Adware.WinTaskAd und Adware.SyncroAd - configsys.exe

#0
28.04.2005, 12:09
Member

Beiträge: 11
#1 Hallo,
bin neu hier und habe gleich ein hartnäckiges Problem im Gepäck.
Habe Norton Antivirus und Antivir auf dem Rechner, beide haben das Problem nicht erkannt und erkennen es immer noch nicht.
Wenn ich allerdings den Online-Viruscheck bei Symantec durchlaufen lasse kommt folgende Meldung:
C:\configsys.exe ist infiziert mit Adware.WinTaskAd
C:\configsys.exe ist infiziert mit Adware.SyncroAd

Kann ich die configsys.exe einfach löschen oder läuft dann mein Rechner nicht mehr?
Suche seit nunmehr 5 Tagen nach einem Programm, das endlch diese Adware los wird, aber leider ohne Erfolg.
Habe bereits spybot, Spy Weeper, SpionFrei, Microsoft Antoispy und Pest Block auf den Rechner gespielt und durchlaufen lassen, ohne Erfolg.
Anscheinend ist der Onlinecheck von Symantec das einzige Programm, dass die Adware erkennt, aber leider nicht löscht.
Gemerkt habe ich, dass etwas nicht stimmt, weil ohne erkennbaren Auslöser meine Google Task Bar plötzlich verschwunden war und sich seitdem auch nicht mehr installieren läßt.

Kann mir bitte jemand weiterhelfen?
Vielen Dank im voraus!
Grüßle
Andrea
Seitenanfang Seitenende
28.04.2005, 12:46
Member
Avatar Laserpointa

Beiträge: 2176
#2 Hi

diese Datei ist zumindest keine Windows Systemdatei! - und kann imho bedenkenlos gelöscht werden.

zur Sicherheit kannst Du diese Datei ja nochmal hier hochladen und überprüfen ob dies wirklich Spyware ist, dem Dateinamen nach ist allerdings davon auszugehen.
http://virusscan.jotti.org/de/

falls diese Datei nicht zu löschen ist, verwende bitte:
http://spywareinfo.com/~merijn/files/KillBox.zip
um die Datei beim Systemstart zu löschen!

kleiner Hinweis noch:
eventuell Antivirus Signaturen updaten!

Greetz Lp
Seitenanfang Seitenende
28.04.2005, 13:01
Member

Themenstarter

Beiträge: 11
#3 Hallo Laserpointa,
danke für die Hilfe und den Tip.
Habe die Datei gescannt und das kam dabei heraus:

configsys.exe
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
Avast Win32:Trojan-gen. gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web not a virus Adware.Winad gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.f gefunden
mks_vir .Sahat.D gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/WinAd.F gefunden
VBA32 AdWare.WinAD.f gefunden

Sind die weiter angegebenen Viren/Trojaner etc sicher alle nur in dieser Datei und somit ein für alle Mal verschwunden, wenn ich die config.sys lösche?
Seitenanfang Seitenende
28.04.2005, 13:13
Member
Avatar Laserpointa

Beiträge: 2176
#4 Hi,

es handelt sich in diesem Falls "nur" um Adware... - daher finden wahrscheinlich auch nicht alle Virenscanner etwas wie man sieht ;)

mit dem entfernen der Datei sollte AdWare.WinAD.f auf jeden Fall erledigt sein.

ich gehe mal davon aus das Du keine weitere Malware auf Deinem Computer hast ... oder hat Dein Computer irgendwelche Nebenwirkungen ;)

Greetz Lp
Seitenanfang Seitenende
29.04.2005, 22:11
Member

Themenstarter

Beiträge: 11
#5 Hallo Laserpointa,
doch, leider ist die Arbeitsweise meines Rechners beeinträchtigt. Er ist viiiiiiel langsamer, ich kann die icons auf dem Desktop nicht so setzen wie ich mag, sie "hüpfen" immer ein Stück neben die Stelle, an die ich sie setzen mag und ich bin gestern und heute kaum ins Internet gekommen.
Außerdem war der Rechner nach dem Hochfahren komplett ausgelastet und nichts ging, Reaktionszeit ca 3-5 Minuten pro Vorgang.
Deswegen schreibe ich auch erst heute zurück.
Ich habe mittlerweile wieder 4 Antispyprogramme vom Rechner entfernt, jetzt ist er etwas schneller als zuvor.
Allerdings bringt mir Search and Destroy immer die Meldung "DSO Expliot 5 Entries", das ich dann ständig fixe, wenn ich im Anschluß an das Fixen gleich wieder scanne bringt er diesselbe Meldung wieder.
Was ist denn bitte "DSO Exploit" und muß ich das loswerden? Falls ja, wie?
Ein anderer Virenscanner hat mir immer angezeigt ich hätte 5 Mal eine Task Bar als Maleware/Spyware auf dem Rechner.
Leider hatte ich den Überblick über die vielen Antispyprogramme verloren, dieses Programm gelöscht und weiß den genauen Namen nicht mehr. Es war allerdings nicht die EliteSideBar, das wüßte ich. ;-)
Was kann ich denn tun, damit a) der Rechner wieder flotter wird und b) ich dieses DSO Exploit und die TaskBar wieder los werde?
Die Google Task Bar läßt sich immer noch nicht wieder installieren, da scheint noch irgend etwas "faul" zu sein.
Vielen Dank für die Hilfe und schönen Abend noch!
Grüßle
Andrea
Seitenanfang Seitenende
29.04.2005, 23:43
Member
Avatar Malkesh

