Vorgeschichte:

Computer gerade erst aufgebaut und den 2ten Tag im Net und schon lauter Mist eingefangen!!

Entdeckt habe ich den Gain-Gator in Gemeinsame Dokumente, darauf hin habe ich im Netz nach Problemlösungen gesucht da sich das Ding nicht löschen lässt.

Da bin ich auf diese Seite getossen und hab einen ähnliche Fall nachgespielt : Problem mit einer Adware Bedrohung von Gain Network zwischen eromon und nikita.
mit HijackThis-Escan Trial- AdAware free - Spybot - ClearProg

.)Lade dieses Tool,
http://www.diamondcs.com.au/index.php?page=apm
---- klicke die einzelnen Explorerprozesse an, bis du findest: Bho.dll und Rsp.dll, dann druecke auf <unload<

Rsp und Bho habe ich nicht.

.)Im Normalfall sollte dass hier drin stehen,
127.0.0.1 localhost
Orginal Host Datei
Ist auch in Ordnung.

Folgende Dinge hab ich nicht auf meinem Rechner bzw. nicht gefunden:
ENTFERNEN <Perfectnav<
ENTFERNEN ExactSearchBar

Mache UNBEDINGT DIE WINDOWSUPDATES
Info: Ich habe das neue XP-Prof. mit Serv.Pack 2 + Autom. Updates.

Das ist die letzte Tätigkeit die ich durgeführt habe:

Dann versuche es zuerst mit eScan.(Dann updaten und in den abgesicherten Modus gehen, wie erklaert)
##Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

5)
Gehe in den abgesicherten Modus(wichtig !!!!!!!!!)
http://www.bsi.de/av/texte/winsave.htm
(F8 druecken, wenn der Computer hochfaehrt
-----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.



6)
NORMAL NEUSTARTEN

7)
scAnne noch mal im Normalmodus
suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

--Falls etwas erscheint<no delet) , notiere es oder kopiere es ab aus dem ellenlangen - Log und poste es mir dann (!)

Problem ist jetzt findet der escan noch weitere Viren/Spyware und die Trialversion kann keine davon löschen.

RedV, TheLocalSearch, Claria,


Fazit: Langsam verliere ich den ÜBERBLICK.

Kann mir hier jemand bitte, bitte Helfen.
(am besten wäre Nikita, da ich nach Ihrer Anleitung begonnen habe)


Anbei die Logfiles:
HijackThis im gesicherten Modus:

Scan saved at 19:08:41, on 27.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

HijackThis im Normalen Modus:

Scan saved at 19:56:53, on 27.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\eScan\trayicos.exe
C:\Dokumente und Einstellungen\KiDemon\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

eScan vom Abgesicherten Modus find ich den Log leider nicht, aber
er fand einmal RedV und beim zweiten Check Cristal ??

Im Normalen Windowsmodus fand er gar nichts ???
LoG:

So Nov 27 19:19:16 2005 => eScan for Windows.
So Nov 27 19:19:16 2005 => Copyright © 2004-2005, MicroWorld Technologies Inc.
So Nov 27 19:19:16 2005 => Support: support@mwti.net
So Nov 27 19:19:16 2005 => Web: http://www.mwti.net
So Nov 27 19:19:16 2005 => ******************************************************************
So Nov 27 19:19:16 2005 => Version 1.27
So Nov 27 19:19:16 2005 => LogFile: C:\PROGRA~1\eScan\Log\27110002.log
So Nov 27 19:19:16 2005 =>
So Nov 27 19:19:16 2005 => Heuristics: On
So Nov 27 19:19:16 2005 => Packed files: On
So Nov 27 19:19:16 2005 => System areas: On
So Nov 27 19:19:16 2005 => Archived files: On
So Nov 27 19:19:16 2005 => Calculate Analysis: On
So Nov 27 19:19:16 2005 => Action specified in case of an infection: Disinfect (if not possible, delete file)
So Nov 27 19:19:16 2005 =>
So Nov 27 19:19:17 2005 => ***** Checking system areas *****
So Nov 27 19:19:21 2005 =>
So Nov 27 19:19:21 2005 => ***** Checking selected directories and files *****
So Nov 27 19:19:21 2005 => Scanning File C:\23990098.$$$
So Nov 27 19:19:21 2005 => Scanning File C:\apm.dll
So Nov 27 19:19:22 2005 => Scanning File C:\apm.exe
So Nov 27 19:19:22 2005 => C:\apmhelp.chm ***** File having Scanning Restriction *****
......bla,bla,bla. unendlich Dateien.
So Nov 27 19:49:31 2005 => ***** Scanning Completed. *****
So Nov 27 19:49:31 2005 =>
So Nov 27 19:49:31 2005 => Total Number of Files Scanned: 33500
So Nov 27 19:49:31 2005 => Total Number of Files Infected: 0
So Nov 27 19:49:31 2005 => Total Number of Files Disinfected: 0
So Nov 27 19:49:31 2005 => Total Number of Files Renamed: 0
So Nov 27 19:49:31 2005 => Total Number of Files Deleted: 0
So Nov 27 19:49:31 2005 => Total Number of Errors: 0
So Nov 27 19:49:31 2005 => Time Elapsed:: 00:30:14


