"search results for poker online" und Elite Bar

Seid Wochen quälen mich jetzt diese elendigen PopUps und ich habe schon alles Mögliche probiert(norton, nod32,stinger,mcaffee,) . Letztendlich hat nichts geholfen.
Seid den letzten Tagen ist es so schlimm das ich nicht mal mehr normal surfen kann, ohne dauern gestört zu werden. Ich habe hier von Hijacker gelesen und habe mir das natürlcih sofort gezogen. Ich bitte um schnell Hilfe! Anbei noch meine Log-File.
DANKE!



Logfile of HijackThis v1.98.2
Scan saved at 21:41:37, on 11.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
F:\Programme\Norton Personal Firewall\NISUM.EXE
F:\Programme\Norton Personal Firewall\ccPxySvc.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
F:\Programme\Norton AntiVirus\navapsvc.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\ieupdate.exe
F:\WINDOWS\System32\svchosting.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\WINDOWS\system\lsvchost.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\D-Tools\daemon.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
F:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
G:\Programme\Phone\Skype.exe
C:\Overnet\overnet.exe
F:\Dokumente und Einstellungen\Administrator\Desktop\internet\HijackThis.exe
F:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - F:\WINDOWS\ELITES~1\ELITES~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 f:\WINDOWS\system\cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [.mscdsr] F:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [window2] ieupdate.exe
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvevl32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [DJSNetCN] F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [window2] ieupdate.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINIUPDATES.EXE
O4 - HKLM\..\RunOnce: [window2] ieupdate.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [window2] ieupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [window2] ieupdate.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3B37EE7-72B1-4DB8-BBFA-D288D2DEF1A7}: NameServer = 217.237.149.161 217.237.151.225

 

da ist ja ganz schön was los

gib das Log mal auf dieser Seite ein
http://www.hijackthis.de

 

http://www.hijackthis.de/logfiles/96aaf1e031b670d41410dd84ac314c94.html

 

@MM: Nö, das gleiche wie Yorgos gepostet !

 

Und niemand sprang an?

 

FULL ACK

Aber wenn dann richtig:


-------

Infiziertes System neu aufsetzen:

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- wichtige Daten sichern (sofern noch möglich)
- Windows neu installieren mit NTFS-Neuformatierung der Systempartition
(oder ein sauberes Image zurückspielen)
- die Service Packs und Patches von der CD installieren
- Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- Spybot S&D installieren und das System immunisieren
- die automatische Windows-Update Funktion aktivieren
- die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
NIE ausführbare Dateien zurückspielen

-------

 

Ich habe die LOGFILe in die oben genannte Seite eingefügt und wie da gesagt bereinigt.




Logfile of HijackThis v1.98.2
Scan saved at 22:35:40, on 11.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
F:\Programme\Norton Personal Firewall\NISUM.EXE
F:\Programme\Norton Personal Firewall\ccPxySvc.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
F:\Programme\Norton AntiVirus\navapsvc.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\ieupdate.exe
F:\WINDOWS\System32\svchosting.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\WINDOWS\system\lsvchost.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\D-Tools\daemon.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
F:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
G:\Programme\Phone\Skype.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
F:\Dokumente und Einstellungen\Administrator\Desktop\internet\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 f:\WINDOWS\system\cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvevl32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [DJSNetCN] F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3B37EE7-72B1-4DB8-BBFA-D288D2DEF1A7}: NameServer = 217.237.149.161 217.237.151.225

 

Systemwiederherstellung deaktivieren und im abgesicherten Modus fixen lassen.

Aber eine Neuinstallation, nach der Anleitung vom Doctor, ist die bessere Lösung.

 

Setz ihn neu auf, oder weisst du, was schon alles verändert worden ist?

 

ich habe mal escan laufen lassen und die popups sind weg, guckt bitte nochmal ob coh was da ist danke!