Beiträge: 669
#6 DSO Exploit ist ein alter und harmloser Bug im Spybot, den kannst du ignorieren. Jedoch sollte der mittlerweile eigentlich behoben sein, update dringendst deine Signaturen vom Spybot!

http://board.protecus.de/t16317.htm
mit der Anleitung hier kannst du's auch mal versuchen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
01.05.2005, 18:46
Member

Themenstarter

Beiträge: 11
#7 @Malkesch:
Danke für die Info. Habe ein Update gemacht und danach gleich wieder 5 Teile zum Löschen vorgefunden... ;-)
Habe noch einmal No-Spy aufgespielt, die Task Bar, die mir dann gleich 5 Mal angezeigt wurde heißt IBIS Toolbar.
Da diese Toolbar schon unter einem anderen Thread behandelt wurde habe ich versucht, diesen Anweisungen zu folgen, jedoch gibt es bei mir keinen C:/Programme/Toolbar -Ordner.
Meine Google Task Leiste läßt sich aber immer noch nicht wieder installieren, seit sie von jetzt auf gleich spurlos verschwunden war. Irgendetwas stimmt noch nicht wieder mit meinem Rechner, als sie zum letzen Mal plötzlich verschwunden war lag es an der Elite Side Bar....
Woran kann das denn dieses Mal liegen?
Habe schon wieder alle möglichen Programme scannen lassen, finde aber nichts?
Viele Grüße und Danke! für die Hilfe,
Andrea
Seitenanfang Seitenende
01.05.2005, 19:24
Member
Avatar Malkesh

Beiträge: 669
#8 HijackThis-Log posten bitte, war ein Scan mit eScan ebenfalls negativ?
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
01.05.2005, 21:37
Member

Themenstarter

Beiträge: 11
#9 @Malkesh:
Ich kenne eScan leider nicht. Was ist das und wie funktioniert es?

Hier mein logfile:
Logfile of HijackThis v1.99.1
Scan saved at 21:36:22, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\wwSecure.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\seti\SETI@home.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
D:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\united_devices\UD.EXE
D:\Programme\united_devices\ud_7657531.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
d:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Programme\united_devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Killer - {4A3A071E-F913-4eee-AE15-AEFFA16FB6BC} - D:\PROGRA~1\POP-UP~1\VAPopupKiller.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] d:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\RunServices: [RSPC Driver] ungc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [seticlient] d:\programme\seti\SETI@home.exe -min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O4 - Startup: UD Agent.lnk = D:\Programme\united_devices\UD.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Server4PC.lnk = D:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3096fde9cadea31e1902/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101584874068
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED19406-1407-481D-B11B-39462C7E7458}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{1ED19406-1407-481D-B11B-39462C7E7458}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme/Antivir\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Was nun?
Grüße
Andrea
Seitenanfang Seitenende
01.05.2005, 21:55
Member
Avatar Malkesh

Beiträge: 669
#10 ... Was ist eScan?
Hättest du die Anleitung gelesen und abgearbeitet wie vorgeschlagen, wüsstest du es, hole das bitte nach!

http://board.protecus.de/t16317.htm

Dort sollte wirklich alles drin stehen was du wissen musst, bei weiteren Unklarheiten die nicht in der Anleitung stehen oder die vielleicht zu unverständlich sind kannst du gerne jederzeit nachfragen. Dort findest du auch Hinweise zur automatischen Log-Auswertung von HijackThis.

Nachdem dein System sauber ist, kann man dann schauen ob dein Problem mit der Toolbar weiterhin besteht.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 01.05.2005 um 21:55 Uhr von Malkesh editiert.
Seitenanfang Seitenende
02.05.2005, 01:20
Member

Themenstarter

Beiträge: 11
#11 Meinen logfile habe ich bereits bei Hijackthis geprüft, auch schon vor dem letzten Posting, der war "sauber".

