Hallo Zusammen!

Bin ganz neu hier und habe bei Recherchen im Net wegen dieser bescheidenen Freshbar dieses Forum hier gefunden. Ich hab einiges versucht, und zumindest erscheint die eigentliche Toolbar von Freshbar nicht mehr. Aber ich bin mir unsicher, ob das Alles gewesen ist...

Es wäre schön, wenn hier Jemand die HighJackList durchchecken würde...

Logfile of HijackThis v1.99.0
Scan saved at 18:13:26, on 01.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\EnterNet.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE822F74-7E13-4AAD-BBBE-E88C867F6938} - C:\WINDOWS\System32\qwsxp.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.214/counter/new/x.chm::/update.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B2C3A97-25B4-49EB-A4FC-739BBFDF1311}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B57182AD-7B41-4736-88FD-B0661D416D0A}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCFE14E6-39B2-4949-92F7-3BC85D09BBD7}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B2C3A97-25B4-49EB-A4FC-739BBFDF1311}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{1B2C3A97-25B4-49EB-A4FC-739BBFDF1311}: NameServer = 69.50.176.156,195.225.176.31
O18 - Filter: text/html - {487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tϠ5

Hallo@slope

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
kannst du nach der Reinigung wieder aktivieren

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CE822F74-7E13-4AAD-BBBE-E88C867F6938} - C:\WINDOWS\System32\qwsxp.dll
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.214/counter/new/x.chm::/update.exe
O18 - Filter: text/html - {487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tϠ5

Wie kommt es dass ich wenn ich diesen Thread anklicke von antivir die ganze Zeit diese Meldung hier bekomme?:

C:\DOKUMENTE UND EINSTELLUNGEN\SYAD\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DEFAULT.ZZD\CACHE\8B7189B4D01

Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Edit: @ Nikita, kannst du bitte nochmal in meinem Thread nachschauen, ich kriege die vsconfig datei nicht gelöscht

Eddie54

das passiert, wenn den Antivirus free verwendet wird... es ist eine Fehlermeldung.(???) Mach dir bitte keine Sorgen.

Hi Nikita!

Thx für die schnelle Antwort...

Ich habe alle Deine angegebenen Schritte gemacht, es gab aber, wie mir scheint, ein paar Komplikationen...

Nachdem ich das Registry Search Tool ausgeführt habe, kam folgendes Ergebnis:


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8}" 01.02.2005 19:01:38

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html]
"CLSID"="{487ABC8C-4FEB-4D7E-A0A5-FE33DC51F4F8}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\tϠ5

Hallo@slope

1) lade rem.zip
http://forums.skads.org/index.php?showtopic=80
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B2C3A97-25B4-49EB-A4FC-739BBFDF1311}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B57182AD-7B41-4736-88FD-B0661D416D0A}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCFE14E6-39B2-4949-92F7-3BC85D09BBD7}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B2C3A97-25B4-49EB-A4FC-739BBFDF1311}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{1B2C3A97-25B4-49EB-A4FC-739BBFDF1311}: NameServer = 69.50.176.156,195.225.176.31

PC neustarten
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/vi ... mode.shtml


4) starte die datei rem.bat, scannen lassen.

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory


-->und "Scan " klicken.

5) starte den rechner anschließend im normalen modus.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

6) unter C:\ sollte nun eine datei namens log.txt und bad1.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

+ poste das neue Log vom HijackThis

hi Nikita!

Also, hab alle Schritte durchgearbeitet...

Schritt 1: habe nur eine Datei names "remv3.zip" unter dem Link finden können, hab den Mal genommen...

Schritt 2: das Update ist wohl fehlgeschlagen, aber wahrscheinlich nur, weil ich kurz zuvor eine Vollversion von eScan installiert hatte und das Update schon ausgeführt hatte...

Schritt 4: hier habe ich dann anstelle von "rem.bat" die "remv3.bat" genommen...

Hier die "infected"-Einträge + Zusammenfassung:

Wed Feb 02 17:51:37 2005 => File C:\WINDOWS\System32\sethcd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: File Deleted.
Wed Feb 02 17:51:39 2005 => File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 17:51:48 2005 => File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 17:52:09 2005 => Scanning File C:\DOKUME~1\admin\LOKALE~1\TEMPOR~1\Content.IE5\67BPK9K1\infected6xz[1].gif
Wed Feb 02 18:02:07 2005 => Scanning File C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\67BPK9K1\infected6xz[1].gif
Wed Feb 02 18:07:10 2005 => Scanning Folder: C:\Programme\eScan\INFECTED\*.*
Wed Feb 02 18:07:10 2005 => Scanning File C:\Programme\eScan\infected.wav
Wed Feb 02 18:12:46 2005 => File C:\RECYCLER\NPROTECT\00009797.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:12:46 2005 => File C:\RECYCLER\NPROTECT\00009798.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:12:46 2005 => File C:\RECYCLER\NPROTECT\00009800.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:11 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000004.exe infected by "Net-Worm.Win32.Padobot.m" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:11 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000006.dll infected by "Trojan.Win32.StartPage.uh" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:11 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000008.dll infected by "Backdoor.Win32.Agent.ac" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:13 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000009.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:14 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000010.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:14 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000011.exe infected by "Backdoor.Win32.SdBot.lt" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000014.exe infected by "Trojan-Downloader.Win32.Agent.io" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000020.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000021.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000022.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000023.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000024.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000025.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Wed Feb 02 18:13:15 2005 => File C:\System Volume Information\_restore{CBB4E864-8B13-4D98-9D82-F4187552A3FC}\RP1\A0000025.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.


Feb 02 20:54:16 2005 => ***** Checking for specific ITW Viruses *****
Wed Feb 02 20:54:16 2005 => Checking for Welchia Virus...
Wed Feb 02 20:54:16 2005 => Checking for LovGate Virus...
Wed Feb 02 20:54:16 2005 => Checking for CodeRed Virus...
Wed Feb 02 20:54:16 2005 => Checking for OpaServ Virus...
Wed Feb 02 20:54:16 2005 => Checking for Sobig.e Virus...
Wed Feb 02 20:54:16 2005 => Checking for Winupie Virus...
Wed Feb 02 20:54:16 2005 => Checking for Swen Virus...
Wed Feb 02 20:54:16 2005 => Checking for JS.Fortnight Virus...
Wed Feb 02 20:54:17 2005 => Checking for Novarg Virus...
Wed Feb 02 20:54:17 2005 => Checking for Pagabot Virus...
Wed Feb 02 20:54:17 2005 => Checking for Parite.b Virus...
Wed Feb 02 20:54:17 2005 => Checking for Parite.a Virus...

Wed Feb 02 20:54:17 2005 => ***** Scanning complete. *****

Wed Feb 02 20:54:17 2005 => Total Files Scanned: 125730
Wed Feb 02 20:54:17 2005 => Total Virus(es) Found: 26
Wed Feb 02 20:54:17 2005 => Total Disinfected Files: 0
Wed Feb 02 20:54:17 2005 => Total Files Renamed: 2
Wed Feb 02 20:54:17 2005 => Total Deleted Files: 24
Wed Feb 02 20:54:17 2005 => Total Errors: 44
Wed Feb 02 20:54:17 2005 => Time Elapsed: 03:04:36
Wed Feb 02 20:54:17 2005 => Virus Database Date: 2005/02/02
Wed Feb 02 20:54:17 2005 => Virus Database Count: 115801

Wed Feb 02 20:54:17 2005 => Scan Completed.

Hier die log.txt:


Files Found.................
----------------------------------------

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished


Die bad1.txt ist leer...

Und zu guter Letzt die HighJackThis-Logs:

Logfile of HijackThis v1.99.0
Scan saved at 21:13:34, on 02.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\EnterNet.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\AdvTools\NPROTECT.EXE
O23 - Service: PPPoE Service - Unknown - C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Ich hoffe, das hilft festzstellen, ob ich immer noch verseucht bin...

Schönen Gruß und vielen Dank schonmal im Vorraus!

Slope

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann aktiviere sie wieder

Das Log ist sauber

Hi Nikita!

Ich danke Dir vielmals für Deine wirklich sehr hilfreiche Unterstützung und Geduld! Hat mir echt gut geholfen...

Gruß

slope

Hallo nochmal Nikita!

Hab da noch eine Frage, und zwar erhalte ich nach der ganzen Aktion bei meinem täglich eScan immer die Meldung "Mi Feb 09 04:43:42 2005 => ***** Analysis Cancelled. *****", das zieht sich so ca. 2 min hin...weisst Du, woran das liegen könnte? Ansonsten ist die Kiste anscheinend wirklich clean...Danke nochmal!

Gruß

slope

Hallo@slope

deinstalliere den escan wieder , ist ja nur ein 15-Tage Free-Tool

dann poste das neue Log vom HijackThis--> so kann ich sehen, ob das Tool wirklich vom PC verschwunden ist