Bei eScan kenn ich mich jetzt nicht mehr aus. Hab ich jetzt noch einen Virus oder Spyware..??

BITTE um HILFE.

Danke schon mal im vorraus für alle konstruktiven Antworten.

Hallo@KiDemon

deinstalliere escan wieder (komplett)
wahrscheinlich musst du das im abgesicherten Modus machen)

wende Cleanup an
http://virus-protect.net/cleanup.html

wenn das erledigt ist, lade ewido, scanne und poste den scanreport
dann sehen wir weiter.
http://virus-protect.net/ewido.html

-------------------------------------------------------------
Info Gain
http://virus-protect.net/artikel/spyware/gain.html

Okay, nach der Arbeit werde ich mich heute noch darum kümmern.
ca. 18:00 Gmt+1h
Eine Frage noch.
Da die Spyware und Viren bisher nur auf der Hauptfestplatte ( C:)
gefunden hat, reicht es doch nach der C: Festplatte den Scan abzubrechen, da er sonst über 2h die Daten (Hauptsächlich Spiele, Fotos und Url.Videos) durchläuft.

(Info: Fehlermeldungen hatte er in der Registry bei M.Messenger, da ich den nicht verwende, kann ich die Einträge doch ohne weiters löschen, oder?)

1. Abgesicherter Modus
2. escan gelöscht
3.cleanup hochgeladen und ausgeführt.
-66MB Dateien gelöscht (ich hoffe nix wichtiges.z.B. Magixteile usw)

4. Neustart abgesicherter Modus
5. ewido geladen
6.Installiert und ausgeführt
7. Hier der Reportbericht:


ewido security suite scan report

+Erstellt am 19:49:16 28.11.05

+Reportcheck: 498FAB6D

+Scanergebnis

Keine infizierten Objekte gefunden

::Report Ende

Halllooooooooooooo!

Help?

Schön das einem hier so toll geholfen wird.

Nach dem mein Rechner seit der Gator-Zeit jetzt ein bisschen instabil läuft und ich eine Warnung beim Downloaden vom Mediaplayer 10 bekommen hab, dass die Systemwiederherstellung deaktiviert ist, hab ich entdecken müssen, dass der SUPA GEILE CLEANUP, meine Systemwiederherstellung gelöscht hat!!

Die Sys.w.h. ist weg, den Ordner gibt es nicht mehr, bei Einstellung/Systemsteuerung/System!!!
(Auch als Admin, falls jetzt ne gscheide Antwort kommt)


Und mit Win-CD drüberfahren is nicht.


Jetzt kann ich alles Formatieren, und neu aufsetzen. (ca. 2Tage)
Top! Werd euch weiterempfehlen!

Danke. (Wünsch euch das SELBE x100) [Mega Angfressen]

Schön, wie freundlich du uns dankst, dass wir nicht immer unsere Freizeit für Leute wie euch übrig haben.

MG,