Habe alles gemacht, doch die Trojaner sind hartnäckig

#1 Liebes Forum,

ich habe alles gemacht, was Ihr wolltet: Hier ist das Escann-Log, den Stinger habe ich geladen und den CWShredder auch (AdAware habe ich sowieso, ebenso Spybot). Und immer noch versucht dauernd jemand;-), meine Startseite zu ändern, was mir der SpySweeper mitteilt. Ich lösche ihn, aber er kommt immer wieder. Was kann ich noch tun?
Vielen Dank für die Hilfe, Gruß

F

File C:\WINDOWS\applo.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\netie.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\notepad.exe.bak infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\apitp32.dll tagged as not-a-virus:AdvWare.WinShow.d. No Action Taken.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\apiym32.dll tagged as not-a-virus:AdvWare.WinShow.d. No Action Taken.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\apiym32.dll.new tagged as not-a-virus:AdvWare.WinShow.d. No Action Taken.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\applg.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\applg.dll.new infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\ipuk32.dll tagged as not-a-virus:AdvWare.WinShow.d. No Action Taken.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\mfcru32.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\mfcza32.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\msiesh.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\winrb\winrb32.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LBFJDPWE\f96676[1].hta infected by "TrojanDropper.VBS.Inor.a" Virus. Action Taken: File Deleted.
File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\48036EDA.html infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted.
File C:\Programme\Windows Media Player\wmplayer.exe.tmp tagged as not-a-virusialer.Lagoon. No Action Taken.
File C:\RECYCLER\S-1-5-21-3957454863-2214429306-3776674156-1007\Dc84.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP45\A0010248.dll infected by "TrojanDownloader.Win32.WinShow.b" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP46\A0010322.exe infected by "Backdoor.Sinit.c" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP46\A0010323.exe infected by "Backdoor.Sinit.c" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP46\A0010324.exe infected by "Backdoor.Sinit.c" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP46\A0010325.exe infected by "Backdoor.Sinit.c" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP47\A0010896.exe tagged as not-a-virusialer.Generic. No Action Taken.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP50\A0011814.exe infected by "TrojanDropper.Win32.Small.ih" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP50\A0011880.new infected by "TrojanDownloader.Win32.WinShow.m" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP54\A0012019.exe tagged as not-a-virusialer.Lagoon. No Action Taken.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP54\A0013172.exe infected by "TrojanDownloader.Win32.WinShow.af" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP59\A0014676.new infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP59\A0014688.dll infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP59\A0014844.exe infected by "TrojanDownloader.Win32.WinShow.af" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP59\A0014847.dll infected by "TrojanDownloader.Win32.Small.kq" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP70\A0016190.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016202.exe infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016210.exe infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016217.exe tagged as not-a-virusialer.Generic. No Action Taken.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016218.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016260.exe infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016262.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016289.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016294.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016296.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016297.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016298.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016299.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016300.new infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016301.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016302.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016303.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{FFFB2316-AFBF-480E-A6D6-4CC276E1EFA9}\RP71\A0016304.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\WINDOWS\atlmc32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File to be deleted on reboot.
File C:\WINDOWS\crdx32.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\otfComp.dll infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: File Renamed.
File C:\WINDOWS\heumvx.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\WINDOWS\jsrvr.dll infected by "TrojanDownloader.Win32.Winshow.u" Virus. Action Taken: File Deleted.
File C:\WINDOWS\msopt.dll infected by "TrojanDownloader.Win32.Small.kq" Virus. Action Taken: File Deleted.
File C:\WINDOWS\msxmidi.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.
File C:\WINDOWS\ntjqir.dat infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\n_okiecg.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\WINDOWS\sdkcm.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\WINDOWS\sdkqh32.dll infected by "TrojanDownloader.Win32.Wintrim.be" Virus. Action Taken: File Deleted.
File C:\WINDOWS\vzijx.dll infected by "TrojanDownloader.Win32.Winshow.u" Virus. Action Taken: File Deleted.
File C:\WINDOWS\yemof.dll infected by "TrojanDownloader.Win32.Winshow.u" Virus. Action Taken: File Deleted.

