C:\WINDOWS\system32\search.html

#0
14.01.2005, 11:16
...neu hier

Beiträge: 5
#1 Ich bin neu hier- weiß nicht ob das richtig ist, wie ich das mache:
mein browser stellt sich immer auf das og. ein.
Ich mache jetzt schon stundenlang rum (bin ziemlich unerfahren) und weiß nicht mehr weiter.
Kann mir bitte irgendjemand helfen?

Weil das immer gefragt wird, hier der hijackthis scan:

Logfile of HijackThis v1.99.0
Scan saved at 11:14:08, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\stw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wisptis.exe
C:\DOKUME~1\HARALD~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [mode] c:\NBDriver.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098392580751
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Falls irgendjemand antwortet, bitte berücksichtigt, dass ich keine Ahnung habe, bitte step by step erklären.

Vielen dank für Eure Hilfe und Geduld schon im Voraus.
Seitenanfang Seitenende
14.01.2005, 11:19
...neu hier

Themenstarter

Beiträge: 5
#2 Oops,
hab isch wohl falsch gemacht- wie schreibe ich denn eine Nachricht an alle?
Seitenanfang Seitenende
14.01.2005, 11:37
Member
Avatar Malkesh

Beiträge: 669
#3 Nachricht an alle? Nein, nein, das ist schon richtig hier.

Ich würde dir mal empfehlen dir einmal folgende Tools zu besorgen:
AdAware, Spybot S&D, eScan -- Alle Tools sollten mit Hilfe der Foren-Suchfunktion leicht auffindbar sein, bzw. mit Google.

Nachdem du diese Tools installiert bzw. im Falle von eScan nur heruntergeladen hast, deaktivierte die Win XP Systemwiederherstellung und gehe in den abgesicherten Modus (während dem booten F8 drücken).
Scanne dann mit den drei Tools und lasse eventuell gefundene Malware entfernen. Im Falle von eScan ein log speichern und mit dem Editor öffnen -> nach "infected" suchen und jede gefundene Zeile komplett hier ins Forum posten. (Sprich: Dateiname, kompletter Pfad, Art der Infektion)

Weiterhin im abgesicherten Modus und bei deaktivierter Systemwiederherstellung:
Zu deinem HijackThis-log (automatische Auswertung hier):
überprüfe folgende Einträge/Dateien ob du sie kennst
C:\WINDOWS\system32\stw.exe
O4 - HKLM\..\Run: [mode] c:\NBDriver.exe
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe

Folgende Einträge sind unnötig (z.B. weil die Zieldatei gar nicht mehr existiert) und können daher gefixt (haken setzen und auf 'fix checked') werden:
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing)
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Diesen Eintrag allerdings unbedingt fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
14.01.2005, 13:09
...neu hier

Themenstarter

Beiträge: 5
#4 Also zunächst mal Vielen dank für Deine schnelle Hilfe.
Also bin ganz schön ins Schwitzen gekommen:
Adaware SE Personal hat nix gefunden.
Spybot S&D hat 4 Probleme behoben (cool www Search. w. cadw + DSO Exploit)
und escan (konnte nur im normalen Windows Modus ausgeführt werden) sagt:
File C:\windows\htpatch.exe tagged as not-a-virus: Tool.win.32.HTPatch.b No Action taken
Diese
C:\WINDOWS\system32\stw.exe
O4 - HKLM\..\Run: [mode] c:\NBDriver.exe
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe
kenne ich nicht.
Das Programm VRNetworld kenne ich, daher ist
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
wahrscheinlich ok.
Alles andere ist gefixt und hier der aktuelle Logfile
(R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html kommt immer wieder der Sch.....!**!)


Logfile of HijackThis v1.99.0
Scan saved at 13:07:50, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\stw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\HARALD~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\HARALD~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098392580751
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Im Voraus vielen Dank für Deine / Eure Bemühungen
Seitenanfang Seitenende
14.01.2005, 13:59
Member
Avatar Malkesh

Beiträge: 669
#5 So, das ist aber ja schonmal was wert.

