Problem mit Winfixer 2005 und Co. mit HijackThis

#1 Hallo,

ich hatte mich ja schon mal hier gemeldet.

Meine Mutter hat sich jetzt so nen Computerfritzen kommen lassen und der meinte, dass wir keine Viren mehr auf dem Rechner hätten.
Ich trau dem Braten aber nicht so ganz und würde mich freuen, wenn jemand einmal über die HijackThis File drüber schauen könnte. Würde mich gerne eines besseren belehren lassen (also das der Rechner wirklich sauber ist).

Hier ist die File:

Logfile of HijackThis v1.99.1
Scan saved at 20:32:50, on 22.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\TopSearch\TopSearch.exe
C:\Programme\WebRebates4\webrebates.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\programme\180search assistant\180sa.exe
C:\WINDOWS\wewcwxoq.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\ezula\mmod.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Office Mouse\MOUSE32A.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\WebRebates4\w11150.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\ich\Eigene Dateien\Eigene Dokumente\Trillian\trillian.exe
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ws1.appswebservice.com/index.php?tpid=10244&ttid=104
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180search assistant\180sahook.dll
O2 - BHO: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [jkp] C:\WINDOWS\jkp.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [TopSearch] C:\Programme\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [180sa] c:\programme\180search assistant\180sa.exe
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\wewcwxoq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\De\Felix2.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {82DEF876-14E4-4CE5-9CA4-DE79A2EE46D2} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: Texas Hold'em Poker by pogo - http://game1.pogo.com/applet-6.5.1.24/holdem/holdem-de_DE.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net/DM0/cab/b0ba34a.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB094A2A-59E4-4F20-83F5-F5817099792C}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe


Kann mir noch jemand einen Tipp geben, wie ich mich am besten gegen Virenangriffe schützen kann, also welches Programm am wirkungsvollsten ist?


DANKE IM VORAUS!

#2 DatKruemel

dieser PC besteht nur aus Viren/Malware/Spyware ...deine Mama sollte ihr Geld vom Computerfritzen zurueckverlangen und formatieren.
Auf Wunsch kennzeichne ich sie dir alle rot ..oder man kann auch eine Reinigung versuchen, wenn du willst...
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Tja ich wusste es...

Dann werd ich meine Ma mal versuchen zu überzeugen, dass der PC formatiert werden muss...weil ist ja alles in Ordnung.

Wenn du magst können wir aber auch eine Reinigung versuchen.
Aber so verseucht wie der ist....lohnt sich das bzw macht dir das nicht zuviel Arbeit? Wenn du dazu bereit bist, werde ich mich dagegen ganz sicher nicht wehren....

Mir ist es egal...

#4 DatKruemel

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ws1.appswebservice.com/index.php?tpid=10244&ttid=104
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180search assistant\180sahook.dll
O2 - BHO: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O3 - Toolbar: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll

O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [jkp] C:\WINDOWS\jkp.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [TopSearch] C:\Programme\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [180sa] c:\programme\180search assistant\180sa.exe
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\wewcwxoq.exe
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\De\Felix2.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe

O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: Texas Hold'em Poker by pogo - http://game1.pogo.com/applet-6.5.1.24/holdem/holdem-de_DE.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net/DM0/cab/b0ba34a.cab

PC neustarten

1. schritt:

HijackThis (Uninstall Manager)
*öffne HijackThis
*click Config - Misc Tools - "Open Uninstall Manager" - "Save List" (generates uninstall_list.txt)
*click - Save - *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2. schritt:

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 5 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Also, hier der Teil vom 1. Schritt:

ABBYY FineReader 5.0 Sprint
ABBYY FineReader 6.0
ABBYY FineReader OCR Engine
ADAC TourPlaner® 2004/2005
Adobe Reader 6.0.1 - Deutsch
ANSTOSS 2
AOL Coach Version 1.0(Build:20040229.1 de)
AOL Deutschland
AOL Meine Fotos Bildschirmschoner
AOL Optimized Dial-In
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
ATP
Black Jack Fever Special Edition
CA eTrust Antivirus
Canon PhotoRecord
Canon PIXMA iP3000
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
Castle Camelot
CD-LabelPrint
Claw Demo
C-Media 3D Audio
Creatix V.9X data fax modem
DEUTSCHLAND SPIELT GAME CENTER
Die Wikinger 3: Auf Schatzsuche
DirectX 9 Hotfix - KB839643
DirectX Hotfix - KB825116
Easy-WebPrint
eTrust Antivirus Registration
Flyonoid
Foxy Jumper
GoldSprinter
Great Pyramid
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 1.99.1
Home Cinema
Informationen über Ihren PC
Internet Optimizer
ISTsvc
Juxto
Kartenspiele II
Learn2 Player (Uninstall Only)
Macromedia Shockwave Player
MahJongg Master 4
MahJongg Master Special Edition
Medi@Show
Medion Flash XL