#2 Hallo,
du solltest uns mal ein Log-File von HiJackThis zur Verfügung stellen
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 @Log von Firstclass

:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\applo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\netie.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Felix\Eigene Dateien\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yemof.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yemof.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yemof.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yemof.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yemof.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yemof.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {42AF77F8-8F80-593A-6033-1F5340E12130} - C:\WINDOWS\system32\msci32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [netie.exe] C:\WINDOWS\system32\netie.exe
O4 - HKLM\..\Run: [WinInit] Win86.exe
O4 - HKLM\..\Run: [WinLogin] win32x.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\RunOnce: [applo.exe] C:\WINDOWS\applo.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {67BEB103-900C-11D2-950F-00A0C968A099} (otfCompCtl Class) - http://www.world.realtime-data.de/terminal/templates/excel/otfComp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38126.6015277778




...............................................................................................................
Antwort von @Sabina

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yemof.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yemof.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yemof.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yemof.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yemof.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yemof.dll/sp.html#96676

O2 - BHO: (no name) - {42AF77F8-8F80-593A-6033-1F5340E12130} - C:\WINDOWS\system32\msci32.dll

O4 - HKLM\..\Run: [netie.exe] C:\WINDOWS\system32\netie.exe
O4 - HKLM\..\Run: [WinInit] Win86.exe
O4 - HKLM\..\Run: [WinLogin] win32x.exe
O4 - HKLM\..\RunOnce: [applo.exe] C:\WINDOWS\applo.exe


neustarten


Loesche C:\WINDOWS\system32\msci32.dll

# Lade den Stinger
http://vil.nai.com/vil/stinger/
# Scanne mit dem escann...mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
#Lade Spysweeper free
http://www.spysweeper.com/
#Lade Cwhredder..neue Version
http://www.spywareinfo.com/~merijn/downloads.html
#Surfe mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

Loesche unter InternetOptionen die TemporaryInternetFiles und poste das Log noch mal.

Poste auch, was der escan gefunden und geloescht hat.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 @Firstclass

Die Viren sind schon mal weg...jetzt fehlt nur noch der Trojaner, der die Startseite verstellt...

Von deinem alten Log ausgehend...

Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yemof.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yemof.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yemof.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yemof.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yemof.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yemof.dll/sp.html#96676

O2 - BHO: (no name) - {42AF77F8-8F80-593A-6033-1F5340E12130} - C:\WINDOWS\system32\msci32.dll

NEUSTARTEN

#Lade den Antivirus free...deaktiviere vorher kurz den Symantec
http://www.free-av.de/

Antivirus-Einstellungen :

Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
......................................................................................................
boote und gehe beim Hochfahren in den abgesicherten Modus....F8 druecken
und mache dort einen Vollscann mit dem Antivirus

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\msci32.dll
ist ein Trojaner und muesste erkannt und geloescht werden....

#Danach die Registrireungseinträge in der Registry:
Start<Ausfuehren<regedit

Hkey_Local_Maschine>Software>Microsoft>Internet Explorer> Main und einbisschen weiter unten in SEARCH

Homeoldsp; und weitere Einträge die sich auf die Datei in C:\WINDOWS\yemof.dll/sp.html#96676
beziehen loeschen .

---neustarten

Lade ClearProg...die neuste Version
#Loesche dann unter InternetOptionen die TemporaryInternetFiles
http://www.shtools.de/downloads.php

#Stelle nun unter InternetOptionen eine neue Startseite ein

---neustarten


Poste das Log dann noch einmal. !!!!!!!!!!!!!!!

Tip
Surfe nur mit dem Firefox...ist sicherer...
http://www.firebird-browser.de/

MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#5 @Firstclass
Du solltest auf jeden Fall dein System updaten:
http://v4.windowsupdate.microsoft.com/de/default.asp
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#6 Liebes Forum!
Bin absolut neu bei Euch gelandet, auf der Suche nach Viren und Trojanerklinik. Mein Pc macht so allerhand Troubless. Ich vermute ganz stark, dass die Verseuchung weit fortgeschritten ist. Gibt es für solche Fälle ein Medikament? Habe vorsorglich mein
Logfile of HijackThis v1.98.0
Scan saved at 13:38:28, on 10.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\PC-MAC-LAN\ATMSG.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\PC-MAC-LAN\ATSERVER.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\GENERIC\6-IN-1 USB CARD READER DRIVER V1.7\DISK_MONITOR.EXE
C:\PROGRAMME\SAVE\SAVE.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [PowerQuest Startup Utility] C:\Programme\PowerQuest\PartitionMagic4\UTILITY\MMOVER32\PQINIT.EXE
O4 - HKLM\..\Run: [Miramar Systems' PC MACLAN FS] C:\PROGRAMME\PC-MAC-LAN\ATSERVER.EXE
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\6-in-1 USB Card Reader Driver v1.7\Disk_Monitor.exe
O4 - HKLM\..\Run: [cryptxfatask] C:\WINDOWS\SYSTEM\rgjqex.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Miramar Systems' PC MACLAN] c:\programme\pc-mac-lan\ATMsg.exe -service
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [gigabit.exe] C:\WINDOWS\SYSTEM\gigabit.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00000407-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: GStartup.lnk = C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GatorRes.dll
O4 - Startup: PrecisionTime.lnk = C:\PROGRA~1\PrecisionTime\PrecisionTime.exe
O4 - Startup: Date Manager.lnk = C:\PROGRA~1\Date Manager\DateManager.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .modis&globe_rows=5&globe_cols=8&min_year=2002&max_year=2003&min_month=1&max_month=4&globe_month=2&globe_yr=2003: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/ssoap/pptproactauthakamai/systemsoappro.cab
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

angefügt
würde mich über Hilfe freuen

Danke

Alpin

#7 alpin

Fixe mit dem HijackThis

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [cryptxfatask] C:\WINDOWS\SYSTEM\rgjqex.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKCU\..\Run: [gigabit.exe] C:\WINDOWS\SYSTEM\gigabit.exe

O4 - Startup: GStartup.lnk = C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GatorRes.dll
O4 - Startup: Date Manager.lnk = C:\PROGRA~1\Date Manager\DateManager.exe

neustarten


Lade Antivirus
http://www.free-av.de/
Konfiguriere
Antivirus-Einstellungen :

Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

Mache einen Vollscann

Lade mwav.exe ...30 Tage free...was der scanner nicht loescht, musst du manuell entfernen.
Und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp

Lade AdAware free
http://www.lavasoft.de/

Lade spybot
http://beam.to/spybotsd

Lade spysweeper
http://www.spysweeper.com/download.html

Deinstalliere diese Programme und und Loesche
C:\PROGRAMME\SAVE\SAVE.EXE.....WhenUSave
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE

MfG
Sabina

http://www.pcshow.de/viren,2.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 liebes forumteam,liebe sabina!

bin nach deinen (euren) anweisungen vorgegangen,habe aber div.programmfiles nicht(mehr) gefunden, hoffe das diese gelöscht sind.habe neuen logfilceck gemach,
und würde euch bitten mir diese noch einmal durchzusehen.
ihr habt mir schon sehr geholfen, und danke dir (euch) dafür, hoffe bald von euch zuhören.
einstweilen besten dank
alpin

Scan saved at 12:42:17, on 11.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\PC-MAC-LAN\ATMSG.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\PC-MAC-LAN\ATSERVER.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\GENERIC\6-IN-1 USB CARD READER DRIVER V1.7\DISK_MONITOR.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [PowerQuest Startup Utility] C:\Programme\PowerQuest\PartitionMagic4\UTILITY\MMOVER32\PQINIT.EXE
O4 - HKLM\..\Run: [Miramar Systems' PC MACLAN FS] C:\PROGRAMME\PC-MAC-LAN\ATSERVER.EXE
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\6-in-1 USB Card Reader Driver v1.7\Disk_Monitor.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Miramar Systems' PC MACLAN] c:\programme\pc-mac-lan\ATMsg.exe -service
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00000407-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .modis&globe_rows=5&globe_cols=8&min_year=2002&max_year=2003&min_month=1&max_month=4&globe_month=2&globe_yr=2003: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

#9 @alpin

div.programmfiles nicht(mehr) gefunden...das will ich auch hoffen, denn das waren Viren und Spyware.
Nun ist alles sauber.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 liebe sabina!
ich danke dir für deine schnelle profesionelle hilfe, und wünsche dir alles gute.danke noch mals
liebe grüße
rw
alpin