eScan findet 66 infizierte Files ... und nun?

#1 Hallo,

ich hab mich nach euren Anleitungen durch Hijack und eScan gekämpft. Der eScan-Log haut mich allerdings um ... meine Kenntnisse sind doch sehr beschränkt und ich traue mich nicht, einfach alles Files zu löschen.

Bitte überprüft den Scan-Log und sagt mir, was ich tun kann.

Vorab Danke
Heike

File C:\WINDOWS\system32\msadblock32.dll infected by "Trojan.Win32.StartPage.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\32ntPE64s-.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hhors-hh.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hhPEor.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\64hh64.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msadblock32.dll infected by "Trojan.Win32.StartPage.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msadcheck32.exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msntSP.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nthhmsSPsy.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\PEsyhhmsnt.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\PEsynt.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\s-32hhSP32.exe.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\SPSP.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\symshh32ms.exe.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\powerscan.exe.tcf infected by "Trojan-Downloader.Win32.IstBar.gg" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\8LW3GNKJ\checker[1].exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Menu.class-48e42457-2c2749b8.class infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp\powerscan.exe.tcf infected by "Trojan-Downloader.Win32.IstBar.gg" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LW3GNKJ\checker[1].exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\Programme\Windows Media Player\wmplayer.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc335.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc336.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc337.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc338.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc339.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc340.tcf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP113\A0064474.exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP114\A0064537.exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP115\A0064569.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP115\A0064571.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP116\A0064582.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP116\A0064591.exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP116\A0064605.exe.tcf infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP117\A0064620.exe.tcf infected by "Trojan-Downloader.Win32.IstBar.gg" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064801.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064803.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064804.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064805.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064810.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064814.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064817.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP119\A0064819.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}\RP121\A0065053.exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\unzipped\hijackthis_198\backups\backup-20041210-121459-588.dll infected by "Trojan.Win32.StartPage.qk" Virus. Action Taken: No Action Taken.
File C:\unzipped\hijackthis_198\backups\backup-20041210-121500-258.dll.tcf infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\32ntPE64s-.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hhors-hh.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hhPEor.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\64hh64.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msadblock32.dll infected by "Trojan.Win32.StartPage.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msadcheck32.exe infected by "Trojan-Downloader.Win32.Small.aam" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msntSP.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nthhmsSPsy.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\PEsyhhmsnt.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\PEsynt.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\s-32hhSP32.exe.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\SPSP.exe infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\symshh32ms.exe.tcf infected by "Trojan-Downloader.Win32.Small.abc" Virus. Action Taken: No Action Taken.

#2 wo hast du escan her?
ich find nämlich net

#3

Zitat

stefan H postete
wo hast du escan her?
ich find nämlich net

Hi Stefan,

einfach mal hier schauen.
__________
Gruss Pan

#4 Noch besser http://www.mwti.net/antivirus/escan/escandl_antivirus.asp
__________
MfG Argus

#5 Hallo janux.

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\msadblock32.dll
C:\WINDOWS\32ntPE64s-.exe
C:\WINDOWS\hhors-hh.exe
C:\WINDOWS\hhPEor.exe
C:\WINDOWS\System32\64hh64.exe
C:\WINDOWS\System32\mac80ex.idf
C:\WINDOWS\System32\msadblock32.dll
C:\WINDOWS\System32\netut80ex.vxd
C:\WINDOWS\System32\nthhmsSPsy.exe
C:\WINDOWS\System32\PEsyhhmsnt.exe
C:\WINDOWS\System32\PEsynt.exe
C:\WINDOWS\System32\s-32hhSP32.exe.tcf
C:\WINDOWS\System32\s-32hhSP32.exe
C:\WINDOWS\System32\SPSP.exe
C:\WINDOWS\System32\symshh32ms.exe.tcf
C:\WINDOWS\System32\symshh32ms.exe
C:\WINDOWS\System32\msadcheck32.exe
C:\WINDOWS\System32\msntSP.exe

Neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

loesche:
C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc335.tcf C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc336.tcf C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc337.tcf C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc338.tcf C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc339.tcf C:\RECYCLER\S-1-5-21-1489800277-3444345157-3501914990-1006\Dc340.tcf

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

#scanne noch mal mit eScan und loesche, was noch angezeigt wird manuell

#HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo Sabina,

ich hab deine Liste soweit abgearbeitet.

escan zeigt nun keine infizierten Files mehr an, dafür allerdings 229 Errors (die aber nicht aufgelistet werden)

Hier der Hijackthis-Log:

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 16:01:25, on 15.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Windows XP\Desktop\Eigene Dateien\Neuer Ordner\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S36.tmp"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: HP Configuration Interface Service - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)

Danke
Heike

#7 Nachtrag:

In der Systemsteuerung lassen sich die Webeinstellungen NICHT zurücksetzen.

#8 Start<Ausfuehren < cmd

kopiere rein:

sc stop ZESOFT

--->enter

und warte ein bisschen,
dann kopiere rein:

sc delete ZESOFT

-->enter

oeffne die Killbox und kopiere rein:
C:\windows\zeta.exe

PC neustarten

dann:
saeuber den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

hab alles erledigt, mit TuneUp wurde noch einiges bereinigt.
Möchtest du noch escan oder Hijack-log zur Kontrolle?

Eine Frage noch: auf die ganzen Probleme bin ich gestoßen, als mir der WindowsMedia-Player ständig Fehlermeldungen gegeben hat. Im Verlauf der Löschaktionen habe ich ihn dann wohl mit gelöscht, denn seither fehlt er unentschuldigt. Oder ich finde ihn nur nicht - das kann bei meinen mangelhaften Kenntnissen natürlich auch sein.
Kannst du mir da noch einen Tipp geben?

Vielen Dank
Heike

#10 ja, die Logs haette ich gern.

und installiere den Mediaplayer neu.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Sabina,

escan findet immer noch keine Viren (im Virus Log wird nichts angezeigt). Brauchst du den gesamten Log oder genügt der angehängte Hijacklog?

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 18:01:05, on 16.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Windows XP\Desktop\Eigene Dateien\Neuer Ordner\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S36.tmp"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: HP Configuration Interface Service - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#12 Hallo@janux

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

Button "Fix checked" -->> PC neustarten

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
__________
MfG Sabina

rund um die PC-Sicherheit