Hatte die Anleitung von eScan schon gelesen, aber noch nie etwas im abgesicherten Modus gemacht, daher bin ich ein bissel ängstlich...
Ich habe mir schon einmal versehentlich den Rechner "zerbomt" und mußte den Rechner danach neu formatieren lassen. :-(

Habe jetzt eScan heruntergeladen, mir ist aber noch nicht klar, wie ich das Programm in C:/base hineinbekommen soll. Kaum will ich entpacken entpackt sich das Prg selber und zwar so schnell, dass ich gar nicht auswählen kann, wohin es soll. Gibt es da einen Trick? Den Ordner "Base" habe ich bereits angelegt oder sollte der sich von alleine anlegen?
Seitenanfang Seitenende
02.05.2005, 08:02
Member
Avatar Malkesh

Beiträge: 669
#12 Das es sich selber entpackt, liegt daran, dass es sich um eine selbstextrahierende zip-Datei handelt. Programme wie WinRar/WinZip/etc erlauben jedoch ein entpacken in einen gewünschten Ordner.
Wenn du eScan frisch heruntergeladen hast, ist das jedoch nicht so gravierend. Lasse das File einfach entpacken. Du findest die eScan Komponenten danach in folgendem Ordner:
C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temp

Starte dort mit mwavscan.com den eScan. Keine Sorge, das Programm installiert sich in keinster Weise, es entpackt und kopiert sich nur in den temp Ordner.
Alles weitere sollte dann funktionieren wie beschrieben.

Zu deinem Logfile:
Kennst du alle Einträge, welche in der automatischen Auswertung mit 'unbekannt' markiert wurden?

Zitat

C:\WINDOWS\system32\wwSecure.exe - Unbekannt
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe - Unbekannt
D:\Programme\united_devices\ud_7657531.exe - Unbekannt
D:\Programme\united_devices\ud_7657531_0.dir\WCGrid_Rosetta.exe - Unbekannt
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe - Unbekannt
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun - Unbekannt
O4 - HKLM\..\RunServices: [RSPC Driver] ungc.exe - Unbekannt
O4 - Global Startup: DSLMON.lnk = ? - Unbekannt
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe - Unbekannt
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe - Unbekannt
Dir unbekannte Einträge solltest du gesondert überprüfen (z.B. gibt es hier einen sehr guten Online Virenscanner für einzelne Dateien: http://virusscan.jotti.org/).
Diesen Eintrag kannst du übrigens fixen:
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)

Außerdem, hast du schonmal folgendes probiert?

Zitat

Quelle: http://toolbar.google.com/intl/de/faq.html

Ich habe die Google Toolbar installiert, kann sie aber nicht finden.

Wenn die Google Toolbar nicht angezeigt wird, klicken Sie im Menü Ansicht auf Symbolleisten und dann auf Google.

Beachten Sie, dass bei manchen früheren Versionen von Internet Explorer 5.0 Probleme beim Anzeigen von Symbolleisten auftreten. Es kann sein, dass die Google Toolbar unter dem Namen "Radio" (normalerweise an zweiter Stelle) aufgeführt ist. Dies ist vielleicht auch der Grund, weshalb die Google Toolbar nach der ersten Installation nicht angezeigt wird. Klicken Sie im Menü Ansicht auf Symbolleisten, und klicken Sie auf die zweite Option "Radio".

Warum stürzt mein Browser seit der Installation der Google Toolbar immer wieder ab?

Haben Sie Browser-Plugins anderer Anbieter auf Ihrem System installiert? Manche dieser Plugins können Probleme verursachen, wenn sie gemeinsam mit der Google Toolbar verwendet werden. (SafariDog ist ein dokumentiertes Beispiel.) Wenn Sie die Google Toolbar weiter verwenden möchten, empfehlen wir Ihnen, die Browser-Plugin-Software anderer Anbieter zu deinstallieren und zu prüfen, ob damit das Problem behoben ist. Wir arbeiten an einer Lösung dieses Problems und bitten um Ihre Geduld.

Wie deinstalliere ich die Google Toolbar?

Die Deinstallation der Google Toolbar ist genauso einfach und schnell durchzuführen wie die Installation. So deinstallieren Sie die Google Toolbar:
Klicken Sie auf das Google-Logo, um das Dropdown-Menü zu öffnen.
Klicken Sie auf Deinstallieren.
Klicken Sie auf die Schaltfläche unten auf der Deinstallationsseite.

Wenn Sie keinen Zugriff auf das Google-Logo in der Symbolleiste haben, kann die Google Toolbar auch in der Windows-Systemsteuerung mithilfe der Option Software deinstalliert werden:
Klicken Sie im Startmenü von Windows auf Einstellungen.
Öffnen Sie den Ordner Systemsteuerung, und doppelklicken Sie dann auf Software.
Wählen Sie den Eintrag "Google Toolbar für Internet Explorer" aus.
Klicken Sie auf die Schaltfläche Hinzufügen/Entfernen.