Dann mal was neues:

C:\WINDOWS\system32\stw.exe
C:\NBDriver.exe

Lade diese Dateien mal auf folgender Seite hoch, damit Sie ordentlich durchgescannt werden und melde hier bitte wieder das Ergebnis:
http://virusscan.jotti.dhs.org/

Bei einer Infektion bitte melden mit was die Datei/en infiziert sind, sowie im abgesicherten Modus die Betreffende Datei/en löschen und die dazu gehörigen HijackThis-Einträge fixen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
14.01.2005, 14:25
...neu hier

Themenstarter

Beiträge: 5
#6 Hier sind die Antworten:

File: stw.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

C:\NBDriver.exe
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Was tun? sprach Zeus.....

Auf jedenfall schon einmal ein herzliches Dankeschön.
Malkesh, du bist schon jetzt mein Held.
Seitenanfang Seitenende
14.01.2005, 15:04
Member
Avatar Malkesh

Beiträge: 669
#7 Im Moment finde ich keine weiteren Informationen zu diesen beiden Dateien. Die Orte an welchen sie jedoch liegen sind meiner Ansicht nach hochverdächtig, zusammen mit dem Ergebnis des Online Scans und HijackThis-Auswertung würde ich daher dazu raten beide Dateien zu löschen. (Du sagtest ja selber du kennst die beiden Dateien nicht und Systemdateien sind es ebenfalls nicht).

Also: abgesicherter Modus, die Dateien löschen sowie folgende HijackThis-Einträge fixen:
C:\WINDOWS\system32\stw.exe
O4 - HKCU\..\Run: [STW] C:\WINDOWS\system32\stw.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\search.html

O4 - HKLM\..\Run: [mode] c:\NBDriver.exe
Diesen Eintrag hattest du bereits gefixt? Da er in deinem Neuestem Log nicht mehr vorhanden war, gehe ich mal davon aus, gut ;)

Danach bitte nochmal ein neues Log posten, hoffen wir das wir mit diesen Dateien das Übel an der Wurzel erwischt haben.

Edit: Achja, und natürlich nicht vergessen bei deaktivierter Systemwiederherstellung zu arbeiten/fixen, sonst könntest du das Pech haben, das Windows alles wieder herstellt.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 14.01.2005 um 15:05 Uhr von Malkesh editiert.
Seitenanfang Seitenende
14.01.2005, 15:24
...neu hier

Themenstarter

Beiträge: 5
#8 Also hier der aktuelle Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 15:15:25, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\HARALD~1\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.swr.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\HARALD~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098392580751
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Es klappt jetzt alles super- Dir noch einmal ein herzliches Dankeschön!!!!!!!!!!!!!

Der Eintrag
O4 - HKLM\..\Run: [mode] c:\NBDriver.exe
ist irgendwie von selbst verschwunden.

Wenn am Montag alles läuft, lösche ich noch
wie von Dir beschrieben:
C:\WINDOWS\htpatch.exe
und fixe es.

PS: Wie mache ich das jetzt eigentlich:
1. Das escan nicht bei jedem hochfahren meinen PC scannt.
2. dass ich Hijackthis nicht jedesmal mit "Suchen" suchen muss
3. Wann kann ich denn wieder die Systemwiederherstellung aktivieren?

Also nochmals für Alle:

Malkesh ist ein HELD!!!
Seitenanfang Seitenende
14.01.2005, 15:43
Member
Avatar Malkesh

Beiträge: 669
#9 Zu 1. Du kannst eScan einfach deinstallieren wenn du willst, vor allem wenn du einen anderen Scanner einsetzen willst. Denn mittlerweile handelt es sich bei diesem Programm leider nicht mehr um Freeware sonderm um eine zeitlich begrenzte Shareware. Ansonsten sollte sich dieser automatische Startup-Scan in den Einstellungen deaktivieren lassen.

Zu 2. Wieso musst du HijackThis suchen? Wo hast du es denn abgespeichert?

zu 3. Da jetzt alles wieder läuft (scans mit Adaware, Spybot S&D sowie eScan hatten keine weiteren Übeltäter mehr gefunden nehme ich an) kannst du sie wieder aktivieren. Das Deaktivieren der Systemwiederherstellung ist nur nötig um zu verhindern, das Windows sein eigenes infiziertes Backup wieder aufspielt während wir am säubern sind.

Und ansonten bin ich froh das ich dir helfen konnte, aber glaub mir, es gibt in diesem Forum viele Leute die einiges mehr auf dem Kasten haben als ich ;)
*lernt noch dazu*
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende