Eine mysteriöse CWShredder-Meldung

Hier escan und Sysclean im abges.-Modus laufen lassen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Gruß

Okay mach ich gleich.
Hier übrigens mein HijackthisLogfile.

Logfile of HijackThis v1.98.0
Scan saved at 17:22:12, on 18.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\LEXPPS.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\slserv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\system32\sstray.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Trojancheck 6\tcguard.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
E:\Programme\Lexmark X1100 Series\lxbkbmon.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Messenger\msmsgs.exe
E:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\PROGRA~1\ICQ\ICQ.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Winamp\Winamp.exe
E:\Dokumente und Einstellungen\Kolja\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=36524
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.150.97 194.25.2.129

Schaut IMO sauber aus, oder?

Achja, ich wollte noch anmerken, dass diese Meldung nicht immer erscheint wenn ich den Shredder nicht öffne, sondern nur sehr selten.

hi,
mal eine kleine zwischenfrage,
was ist das bei Kolja22 für eine 017 meldung?
also die hier meine ich
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.150.97 194.25.2.129

O17 steht für Domain-Hijack. Aber die Nummer die da steht ist schon richtig.

@ Nighty: Ich komm bei diesem escan nicht weiter:

Die downgeloadete exe mit winzip/Winrar in c:\bases entpacken-> in den Ordner gehen

Also ich hab das runtergeladen, dann ist das Symbol auf dem Desktop gewesen, und dann hab ich da drauf geklickt und jetzt komm ich nicht mehr weiter.

Jo steht doch dran in c:\bases entpacken nicht auf den desktop, dann im Explorer den Ordner c:\bases suchen -> in den Ordner gehn(links bases markieren, rechts is der Inhalt) dann im Inhalt kavupd.exe (Anwendung) suchen und mit nem Doppelklick ausführen.

Dann werden die Signaturen upgedatet und danach kannste mwavscan ausführen.

Gruß

Sorry, wenn ich langsam damit nerve aber ich kann c:/bases nicht finden.

Oder muss ich den Ordner c:\bases erstmal erstellen?

Nochmal zur Erklärung:

1. Ich gehe auf diesen Download Link
2. Mozilla Firefox erscheint mit der Meldung, was ich nun machen will. Ich habe nur eine Möglichkeit: AUf Diskette/Festplatte speichern.
3. Es wird runtergeladen und das Symbol ist dann anschließend direkt auf dem Desktop.

Das runtergeladene ist ein Archiv...

Mit Winrar/Winzip nach c:\bases entpacken.
Wenn er nicht existiert wird er von Winrar/Winzip angelegt wenn du einen nicht existierenden Ordner zum entpacken angibst.

Kannst ihn natürlich auch vorher erstellen und dann dort rein entpacken.

Gruß

Sorry, Nighty ich will dir nicht auf die Nerven gehen - ich will ja selbst, dass ich das so schnell wie möglich hier gebacken kriege - aber:

Das Symbol ist auf dem Desktop. Was soll ich nun als nächstes machen?

Draufklicken soll ich ja noch nicht, aber was dann?

Hast du die Datei auf den Desktop gespeichert (download->speichern unter / Ziel)?

Hast du Winrar oder Winzip?

Gruß

Zu Frage 1) Ja.
Zu Frage 2) Ob ich WinRAR hab, weiß ich nicht. WinZIP müsste ich eigentlich haben, denn sonst hätte ich mir ja auch gar nicht Hijackthis runterladen können, da man da ja zum Entpacken WinZIP braucht.