dem log - oder Protokoll, nenne man es, wie man es will, von escan habe ich einen Namen gegeben. Das ist eine Datei. Die werde ich löschen. Genauso wie auch Antivir erstmal. Gibt es noch andere Dateien, die escan anlegt, die ich löschen sollte?

Vielen Dank für die Antwort,
maysun

Ach ja, da war doch noch was :Boogie:

Cosinus hat <kurzeinmisch> nicht Unrecht, aber das gleiche hatte ich Dir schon vor einer Woche geschreiben.
Zum "Rattenschwanz": Lösch e-scan komplett vom Rechner, bei Bedarf ziehst Du es erneut vom Netz. Antivir mekkert zudem sowieso immer wenn Smidfraud läuft. Darum bekommst du auch diese "Töne". Beim scan sollte man eh deshalb immer die untersch. Antivrenprogs deaktivieren. Welche Dateien Du noch "löschen" sollst, kann ich Dir nicht schreiben.
Weiter bereinigen? Welche Progs gibts denn da überhaupt noch?
Ach ja, diese hatten Wir noch nicht (Ironisch gemeint):
Trend Microâ„¢ CWShredderâ„¢ - Trend Micro USA
F-Secure Blacklight > F-Secure Blacklight
Anti Rootkit Software - Panda Anti-Rootkit (Tucan)

Ausser Regseeker,clearprog,Antivir,Spybot und Adaware würde ich wieder anschliessend alles vom Rechner schmeissen.
Weiter helfen? Ich denke mir mal, man sollte das Ganze hier zum Abschluß bringen.

Wenn man eScan schon einsetzt, dann bitte doch mit einer aktuellen Logauswertungsdatei.
Und wenn man zum Löschen von eScan auffordert (wieso auch immer), sollte man zumindest die Verzeichnisse und Registrierungszweige nennen, die eScan hinterlässt :rolleyes:

@TO

Der Registrierungszweig für eScan findet man unter HKCR\eut

reg del HKCR\eut /f

Ansonsten einfach mal die Ausgabe von
posten.

Wieviele Progs soll man denn noch durchlaufen lassen? Was noch herauskrosen. Wer hebt sich wo auf, wer mekkert? Was ist wenn A eintrifft, aber B nicht vorhanden ist, usw,usw....Welche Einträge noch finden? Hast Du noch den genauen Überblick? Ich halte das Alles hier für zu unübersichtlich! Für Otto-Normal-Verbraucher ist das alles wohl nicht einfach nachzuvollziehen. Und zum e-scan: Glaub Dir das Dein Steckenpferd ist, aber reite deshalb nicht darauf rum. Nobody ist perfekt, ich kenn mich auch nicht in allen "Registrierungszweigen" aus oder kenn diese aus dem EffEff....:rolleyes:

Naja, Postings hängen auch ordentlich von der Tagesform ab. Hilft dem TO nicht so recht. Oder wie siehst du das? ;)

- Nimm Beiträge nicht persönlich. Es ist ein Forum, es gibt Meinungsverschiedenheiten, hast du selbst in diesem thread oft genug betont...

- werde nicht persönlich

Gruß :party:

Wie ich schon schrieb, man kann nicht alles wissen. Nur manchmal finde ich auch nicht die "Art" des postings korrekt. Ich "versuche" immer alles höflich zu verpacken, ob es mir immer gelingt sei dahingestellt.
Geb Dir Recht, manche Sachen sollte man nicht so eng sehen, ist auch früh am Morgen, nur kann man unmöglich jeden Reg.Zweig kennen. Es sei denn, man googelt bis die Schwarte kracht.
Ist auf keinen etwas "persönliches". Wenn das so rüberkam ist dem nicht so. Nur sollte man sich nach allen Seiten absichern. Hab ich wohl nicht aufgepasst, vielleicht ärger ich mich über mich selbst. Wer weiss.
Sch. thread :)

Schönen Morgen noch.... Gruß zurück!

Hallo ihr Lieben,

also, Erkenntnis Nr. 1: Neuaufsetzen!

Klar

Das geht jetzt (hier) nicht so schnell - braucht es CD dafür und Zeit (für den Laien, zu lernen) meine CD (recovery + aditional tools) war woanders, also erst mal wieder her damit.

Ergebnisse bisher: Die Hinweise - und die waren meines Erachtens wirklich optimal - von Mobius07 halfen mir zur Selbsthilfe (ja, dabei lernt man eben auch, etwas zu verstehen, von dem man vorher keine oder nur geringe Ahnung hatte).

Mobius riet auch (aber eben - ich sage mal psychologisch sehr gut angemessen) zur Neuaufsetzung. Das werde ich tun!

Nur in der Zwischenzeit (weil eben die CD nicht da war), in der Zeit also, in der ich die gespeicherten Daten hier nutzen muß (vor der Neuaufsetzung), weil ich damit eben arbeiten MUSS, um überhaupt Geld zu verdienen, geht es wieder. Da hat mir der Mobius07 echt OPTIMAL geholfen. Wirklich!