Logfile of HijackThis v1.98.2
Scan saved at 16:32:46, on 12.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Norton Personal Firewall\NISUM.EXE
F:\WINDOWS\System32\RunDll32.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\D-Tools\daemon.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
G:\escan\MAILDISP.EXE
G:\escan\TRAYSSER.EXE
G:\escan\AVPMWrap.EXE
F:\WINDOWS\System32\ctfmon.exe
G:\escan\avpm.exe
F:\Programme\Messenger\msmsgs.exe
G:\escan\SPOOLER.EXE
G:\escan\MAILSCAN.EXE
G:\escan\kavss.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
F:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
G:\escan\AvpM.exe
F:\WINDOWS\explorer.exe
F:\Programme\Ventrilo\Ventrilo.exe
F:\Dokumente und Einstellungen\Administrator\Desktop\internet\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - F:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - F:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 f:\WINDOWS\system\cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "G:\escan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] G:\escan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] G:\escan\AVPMWrap.EXE
O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvevl32.exe
O4 - HKLM\..\RunServices: [DJSNetCN] F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3B37EE7-72B1-4DB8-BBFA-D288D2DEF1A7}: NameServer = 217.237.149.161 217.237.151.225

 

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - F:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - F:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll

fixen

O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvevl32.exe

keine ahnung, was das ist...jedenfalls nix von windows.

O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing

Lspfix drüber laufen lassen.

 

Ok Danke Ich Probiers Aus Und Meld Mich Dann Wieder!

 

Hallo,

habe auch gerade mit diesem Ding zu tun. Ist wirklich hartnäckig.
Immer wenn man den Eintrag gefixt hat, entsteht er nach ein paar Sekunden neu, obwohl die Datei schon gelöscht ist. Es muß noch irgendeine dll oder so was geben, die da im System drinhängt.

Auf jeden Fall hängt dieses EliteBar mit dem kalvsys-Eintrag zusammen.

Wenn ihr noch Ideen habt, dann gebt mal Bescheid. Melde mich, wenn ich weiß, wie man das wegbekommt.

 

ich habs weggekriegt!!!
Mit escan!!!Mach am besten ne Logfile mit Hijacker!!!
Jetzt hab ich allerdings ein anderes Problem, ich habe dauernd PopUps von "Search Miracle"

Die Logfile anbei: Und danke für die freundliche Hilfe!!!Ihr seid super!!!




Logfile of HijackThis v1.98.2
Scan saved at 18:19:54, on 21.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Norton Personal Firewall\NISUM.EXE
F:\WINDOWS\System32\RunDll32.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\D-Tools\daemon.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
F:\Programme\Messenger\msmsgs.exe
G:\escan\TRAYSSER.EXE
G:\escan\avpm.exe
G:\escan\TRAYICOS.EXE
F:\WINDOWS\System32\svchost.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
F:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
F:\Programme\Internet Explorer\iexplore.exe
F:\Dokumente und Einstellungen\Administrator\Desktop\internet\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 f:\WINDOWS\system\cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvevl32.exe
O4 - HKLM\..\Run: [*******Tray] "g:\Programme\SlySoft\*******\*******Tray.exe" /s
O4 - HKLM\..\RunServices: [DJSNetCN] F:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{40F69CF8-F863-4AE4-8A47-554A182FDB1E}: NameServer = 192.168.152.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3B37EE7-72B1-4DB8-BBFA-D288D2DEF1A7}: NameServer = 217.237.149.161 217.237.151.225

 

Lösch mal dein logfile hier aus dem Forum.
http://hijackthis.de/logfiles/d394e3b7702ae69b1b5802d92df7cb1a.html
hier ist es.

Bitte via http://hijackthis.de das Log auswerten lassen, den Link dann im Forum posten.
Nur den Link, nicht das log.

 

O4 - HKLM\..\Run: [kalvsys] F:\windows\system32\kalvevl32.exe <- Verdächtig.

 

Tja, er ist eben doch noch nicht weg...

EliteBar, searchmiracle und kalvsys hängen zusammen ...

Vielleicht kann ich Dir morgen sagen, wie man das wirklich weg bekommt ...

Bis dann

 

morgen bin ich im urlaub aber trotzdem bitte reinschreiben!

Bis dann!

 

@ birko

Bitte entferne deine HijackThis-Log's aus dem Forum. Und beim nächsten mal gehe bitte wie im folgenden Thread beschrieben vor:

http://www.pcwelt.de/forum/showthread.php?t=134046



Gruß
Nevok