ne menge adware und application-dinger...

#1 also,. ich hab hier ein paar Problemchen, ich weiß erstens nich recht, ob ein solcher thread bereits besteht, darum hab ich einen neuen aufgemacht, um arbeit zu sparen, falls ich ein falsches fenster poste.
zweites problem sind meine beiden pcs.... seit ein paar tagen hab ich ein neues, besseres antivirenprogramm und das findet jetzt auf einmal eine ganze menge viren, die vorher nich angezeigt wurden.... auf beiden rechnern.
nur hab ich, durch die anderen inspiriert, mal hijackthis drüberlaufen lassen, hier die log-datei des einen computers:

Logfile of HijackThis v1.99.1
Scan saved at 17:56:48, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\ICQLite\ICQLite.exe
G:\Quicktime\qttask.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\programme\softwin\bitdefender9\bdnagent.exe
C:\programme\softwin\bitdefender9\bdswitch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
F:\QIP\qip.exe
C:\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
F:\eMule.de\eMule\emule.exe
C:\WINDOWS\explorer.exe
C:\Programme\Softwin\BitDefender9\bdlite.exe
C:\Programme\Softwin\BitDefender9\bdmcon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Softwin\BitDefender9\bdlite.exe
C:\Dokumente und Einstellungen\Sina Hartwig\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [routcnf] G:\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "G:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "G:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - g:\IrfanView\Ebay\Ebay.htm (file missing)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 69.50.161.82
O15 - Trusted IP range: 69.50.161.82 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)




ma sehn, ob ihr da was finden könnt, bitdefender jedenfalls beschwert sich über
--> Adware.180solution.E
--> Adware.Savenow.BT
--> Application.Altnetbd. mit jeweils der endung A,B,C,E,F,G,H,I,J,K,L,N,R
--> Adwae.Toolbar.Myway.G

soweit der erste pc, ich bin mir nicht sicher, ob ich die anderen dateien von dem anderen pc auch schon posten soll, oder erstmal abwarte, bis der eine wieder funktioniert.
---------------------------------------------------

also warte ich erstmal auf eine antwort von euch, und dann schaun wa ma weiter :)
Liebe Grüße, Sina

#2 Aloha

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 69.50.161.82
O15 - Trusted IP range: 69.50.161.82 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab

PC neustarten

**
wende die DelDomains.inf an
http://www.mvps.org/winhelp2002/restricted.htm

Zitat

To remove all the sites listed in the Restricted Zone

Download: DelDomains.inf - Right-click and select: Save Target As (IE only)
To use: right-click and select: Install (no need to restart - there is no on-screen action)
Note: This will remove all entries in the "Trusted Zone" and "Ranges" also. DelDomains was revised (01-16-05) to include the "Enhanced Security Configuration Zones" as some of these newer infections are targeting the "Enhanced" Zone.

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Logfile of HijackThis v1.99.1
Scan saved at 21:09:49, on 01.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\ICQLite\ICQLite.exe
C:\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
G:\Quicktime\qttask.exe
C:\Programme\Softwin\BitDefender9\bdmcon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\programme\softwin\bitdefender9\bdnagent.exe
C:\programme\softwin\bitdefender9\bdswitch.exe
G:\SUPERAntiSpyware.exe
C:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Sina Hartwig\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [routcnf] G:\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "G:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "G:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] G:\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - g:\IrfanView\Ebay\Ebay.htm (file missing)
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4836/mcfscan.cab
O20 - Winlogon Notify: SASWinLogon - G:\SASWINLO.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



--> von dem anderen habe ich keinen report bekommen, bzw. find ich nix.... muss ich das nochma irgendwie einstellen oder was?
Liebe Grüße

#4 das log vom HijackThis ist wieder in Ordnung
als du mit dem Proggie gescannt hast...wurde nichts gefunden - nichts in Quarantaene ???
__________
MfG Sabina

rund um die PC-Sicherheit

#5 es war was, drei sachen oder so, die sind dann in der quarantäne gewesen, und die wurde gelöscht, seitdem nix mehr.... also is mein erster pc wieder in ordnung ? dann würde ich doch glatt ma mit dem zweiten anfangen, das sieht komplizierter aus, der is seit kurzer Zeit sehr sehr langsam geworden, der internetanschluss spinnt komplett, mal geht er online, mal auch einfach mehrere stunden nicht.... sollte das an irgendeinem virus oder so liegen, dann wärs langsam mal an der zeit, den zu beseitigen, das neue hijackthis log vom pc2 :