Cosinus Einwand ist natürlich richtig. War eben nur anders formuliert als der von Mobius.

Jetzt häckelt Euch nicht gegenseitig - hey: Ihr seit zusammen sowieso das beste Team überhaupt!

Niemand kann alles wissen - es ist immer eine Sache des Miteinanders!

Euch allen danke ich absolut - und ich habe soviel gelernt dabei. Und ihr macht das alles umsonst hier. Finde, das sollte nochmal deutlich hervorgehoben werden!!!

Klar werde ich neu aufsetzen, weil es keinen anderen Weg gibt, der das System wieder auf saubere und klare Beine stellt.

So und nun an ganz unpräzientöses DANKE an alle!
maysun

mhm, es ist ein unprezentiöses Danke!!! Da fehlte wohl ein "i" Sorry!

Man sollte immer vorher klarmachen, was man schreibt. Eben habe ich bei wikipedia nachgesehen und stellte fest, das auf das Wort "pretentiös" die Bedeutung: "anmaßend" festgelegt ist. Oh jeh - ich meinte gerade das Gegenteil, wollte nur sagen, dass es einfach nur supergut ist. Bitte lasst diese Richtigstellung (auch wenn sie nix mit IT zu tun hat) stehen.

Sorry
maysun

Ich halte es für keine gute Idee, mit einem kompromittierten System weiterhin bewusst online weiterzuarbeiten!

Klar ist, dass Hilfestellungen über das Internet vom betroffenen Nutzer auch nur dann empfangen und verarbeitet werden können, wenn er dazu online ist. Klar ist außerdem, dass man nicht sichergehen kann, dass der Nutzer vor Ort eine inhaltlich qualitativ ähnliche Hilfestellung erhalten würde, die sich sowohl dem Problem an sich als auch seinen Ursachen und den für die Zukunft notwendigen Schlüssen daraus widmet.

Nichts desto trotz sollte man das Ganze nicht noch über diese Maßen hinaus strapazieren - denn es gilt zu bedenken, dass es sich eben nicht nur um das eigene System handelt, das betroffen ist, sondern andere Internetnutzer mit ihm. Warum? Weil von kompromittierten Systemen Gefährungen für mit dem Internet verbundene Nutzer und Server ausgehen. Dieser Verantwortung, die man anderen gegenüber trägt, sollte man sich schon bewusst sein bzw. bewusst werden.

Du hast aber das Wort mit un als Vorsilbe verwendet. Falls Du das gemeint hast, wäre es ja gar nicht mal so unpassend:

Duden-Homepage | Suchergebnis für &bdquo;unprätentiös&rdquo;

Hallo MMK,
ja stimmt. Danke!

Wollte einfach nur genau sein. Alles gibt es nur einmal. Das muß man erst mal begriffen haben im Leben. Habe gar nicht dran gedacht, dass die Direktform akzeptabel ist. Danke also!

LG
maysun

Antwort 2 an mmk:

war offenbar kein "backdoor" - daher habe ich alles befolgt und damit weitergearbeitet.

Recht hast trotzdem!

LG
maysun

Ich denke mir, um das Ganze hier nun wirklich zum Abschluß zu bringen ist folgender Eintrag von mmk: Zitat: Dieser Verantwortung, die man anderen gegenüber trägt, sollte man sich schon bewusst sein bzw. bewusst werden.
Bis gestern dachte ich dies alles hier sei für`n Ar..... Aber im Grunde genommen- und so ist ja nun mal- sieht man auch mal dadurch wieder, das es mehr gibt als nur Bits & Bytes. Man lernt ja daraus, Stillstand bringt einen nicht weiter.
So, können Wir nun diesen thread schliessen, oder noch Einwände? :huepp:

Och, man kann doch ganz prima diskutieren und muss wegen Meinungsverschiedenheiten, Missverständnissen oder Interpretationsunterschieden nicht gleich alles schließen. Ich sehe darin kein Problem. ;)

Du hast auf Jeden Recht. Aber les Dir mal diesen thread genau durch. Was ich mir hier für Schelten hab rein ziehen müssen- und das z.T nicht zu Unrecht. Hab mich "weichklopfen" lassen, weil ich leider zu Gutmütig bin, mein Manko. Aber die Art diese threads ist schon "anders" als der Rest hier, da stimme ich Dir zu. Hat aber was, also gut. Wer seinen "Senf" dazu geben möchte, sei herzlich eingeladen. Besser so :)
Obwohl, müsste man den thread dann jetzt nicht verschieben?

Gruß Patrick

jepp MMK, stimmt! Danke für die Korrektur. Ist Gold wert (naja, jedenfalls für mich)!

letzlich nur als Endnotitz - auch an jene, die dies lesen, weil sie ein vergleichbares Problem haben: NEUAUFSETZEN! Das werde ich auch machen, weil es der einzige Weg ist, wieder sicher zu fahren bzw. zu surfen oder online zu arbeiten! Es gibt keinen anderen Weg.

Danke nochmals an alle, die darauf hingewiesen haben. Es stimmt einfach.
maysun