Hi, mein vater hat sich nen Virus aufm PC eingefangen und wir werden den nicht mehr los.
Hab beim ihm RegCleaner und HiJackThis rauf geknallt, aber die können auch nicht helfen :frown:
Wenn wir den Virenscanner sagen er soll die Platte durchforsten stürzt er nach ner Zeit ab, ohne Fehlermeldung. Hab versucht das Programm (von meinem PC)von nem USB-Stick aus suchen zulassen, stürzt auch an der selben Stelle ab (irgendwo in den Eigenen Dateinen), auch wenn ich das Programm vom Stick auf die Platte werf. Wenn man über den Explorer in die Region geht wo der Scanner abstürztgeht wirft der einen auch auf den Desktop zurück.
Im IE hat der auch Haufenweise "Favorieten" installiert.

Habt ihr ne Idee was helfen könnt? :confused:

Achja: OS WinXp
Prog ist AntiVir

Probier es mal mit einem anderen Virenscanner, wie zum Beispiel den von Kaspersky -> http://www.kaspersky.com/de/downloads?chapter=146440558

mmm...

Regcleaner hat mit Viren gar nichts zu tun und HijackThis dient eigentlich zum Logerstellen und nur sekundär als Virenscanner. Du kannst das Log aber mal posten. Mal schauen, ob ich was finde ...

mmm...

Regcleaner hat mit Viren gar nichts zu tun und HijackThis dient eigentlich zum Logerstellen und nur sekundär als Virenscanner. Du kannst das Log aber mal posten. Mal schauen, ob ich was finde ...
HiJackThis dacht ich mir weil der ja Prozesse untersucht und RegCleaner weil der Rechner allgemein zugemüllt ist...
Log kann ich dir morgen zeigen, da ich da jetzt nicht ran komme, aber schonmal danke

Probier es mal mit einem anderen Virenscanner, wie zum Beispiel den von Kaspersky -> http://www.kaspersky.com/de/downloads?chapter=146440558Genau, aber nicht vergessen AntiVir vorher zu deinstallieren !!

Oder einen Online Scanner benutzen wie z.B. den BitDefender Online Scanner (http://www.bitdefender.de/scan8/ie.html), da reicht es wenn Du AntiVir nur deaktivierst.

MfG
Rooter

Hier die log Datei:

Logfile of HijackThis v1.99.1
Scan saved at 20:08:36, on 23.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Dokumente und Einstellungen\*geht euch nix an*\Desktop\AntiVir\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\*geht euch nix an*\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {72AA7708-1476-67AE-5708-6CAEC456C02F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\*geht euch nix an*\Desktop\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Zonealarm] C:\\Programme\\Zone Labs\\ZoneAlarm\\ZoneAlarm\\zlclient.exe
O4 - HKCU\..\Run: [AntiVir] C:\\Programme\\AVPersonal\\AVWIN.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\*geht euch nix an*\Eigene Dateien\*Name*\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\*geht euch nix an*\Eigene Dateien\Anika\ICQ\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.komhome.de
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102680741093
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC98F1A-844E-4364-9EB9-60C89299053C}: NameServer = 85.255.114.34,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{44A11B2F-7129-45EC-B930-A62576BE9966}: NameServer = 85.255.114.34,85.255.112.72
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Sag mal bitte ALLES was dir merkwürdig vorkommt, danke

Da ist reichlich Böses drinn.

Laß das Log mal auf der Seite auswerten und du wirst es selbst sehen.
http://www.hijackthis.de/

mmm...

Hab es nur kurz überflogen, was mir so schon aufgefallen ist:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vlwzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {72AA7708-1476-67AE-5708-6CAEC456C02F} - (no file)

O14 - IERESET.INF: START_PAGE_URL=http://www.komhome.de
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet ZoneDiese Einträge kommen mir alle sehr merkwürdig vor, kannst du alle entfernen ... es kann sogar sein, dass noch mehr rausgeworfen werden kann ...

Da ist reichlich Böses drinn.

Laß das Log mal auf der Seite auswerten und du wirst es selbst sehen.
http://www.hijackthis.de/

Hab ich versucht, aber vor ein paar Tagen war die noch down...


Achja was meinem Vater noch aufgefallen ist:
Man gibt bei Google zb. Routenplaner ein, der sucht, findet zb mp24 oder ähnlich, klickt man auf den Goolgelink, so führt der einen durchs gesamte I-net, nur nicht zu der Seite. Hängt das auch damit zusammen?

Edit: Waren ja "nur" 20 Dingers die ich gefixt hab

mmm...

Es kann sein, dass die HOSTS noch bearbeitet werden muss. Die Datei liegt unter C:\WINDOWS\system32\drivers\etc, wobei es sein kann, dass du nicht alle Verzeichnisse angezeigt bekommst. Ich hab beim Windows Explorer eingestellt, dass mir alle Dateien und auch alle Systemdateien angezeigt werden (bei Systemdateien ist ein Haken, aber der muss weg ;)).
Du kannst gerne mal den Inhalt posten, da dürfte nicht viel drinne stehen ...

mmm...