Wir würden gerne wissen, weshalb Sie mit der Google Toolbar nicht zufrieden sind. Bitte nehmen Sie sich einen Moment Zeit für Ihr Feedback. Denken Sie dabei weniger an uns, sondern vielmehr an andere Nutzer, denen Sie ähnliche Erfahrungen und Enttäuschungen ersparen können.
Ich würde dir empfehlen, auch dies einmal zu Rate zu ziehen, sollte das mit der Anzeige nicht funktionieren, würde ich dir raten sie erst einmal zu deinstallieren, denn die Einträge der Toolbar sind in deinem HijackThis-Log vorhanden.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 02.05.2005 um 09:10 Uhr von Malkesh editiert.
Seitenanfang Seitenende
02.05.2005, 15:02
Member

Themenstarter

Beiträge: 11
#13 C:\WINDOWS\system32\wwSecure.exe - Unbekannt -müßte von einem Spywarescanner stammen, den ich aber auch wieder entfernen werde
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe - Unbekannt - ist mein Scanner
D:\Programme\united_devices\ud_7657531.exe - Unbekannt - ist ein Programm zur Suche nach außerirdischem Leben ;-)
D:\Programme\united_devices\ud_7657531_0.dir\WCGrid_Rosetta.exe - Unbekannt - ist ein Bildschirmschoner von seti (s.o.)
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe - Unbekannt -ist ein Melder von Incredimail
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun - Unbekannt -fliegt runter, ist von SpionFrei
O4 - HKLM\..\RunServices: [RSPC Driver] ungc.exe - Unbekannt - KENNE ICH NICHT, kennt das hier jemand? Das werde ich noch separat scannen mit jotti danke für den Tip!
O4 - Global Startup: DSLMON.lnk = ? - Unbekannt - müßte von meinem DSL-Modem stammen
O4 - Global Startup: Microtek Scanner Finder.lnk = - ist von meinem Scanner
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe - Unbekannt - ist auch von meinem Scanner
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe - Unbekannt - ist von window washer, fliegt aber auch vom PC


Habe eScan so gehandhabt, wie Du es gesagt hast. EScan hat gar nichts gefunden, allerdings hab ich nicht im abgesicherten Modus gesucht sondern direkt nach dem Downloaden und entpacken.
(Macht das einen Unterschied ob ich "normal" oder im abgesicherten Modus suche? Wenn was auf dem Rechner ist müßte es doch so oder so gefunden werden, oder nicht?)
Danach hab ich mal die Google Tool Bar deinstalliert und wieder installiert und -SCHWUPPS- war sie wieder da.
Versteh ich zwar nicht, ist aber so.
Was ich aber immer noch nicht verstehe ist: Woher nimmt SpionFrei 5 Mal die IBIS Task Bar, wenn kein anderes Programm sie findet? Ist das ne üble Masche um das Programm zu verkaufen? (Es findet nämlich nur bösartige Programme, löschen kann man sie nur mit der Kaufversion...)
Vielen Dank für die Geduld und die Hilfe!!!!
Seitenanfang Seitenende
02.05.2005, 15:14
Member
Avatar Malkesh

Beiträge: 669
#14 Ich selber habe dieses "SpionFrei" nie getestet und habe bisher auch nie davon gehört. Es ist aber leider durchaus gängige Praxis Kunden durch Fehlalarme zum Kauf ködern zu wollen. Wenn also weder Spybot, noch AdAware noch eScan bei dir fündig werden, dann hast du es aller Wahrscheinlichkeit nach mit solch einer Dreistigkeit zu tun.

Das man im abgesicherten Modus scannt hat seine Gründe: im normalen Modus wird vom Windows-System oft der Zugriff auf einige Systemkomponenten gesperrt, allerdings tarnt sich gerade deswegen auch Malware gerne als solche Systemkomponente um unentdeckt zu bleiben.

Ich würde dir jedenfalls dazu raten dieses SpionFrei runter zu hauen.

Zu dem unbekannten HijackThis-Eintrag:
O4 - HKLM\..\RunServices: [RSPC Driver] ungc.exe
Bitte überprüfe ihn unbedingt bei jotti und poste das Ergebnis, danach fixe den Eintrag mit HijackThis.

Nimm dir danach auch mal folgende Seite vor:
http://www.sophos.com/support/disinfection/rbotek.html
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 02.05.2005 um 15:50 Uhr von Malkesh editiert.
Seitenanfang Seitenende
02.05.2005, 15:58
Member

Themenstarter

Beiträge: 11
#15 Wie bekomme ich denn
O4 - HKLM\..\RunServices: [RSPC Driver] ungc.exe - Unbekannt
in das Kästel von jotti?
Auch auf die Gefahr hin, dass ich mich jetzt lächerlich mache, ich habe keine Ahnung, welchen Pfad ich da eingeben muß um bei 04 - HKM etc. herauszukommen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: