Wer hilft mir bitte beim Entfernen von Adware SyncroAd.
Ich bekomme das Teil einfach nicht los.
NAV von Symantec mit neuestem Update erkennt, kann aber nicht löschen.
Experimentiere schon 1 Woche.
Bin langsam am verzweifeln.

mfg tinsaurier

Hallo Tinsaurier,
mach erst mal folgendes:

# lade dir Ad-Aware runter -->
http://www.lavasoftusa.com/german/support/download/
installier das Programm, mache zuerst ein Update und lasse dann dein System scannen...alles was das Programm findet, kannst du löschen...

# lade dir auch Spybot Search&Destroy runter -->
http://www.safer-networking.org/de/download/index.html
danach lädst du dir auch noch von hier -->
http://www.spybotupdates.com/updates/fi ... cludes.exe
die includes.exe runter und installierst sie (mit einem Doppelklick auf die exe)...
lasse jetzt auch Spybot S&D laufen, auch hier kannst du alles löschen, was gefunden wird...

# poste ein HijackThis-log

1. erstelle einen Ordner Hijack This irgendwo auf deiner Festplatte (HijackThis muß nicht installiert werden, aber es braucht einen eigenen Ordner, damit es Backups erstellen kann)
2. lad dir HijackThis z.B. hier runter -->
   http://www.downloads.subratam.org/hijackthis.zip oder hier -->
   http://www.spywareinfo.com/~merijn/files/hijackthis.zip,
3. speicher die Hijack This.zip, und entpacke sie anschließend in deinen HijackThis-Ordner
4. führe das Programm aus, (einfach Doppelklick auf die EXE),
5. drücke Do a system scan and save a logfile
6. speicher das logfile
7. das gespeicherte logfile öffnet sich automatisch im Text-Editor , markiere alles (mit „Bearbeiten --> alles markieren“ oder über „Strg + A“), und kopiere es (mit „Rechtsklick --> Kopieren“ oder über "Strg + C")
8. schreibe eine Antwort in deinem eigenen Beitrag (klick „post reply“) und füge das komplette logfile in deine Antwort ein (mit „Rechtsklick --> Einfügen“ oder über „Strg + V“), dann können die Experten dir sagen, was Sache ist.

Logfile of HijackThis v1.99.1
Scan saved at 20:25:31, on 12.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\Mani\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3640877187
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{618AECE4-0D93-4C31-A9B4-8D531870155E}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo@Tinsaurier

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

CCleaner
http://www.ccleaner.com/ccdownload.asp

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TM70LUN\bridge-c15[1].cab <--loeschen

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

aber bitte hier, nicht per PM

zuerst vielen Dank für Hilfe!

alles durchgeführt.

ergebnis:

Ad-aware SE findet nichts mehr.

hier log:

Logfile of HijackThis v1.99.1
Scan saved at 18:32:34, on 13.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TraXEx\TraXEx.exe
C:\DOKUME~1\Mani\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3640877187
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

mfg tinsaurier

habe ganz vergessen, seit dem ich mit dieser bedrohung infiziert bin erscheint beim oeffnen von einigen programmen meldung:

Win16-Teilsystem

C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. Die Systemdatei ist nicht geeignet, um Anwendungen für MS-DOS oder Microsoft Windows auszuführen. Klicken Sie auf „Schließen“, um die Anwendung zu beenden.

auch jetzt immer noch.

mfg tinsaurier

Hallo@Tinsaurier


http://www.wintotal.de/Tipps/Eintrag.php?TID=1005

Beim Starten von Windows oder beim Installieren einer Software erscheint folgende Fehlermeldung:

WIN 16 TEILSYSTEM

C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. Die Systemdatei ist nicht geeignet, um Anwendungen für MS-DOS oder Microsoft Windows auszuführen.
Klicken Sie auf Schließen, um die Anwendung zu beenden.

Die Ursache ist, dass die Dateien Config.nt, Autoexec.nt oder Command.com fehlen oder beschädigt sind.
Standardeinträge für alle DOS-basierende Programme werden in der autoexec.nt und der config.nt vorgenommen.

1. Lösungsmöglichkeit:

Die Windows-CD ins Laufwerk legen.

In der Eingabeaufforderung (Start - Ausführen - cmd) folgende Befehle eingeben:

expand CD-ROM Laufwerkbuchstabe:\i386\config.nt_ c:\windows\system32\config.nt
expand CD-ROM Laufwerkbuchstabe:\i386\autoexec.nt_ c:\windows\system32\autoexec.nt
expand CD-ROM Laufwerkbuchstabe:\i386\command.co_ c:\windows\system32\command.com
exit

Wäre der CD-ROM Laufwerkbuchstabe als Beispiel D, müsste das so aussehen:

expand d:\i386\config.nt_ c:\windows\system32\config.nt
expand d:\i386\autoexec.nt_ c:\windows\system32\autoexec.nt
expand d:\i386\command.co_ c:\windows\system32\command.com
exit

Die Dateien werden von der Windows-CD wieder hergestellt.

2. Möglichkeit:

Den Editor (Notepad) starten und folgenden Text eingeben:

dos=high, umb
device=%SYSTEMROOT%\system32\himem.sys
files=40

Die Datei als Config.nt ins %SystemRoot%\System32-Verzeichnis speichern.
Die schon existierende Datei einfach ersetzen.
VORSICHT: Nicht als config.nt.txt speichern!
Am besten unter "Dateityp" »alle Dateien« auswählen.



Noch eine Textdatei erstellen mit folgendem Inhalt:

@echo off
lh %SYSTEMROOT%\system32\mscdexnt.exe
lh %SYSTEMROOT%\system32\redir
lh %SYSTEMROOT%\system32\dosx
SET BLASTER=A220 I5 D1 P330 T3

und diese mit dem Dateinamen Autoexec.nt ins system32-Verzeichnis speichern.
Die schon existierende Datei einfach ersetzen.
Eine weitere Möglichkeit wäre die Datei "autoexec.nt" aus dem "C:\Windows\Repair"-Ordner in
den Ordner "C:\Windows\system32\" zu kopieren.
Dann noch den Schreibschutz auf die Datei "autoexec.nt" setzen, damit Windows die Datei nicht mehr verschiebt.

Ich glaube, Problem gelösst.
Alles laeuft wieder normal. NAV Scan OK.
Fehlermeldung weg.

Vielen Dank an Miezmutz für den 1.Tipp.
Da ich neu hier bin.
Tinsaurier sagt danke, danke, nochmals danke an Nikita.