Es kann sein, dass die HOSTS noch bearbeitet werden muss. Die Datei liegt unter C:\WINDOWS\system32\drivers\etc, wobei es sein kann, dass du nicht alle Verzeichnisse angezeigt bekommst. Ich hab beim Windows Explorer eingestellt, dass mir alle Dateien und auch alle Systemdateien angezeigt werden (bei Systemdateien ist ein Haken, aber der muss weg ;)).
Du kannst gerne mal den Inhalt posten, da dürfte nicht viel drinne stehen ...
k, kann ich machen wenn ich zu haus bin

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine Beispieldatei für LMHOSTS, wie sie von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
# Sie ist mit der LMHOSTS-Datei von Microsoft TCP/IP für LAN Manager 2.x
# kompatibel.
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# In dieser Datei werden einzelnen IP-Adressen die entsprechenden
# Computernamen (NetBIOS-Namen) zugeordnet. Jeder Eintrag sollte aus
# einer einzelnen Zeile bestehen.
# Die IP-Adresse wird in der ersten Spalte eingetragen, gefolgt vom
# zugehörigen Computer-Namen. Die Adresse und der Computer-Name müssen
# dabei durch mindestens ein Leerzeichen oder ein Tabulatorzeichen
# getrennt sein.
# Das Zeichen "#" wird gewöhnlich Kommentaren vorangestellt. Ausnahmen
# hiervon sind die folgenden Erweiterungen:
#
# #PRE
# #DOM:<Domäne>
# #INCLUDE <Dateiname>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (Unterstützung nichtdarstellbarer Zeichen)
#
# Die Erweiterung "#PRE" wird nach dem Computer-Namen angegeben, wenn
# dieser Eintrag bereits zu Anfang in den Namen-Cache geladen werden
# soll. Standardmäßig werden die Einträge nicht zu Anfang in den Namen-
# Cache geladen, sie werden jedoch auch nur dann ausgewertet, wenn die
# dynamische Namensauswertung fehlschlägt.
#
# Die Erweiterung "#DOM:<Domäne>" wird nach dem Computer-Namen angegeben,
# wenn der Eintrag mit einer Domäne verknüpft werden soll.
# Dies wirkt sich auf das Verhalten des Computer-Suchdienstes und des
# Anmeldedienstes in der TCP/IP-Umgebung aus.
# Die Erweiterung "DOM:<Domäne>" kann zusammen mit der Erweiterung "PRE"
# für einen Eintrag angegeben werden.
#
# Die Angabe von "#INCLUDE <Dateiname>" veranlasst den NetBIOS Helper-
# Dienst die angegebene Datei zu suchen und sie wie eine lokale Datei
# auszuwerten. Für <Dateiname> werden UNC-Namen akzeptiert. Dadurch ist
# es möglich, eine LMHOSTS-Datei zentral auf einem Server zu verwalten.
# Befindet sich der Server außerhalb des Broadcast-Bereichs, ist eine
# Adresszuordnung für diesen Server vor der "#INCLUDE"-Anweisung not-
# wendig.
#
# Die Anweisungen "#BEGIN_ALTERNATE" und "#END_ALTERNATE" ermöglichen die
# Gruppierung von mehreren "#INCLUDE"-Anweisungen.
# Ist eine "INCLUDE"-Anweisung erfolgreich, werden alle weiteren
# "INCLUDE-ANWEISUNGEN" übersprungen und die Gruppe verlassen.
#
# Nichtdarstellbare Zeichen können im Computer-Namen enhalten sein.
# Solche Zeichen müssen als Hex-Wert in der \0xnn-Notation angegeben
# werden und zusammen mit dem NetBIOS-Namen in Anführungszeichen
# eingeschlossen werden.
#
#
# Beispiel:
#
# 102.54.94.97 maestro #PRE #DOM:technik # DC von "Technik"
# 102.54.94.102 "spiele \0x14" # besonderer Server
# 102.54.94.123 nordpol #PRE # Server in 3/4317
# #BEGIN_ALTERNATE
# #INCLUDE \\lokal\public\lmhosts
# #INCLUDE \\maestro\public\lmhosts
# #END_ALTERNATE
#
# In diesem Beispiel enthält der Server "spiele" ein Sonderzeichen
# im Namen, und der Server "nordpol" wird bereits zu Anfang in den
# Namen-Cache geladen.
# Die Adresszuordnung für den Server "maestro" wird angegeben, um diesen
# Server weiter unten in der #INCLUDE-Gruppe verwenden zu können.
# Wenn der Server "lokal" nicht verfügbar ist, wird die zentrale LMHOSTS-
# Datei auf "maestro" verwendet.
#
# Beachten Sie, dass die gesamte Datei bei jeder Auswertung durchsucht wird,
# einschließlich der Kommentarzeilen. Es wird daher empfohlen, die obigen
# Kommentarzeilen zu entfernen.

Sieht für mich nicht grad verdächtig aus :|

mmm...

Da fehlt die Zeile mit 127.0.0.1, wenn ich mich richtig erinnere ...

Bist Du sicher das das die Datei Windows/system32/drivers/etc/hosts ist?

Bist Du sicher das das die Datei Windows/system32/drivers/etc/hosts ist?
Nein, das die Imhosts, eine Hosts hatte er nicht...
Soll ich meine Kopieren und damit die nichtvorhandene ersetzten?