Megasearch Toolbar -> http://virus-protect.org/artikel/spyware/megasear.html

MSN Messenger 6.2
Multimedia Keyboard Driver Ver1.0 (KB-0108)
MUSICMATCH® Jukebox
Nero Media Player
Nero OEM
NeroVision Express 2
Office Mouse
Outlook Express Q823353
PowerDirector
PowerDVD
PowerProducer
QuickTime
Rainbow Islands - Candyland (Demo)
RealOne Player
Remove DivX Codec
ScanWizard 5
Search Assistant
Setup-Start von Microsoft Works 2004
Shockwave

Spades
StationRipper V1.13
StillLife
Surf Accuracy
Theme Hospital
TopSearch
TopText iLookup
Transparency Adaptor Calibrator
TV Media
Ulead Photo Express 4.0 SE
Update für Windows XP (KB835409)
Update für Windows XP (KB898461)
Update für Windows XP (KB910437)
Viewpoint Media Player
WebRebates (by TopRebates.com)
YourSiteBar


So, nun folgt der 2. Schritt

Verzeichnis von C:\WINDOWS\system32

19.03.2006 17:33 2.206 wpa.dbl
16.03.2006 13:00 1.409 tmp3FF5D.FOT
16.03.2006 13:00 1.409 tmp58F5D.FOT
11.03.2006 18:14 294.072 FNTCACHE.DAT
07.03.2006 18:14 173.568 schedsvc.dll
07.03.2006 18:14 265.216 mstask.dll
07.03.2006 18:14 306.688 netapi32.dll
07.03.2006 18:14 10.752 mstinit.exe
06.03.2006 18:59 1.409 tmp63642.FOT
06.03.2006 18:59 1.409 tmp71642.FOT
06.03.2006 18:59 1.409 tmp80642.FOT
06.03.2006 18:59 1.409 tmp9B542.FOT
06.03.2006 18:59 1.409 tmpFC442.FOT
05.03.2006 17:12 1.409 tmp302C1.FOT
05.03.2006 17:12 1.409 tmp3E1C1.FOT
05.03.2006 17:12 1.409 tmp5B1C1.FOT
05.03.2006 17:12 1.409 tmp5A1C1.FOT
05.03.2006 17:12 1.409 tmp671C1.FOT
05.03.2006 15:08 1.409 tmp27439.FOT
05.03.2006 15:08 1.409 tmp33439.FOT
05.03.2006 15:08 1.409 tmp41439.FOT
05.03.2006 15:08 1.409 tmp5D339.FOT
05.03.2006 15:08 1.409 tmp94339.FOT
18.02.2006 18:42 1.409 tmp4BB3D.FOT
18.02.2006 18:42 1.409 tmp73B3D.FOT
18.02.2006 18:42 1.409 tmpE0A3D.FOT
18.02.2006 18:42 1.409 tmp3293D.FOT
18.02.2006 18:42 1.409 tmpA183D.FOT
07.02.2006 21:28 4.513.120 MRT.exe
04.01.2006 04:37 64.000 webclnt.dll
02.01.2006 23:38 260.608 gdi32.dll
22.12.2005 16:22 88 im64.dll
19.12.2005 19:30 4.730.880 wmp.dll
22.11.2005 17:39 2.700.288 MSHTML.DLL

Verzeichnis von C:\DOKUME~1\ich\LOKALE~1\Temp

25.03.2006 20:25 4 PMShared
1 Datei(en) 4 Bytes
0 Verzeichnis(se), 63.569.661.952 Bytes frei