Logfile of HijackThis v1.99.1
Scan saved at 15:39:54, on 02.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\programme\softwin\bitdefender9\bdswitch.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
D:\Programme\klickTel\klickTel Frühjahr 2006\KSTART32.EXE
C:\WINDOWS\System32\svchost.exe
d:\programme\freenet\freenet sms\SMSClient.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\programme\softwin\bitdefender9\bdmcon.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\programme\softwin\bitdefender9\bdswitch.exe"
O4 - HKCU\..\Run: [SMS-Client] d:\programme\freenet\freenet sms\SMSStarter.exe -minimized
O4 - Startup: klickTel Frühjahr 2006 - Schnellstarter.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

dankeschön schonmal für den ersten pc :)

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
HKEY_LOCAL_MACHINE\SOFTWARE\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1
HKEY_CLASSES_ROOT\ZangoToolbar.ZCToolBand.1
HKEY_CLASSES_ROOT\zangohook.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_CLASSES_ROOT\CLSID\{EA0D26BD-9029-431A-86E0-83152D67828A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5}
HKEY_CLASSES_ROOT\Interface\{E775C662-85D0-438E-82F0-6BCE20A8E154}
HKEY_CLASSES_ROOT\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_CLASSES_ROOT\TypeLib\{01BF19C2-59D3-43E9-A2CC-C2D62D8878D3}
HKEY_CLASSES_ROOT\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}
HKEY_CLASSES_ROOT\AppID\{F1F040D5-E8F8-4680-B101-9334E9773841}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A}

Files to delete:

C:\Programme\Zango\zango.exe
C:\Programme\Zango\zangoau.dat
C:\Programme\Zango\zangohook.dll
C:\Programme\Zango\zango_gdf.dat
C:\Programme\Zango\zango_hpk.dat
C:\Programme\Zango\zango_kyf.dat
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\Downloaded Program Files\SAIX.dll
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

scanne mit ewido
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hmm... also vorweg, das mit avenger hat nich so geklappt, wie ich mir das vorgestellt habe... kaum hatte ich die grüne ampel gedrückt, kamen fehlermeldungen und naja... es is zwar durchgelaufen und hat auch neugestartet, aber kA, ob das alles so gelöscht hat, wie vorgesehen

hab danach mit ewido gescannt:
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:42:12 04.09.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller.1 -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CLSID -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.ClientInstaller\CurVer -> Adware.180Solutions : Keine Aktion durchgeführt.
HKU\S-1-5-21-1390067357-764733703-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent.1 -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CLSID -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\ClientAX.RequiredComponent\CurVer -> Adware.Zango : Keine Aktion durchgeführt.
HKLM\SOFTWARE\zango -> Adware.Zango : Keine Aktion durchgeführt.
HKU\S-1-5-21-1390067357-764733703-839522115-1004\Software\zango -> Adware.Zango : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@fastclick[1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@media.fastclick[1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.


::Berichtende


auch die quarantäne hab ich gelöscht, grad läuft es noch ein weiteres mal durch.... also schaun wa ma
=)






ok, hab jetzt nochma geschaut, unter D:\Bearshare\Bearsharezangoinstaller wird noch ein Virus angezeigt, der sich auch nich löschen lässt auf übliche Weise, und das alles, obwohl wir gar kein Bearshare haben, das is alles nich mehr vorhanden, nur das lässt sich nich löschen
und das ganze zango-krams unter
C:\Programme\Zango\zango.exe
C:\Programme\Zango\zangoau.dat
C:\Programme\Zango\zangohook.dll
C:\Programme\Zango\zango_gdf.dat
C:\Programme\Zango\zango_hpk.dat
C:\Programme\Zango\zango_kyf.dat
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\Downloaded Program Files\SAIX.dll
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll

is so wie ich das sehe auch nich gelöscht worde, denn da hab ich als error meldungen bekommen.... ich bin langsam echt genervt von diesem zango dings... das is so hartnäckig

#8 ich denke, dass es geloescht wurde, denn der ewido zeigt es nicht mehr an...

kopiere

Zitat

Files to delete:

C:\Programme\BearShare\BearShareZangoInstaller.exe/clientax.dll
C:\Programme\Mozilla Firefox\plugins\npclntax.dll

wenn es nicht klappt, loesche alles einzeln mit der Killbox:
http://virus-protect.org/killbox.html
__________
MfG Sabina

rund um die PC-Sicherheit