Verzeichnis von C:\WINDOWS

25.03.2006 20:30 1.253.854 WindowsUpdate.log
25.03.2006 20:24 1.143 win.ini
25.03.2006 20:22 0 0.log
25.03.2006 20:22 505.038 setupapi.log
25.03.2006 20:22 3.900 ModemLog_Creatix V.9X data fax modem.txt
25.03.2006 20:22 50 wiaservc.log
25.03.2006 20:22 159 wiadebug.log
25.03.2006 20:21 2.048 bootstat.dat
25.03.2006 20:20 32.556 SchedLgU.Txt
25.03.2006 18:48 54.156 QTFont.qfn
25.03.2006 18:48 1.409 QTFont.for
20.03.2006 17:01 729 aolback.exe.lnk
20.03.2006 17:01 325.380 wmsetup.log
20.03.2006 17:01 316.640 WMSysPr9.prx
20.03.2006 16:16 8 msoffice.ini
11.03.2006 17:58 167.490 comsetup.log
11.03.2006 17:58 75.153 iis6.log
11.03.2006 17:58 100.961 ntdtcsetup.log
11.03.2006 17:58 1.374 imsins.log
11.03.2006 17:58 192.235 tsoc.log
11.03.2006 17:58 18.804 KB896424.log
11.03.2006 17:58 17.211 ocmsn.log
11.03.2006 17:58 255.551 ocgen.log
11.03.2006 17:58 23.781 msgsocm.log
11.03.2006 17:58 487.867 FaxSetup.log
11.03.2006 17:57 1.374 imsins.BAK
11.03.2006 17:57 12.348 KB905915-IE6SP1-20051122.175908.log
11.03.2006 17:57 16.321 updspapi.log
11.03.2006 17:57 17.461 KB900725.log
11.03.2006 17:56 16.535 KB890859.log
09.03.2006 12:49 923 spupdsvc.log
08.03.2006 18:51 30.568 KB899587.log
08.03.2006 18:51 29.877 KB896422.log
08.03.2006 18:50 31.585 KB885835.log
08.03.2006 18:50 28.244 KB885836.log
08.03.2006 18:50 27.993 KB911927.log
08.03.2006 18:50 26.097 KB901017.log
08.03.2006 18:49 26.555 KB899591.log
08.03.2006 18:49 28.206 KB893756.log
08.03.2006 18:49 24.743 KB873339.log
08.03.2006 18:48 18.215 KB885626.log
08.03.2006 18:48 26.319 KB888113.log
08.03.2006 18:48 27.536 KB840987.log
08.03.2006 18:47 5.278 xpsp1hfm.log
08.03.2006 18:47 14.679 KB833987.log
08.03.2006 18:47 23.472 KB887472.log
08.03.2006 18:47 25.313 KB896358.log
08.03.2006 18:46 19.150 KB910437.log
08.03.2006 18:46 14.148 KB898458.log
08.03.2006 18:46 19.282 KB905495.log
08.03.2006 18:46 19.070 KB873376.log
08.03.2006 18:45 15.588 KB911564.log
08.03.2006 18:45 23.318 KB891781.log
08.03.2006 18:45 24.189 KB890046.log
08.03.2006 18:44 14.792 KB904706.log
08.03.2006 18:44 19.457 KB841356.log
08.03.2006 18:44 20.568 KB905414.log
08.03.2006 18:43 16.793 KB841533.log
08.03.2006 18:43 19.799 KB901214.log
08.03.2006 18:43 19.304 KB885250.log
08.03.2006 18:43 17.143 KB888302.log
08.03.2006 18:42 15.555 KB912919.log
08.03.2006 18:42 12.469 KB871250.log
08.03.2006 18:42 16.226 KB905749.log
08.03.2006 18:41 14.845 KB896428.log
08.03.2006 18:41 11.149 KB835409.log
08.03.2006 18:41 6.765 KB911565.log
08.03.2006 18:40 14.487 KB908519.log
08.03.2006 18:40 10.925 KB913446.log
08.03.2006 18:39 12.738 KB841873.log
05.03.2006 15:29 24 AM_D8.PRF
05.03.2006 15:05 20.537 KB896423.log
05.03.2006 15:04 24.584 KB902400.log
04.03.2006 17:42 35 Ulead32.INI
04.03.2006 01:35 14.848 wewcwxoq.exe
01.03.2006 18:16 10.126 KB893803v2.log
01.03.2006 18:15 6.922 KB898461.log
27.02.2006 15:32 832 WISO.INI
27.02.2006 14:53 74 buhl.ini
12.02.2006 19:51 135 NeroDigital.ini
14.01.2006 15:01 19 Wininit.ini
04.12.2005 15:04 0 Editor.INI
07.11.2005 19:30 5.276 cdplayer.ini
04.11.2005 19:33 85 QTW.INI

Verzeichnis von C:\

25.03.2006 20:41 0 sys.txt
25.03.2006 20:40 13.596 system.txt
25.03.2006 20:39 278 systemtemp.txt
25.03.2006 20:39 96.259 system32.txt
25.03.2006 20:21 536.399.872 hiberfil.sys
25.03.2006 20:21 805.306.368 pagefile.sys


Hoffe ich hab jetzt alles richtig gemacht!

Soweit chon mal Danke für die Hilfe!!!

#6 gehe in die Registry
Start- Ausfuehren-> regedit

bearbeiten --> suchen -->

folgende fett-gezeichneteten Eintraege loeschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YourSiteBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\SAcc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\unwcpr2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\untopr1150
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMO
HKEY_ALL_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMO
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\f1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Avenue Media
HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\ins
HKEY_CLASSES_ROOT\NewFavorite.FavoriteMan

PC neustarten

•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"

WebRebates (by TopRebates.com)
Megasearch Toolbar
Internet Optimizer
ISTsvc
Surf Accuracy
TopSearch
TopText iLookup
TV Media
YourSiteBar

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............


c:\programme\180search assistant\180sahook.dll
C:\WINDOWS\System32\ATPARTNERS.DLL
C:\WINDOWS/Downloaded Program Files\megasear.dll
C:\PROGRA~1\YOURSI~1\ysb.dll
C:\Programme\TV Media\Tvm.exe
C:\Programme\TV Media\TvmBho.dll
C:\WINDOWS\jkp.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\wewcwxoq.exe
C:\PROGRA~1\ezula\mmod.exe
C:\WINDOWS\system32\schedsvc.dll
C:\WINDOWS\system32\mstask.dll
C:\WINDOWS\system32\netapi32.dll
C:\WINDOWS\system32\mstinit.exe
C:\WINDOWS\system32\im64.dll

PC neustarten

loeschen:
C:\Programme\TV Media
c:\programme\180search assistant
C:\Programme\TopSearch
C:\Programme\ISTsvc
C:\Program Files\Internet Optimizer
C:\Programme\WebRebates4
C:\PROGRAMME\ezula

----------------------------------------------------------------------
counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

----------------------------------------------------------------------

gehe im IE in die Favoriten und loesche:

AT-Games
AT-Games\Big Fish Games.url
AT-Games\FlyorDieGames.url
AT-Games\GameHouse Games.url

oder suche mit der Suchfunktion von Windows: --> AT-Games und die url´s und loesche sie

ist fuer mich:
http://www.symantec.com/avcenter/venc/data/adware.favoriteman.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 folgende Dateien hab ich in der Registry nicht gefunden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\unwcpr2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\untopr1150
HKEY_ALL_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMO
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\f1
HKEY_CLASSES_ROOT\NewFavorite.FavoriteMan

Beim Deinstallieren konnte ich SurfAccuracy und YourSiteBar nicht finden.

Beim Löschen hat es nur bei diesen hier geklappt:

c:\programme\180search assistant
C:\Program Files\Internet Optimizer

Die anderen waren nicht vorhanden bzw. WebRebates4 konnte nicht gelöscht werden, weil Zugriff auf w11150.exe verweigert wurde.

Rest kommt sofort...


ScanReport (hoffe das ist das richtige...)

Spyware Scan Details
Start Date: 27.03.2006 19:48:18
End Date: 27.03.2006 20:12:03
Total Time: 23 mins 45 secs

Detected spyware

MegaSearch Toolbar Search Hijacker more information...
Details: MegaSearch Toolbar is an adware based Internet Explorer toolbar which hijacks searches and captures search information.
Status: Deleted
......
...

#8 nun scanne noch einmal...bis alles sauber bleibt.
dann mache einen Onlinescan mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 BitDefender Online Scanner

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120251.exe
Erkannt: Application.IstBar.Q

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120251.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120251.exe
Gelöscht

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120289.dll
Infiziert: Trojan.Downloader.Rameh.C

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120289.dll
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120289.dll
Gelöscht

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120291.exe
Erkannt: Adware.180Solutions.5.11

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120291.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP178\A0120291.exe
Gelöscht

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120324.exe
Infiziert: Trojan.Downloader.Nsis.A

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120324.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120324.exe
Gelöscht

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120325.dll
Infiziert: Trojan.Dropper.Small.UV

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120325.dll
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120325.dll
Gelöscht

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120334.exe
Infiziert: Dropped:Application.ProcKill.Jk

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120334.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120334.exe
Gelöscht

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120348.dll
Infiziert: Trojan.Downloader.4228.B

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120348.dll
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{21560525-99BE-41FA-AE6A-0F053CABA928}\RP180\A0120348.dll
Gelöscht

C:\WINDOWS\system32\a_i_037.dll
Infiziert: Trojan.Downloader.Istbar.IU

C:\WINDOWS\system32\a_i_037.dll
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\a_i_037.dll
Gelöscht

C:\WINDOWS\system32\a_i_037.exe
Infiziert: Trojan.Downloader.Istbar.IU

C:\WINDOWS\system32\a_i_037.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\a_i_037.exe
Gelöscht

C:\WINDOWS\system32\saie321.dll
Infiziert: Trojan.Dropper.Small.NJ

C:\WINDOWS\system32\saie321.dll
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\saie321.dll
Gelöscht

C:\WINDOWS\system32\TVM_B5_Bundle_5.EXE
Infiziert: Trojan.Dropper.Small.HT

C:\WINDOWS\system32\TVM_B5_Bundle_5.EXE
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\TVM_B5_Bundle_5.EXE
Gelöscht

C:\WINDOWS\system32\vm_d.exe
Infiziert: Trojan.Downloader.Istbar.KM

C:\WINDOWS\system32\vm_d.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\vm_d.exe
Gelöscht


So, das ist jetzt der Online Scan Report! Sorry, das es so lang gedauert hat, hatte die Woche berufl. viel zu tun.

#10 Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren.
und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Logfile of HijackThis v1.99.1
Scan saved at 12:44:34, on 01.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\WebRebates4\webrebates.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Office Mouse\MOUSE32A.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\WebRebates4\w11150.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {82DEF876-14E4-4CE5-9CA4-DE79A2EE46D2} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB094A2A-59E4-4F20-83F5-F5817099792C}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

#12 fixe mit dem HijackThis:

O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"

PC neustarten

loeschen (am besten im abgesicherten modus)...F8 druecken, wenn der PC hochfaehrt...
http://www.bsi.bund.de/av/texte/wiederher.htm

C:\Programme\WebRebates4

buegel noch mal mit Counterspy drueber. (auch im abgesicherten Modus)
Dann mache die WindowsUpdates... und falls es nicht geht, kaufe eine legale XP-Version
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo, sorry das ich mich jetzt erst melde! ich hab im moment einfach keine Zeit um zuhause an den rechner zu gehen! aber die windows updates werden eh grad erst runtergeladen! Hoffe das ich es Ende der Woche schaffe mir mal wieder ein bisschen Zeit freizuschaufeln! Ich danke dir aber soweit schon mal!

#14 Hallo

Ichhabe seit einiger Zeit diesen WinFix!! Leider bekomme ich ihn niht weg und aus dem Log File werde ich nicht ganz schlau!!

Hier Mein Log File:

Logfile of HijackThis v1.99.1
Scan saved at 17:53:29, on 27.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\windowssearch.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearchIndexer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DJSUNS~1\LOKALE~1\Temp\Rar$EX10.4625\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-de\msntabres.dll/229?d9511dd51c4d4bd2aba980c28fd87c3b
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-de\msntabres.dll/230?d9511dd51c4d4bd2aba980c28fd87c3b
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {6307F33C-A196-4F69-AD12-34A772D60BAD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Wäre froh, wenn mir jemand sagen könnte, welche Zeilen ich fixen muss. Sonst müsste die Kiste eigentlich sauber sein.

Danke für eure Hilfe!!!

Greez Marc

#15 DJSunshine

1.
wende CleanUp an, dann den Rechner neustarten
http://virus-protect.org/cleanup.html

2.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit