Hey
also ich hoffe ihr könnt mir weiterhelfen!
undzwar hab ich das prob das wenn ich ins internet geh und den IE starte kommt von Norton eine Viruswarnmeldung!
handelt sich dabei wohl um bloodhound.w32.ep
da steht dann immer

C:\WINDOWS\System32\pxhping.exe
ist mit dem Virus Bloodhound.W32.EP infiziert.
Die Datei konnte nicht repariert werden.

dann klick ich auf ok
und es erscheint
C:\WINDOWS\System32\pxhping.exe
ist mit dem Virus Bloodhound.W32.EP infiziert.
Der Zugriff auf die Datei wurde verwehrt.

ich klick wieder auf ok
C:\WINDOWS\System32\mqbckup.exe
ist mit dem Virus Bloodhound.W32.EP infiziert.
Die Datei konnte nicht repariert werden.

ok

C:\WINDOWS\System32\mqbckup.exe
ist mit dem Virus Bloodhound.W32.EP infiziert.
Der Zugriff auf die Datei wurde verwehrt.


und das alles bei jedem start von Internet und IE
mein prob is jetzt wie bekomm ich den virus runter
da ich die dateien um die es sich handelt nich auf meinem rechner finde?
ausserdem öffnet sich nach ein paar minuten im netz immer eine beliebige seite und das is ganz schön nervig!
weiss nich was ich jetzt machen soll
hab schon auf viren gescannt nix gefunden trotzdem zeig er bei jedem start wieder das selbe an!
hoffe ihr könnt mir irgendwie helfen

hier meine logfile

Logfile of HijackThis v1.98.2
Scan saved at 14:29:10, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\OPLIMIT\ocrawr32.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\jacking\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mzee.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: ConferenceRoom Java Client - http://www.hiphop.de:8000/java/cr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100283896296
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B433B0A-E30E-4CE3-9843-A9FDF9A4308E}: NameServer = 192.168.122.252,192.168.122.253


danke

Typisch Norton...
immer wenn er irgendwas findet, was etwas sein könnte, aber nicht muß, meldet er einen "bloodhound". Schaff dir einen anderen virenscanner an, der mehr kann.
So, nun zu Deinem Logfile:
Es sind ein paar unbekannte drin, um die wir uns später kümmern; jetzt läßt Du die beiden folgenden erst mal bei
Jotti online scannen:
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe

Bitte poste das Ergebnis hier rein.

hey danke für die schnelle antwort!
aber das klappt nich
das is ja das prob das diese dateien nich zu finden sind ! kann sie also nich scannen! die sind irgendwie garnich da !?
weiss also voll nich was ich machen soll!

Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Hi,
die Dateien sind da:
Linke Maustaste auf Arbeitsplatz, Extras, Ordneroptionen, Ansicht. Hier: Häkchen wegmachen bei "geschützte Systemdateien ausblenden2, Häkchen machen bei: "alle Dateien und Ordner anzeigen". Fertig.

hey war nen ziemliches prob da trotz deiner anweisung die datei nich auftauchte!
bin dann in den abgesicherten modus und da hab ich beide dann gefunden!
um sie für den normal modus sichtbar zu machen hab ich sie umbenannt und versteckt!
jetzt hab ich sie auch im norm. modus und mit deiner site gescannt dabei is folgendes rausgekommen!

Service load: 0% 100%

File: pxhping1.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: FSG

AntiVir TR/Spy.Hawn.A.1 (0.15 seconds taken)
Avast Win32:Trojano-796 (1.51 seconds taken)
BitDefender Trojan.Clicker.Small.BR (0.31 seconds taken)
ClamAV Trojan.Clicker.Small-23 (0.31 seconds taken)
Dr.Web Trojan.Click.162 (0.50 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan-Clicker.Win32.Small.br (0.59 seconds taken)
mks_vir Trojan.Clicker.Small.Br (0.19 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.49 seconds taken)

Statistics
Last piece of malware found was probably unknown NewHeur_PE in wuclient.exe, detected by:

Scanner Malware name Time taken
AntiVir Heuristic/Trojan.Downloader 0.14 seconds
Avast X 1.51 seconds
BitDefender Trojan.Downloader.Gen 0.31 seconds
ClamAV X 0.32 seconds
Dr.Web X 0.52 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.rn 0.61 seconds
mks_vir X 0.25 seconds
NOD32 probably unknown NewHeur_PE 0.37 seconds
Norman Virus Control X 1.37 seconds



Service statistics:

10852 files (7798 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
2277 of those 7798 files contained a virus or any other form of malware.
This page has been visited 24951 times in this time period.
This service managed to spot 133 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 1049 suspicious files without any help from scanner results.
However, 112 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 98.56% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.sdbot.gen 188 times outlook.dat
2 behaveslike:trojan.downloader 176 times image.gif
3 tr/drop.delf.fd.1 84 times WINAMP~1.zip
4 backdoor.agobot.3.gen 83 times iexplore.exe
5 tr/spam.avafx 68 times vbsys.dll
6 backdoor.win32.agobot.gen 41 times fiz.exe
7 tr/dldr.inservice.i 40 times DOWNLOAD2.exe
8 win32:trojan-gen. {other} 38 times server2.exe
9 tr/dldr.small.uv.3 34 times s1p1y.exe
10 win32:trojan-gen. 26 times Access_Diver_Patch_Wordlist_Creator-_Hacker_Software_Crea_Claves_.rar
11 win32.p2p.spybot.gen 25 times dl.exe
12 behaveslike:win32.av-killer 25 times winshost.exe
13 backdoor.wootbot.gen 24 times Kopie van 1.exe.exe
14 win32.hllw.mybot.based 23 times winserva.exe
15 backdoor.agent.ec 23 times bmemjgbt.exe



und
Service load: 0% 100%

File: mqbckup1.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: FSG

AntiVir TR/Spy.Hawn.A.2 (0.15 seconds taken)
Avast Win32:Trojano-797 (1.51 seconds taken)
BitDefender Trojan.Clicker.Small.BR (0.31 seconds taken)
ClamAV Trojan.Clicker.Small-22 (0.33 seconds taken)
Dr.Web Trojan.Click.163 (0.49 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan-Clicker.Win32.Small.br (0.59 seconds taken)
mks_vir No viruses found (0.19 seconds taken)
NOD32 Win32/TrojanClicker.Small.BR (0.36 seconds taken)
Norman Virus Control No viruses found (0.51 seconds taken)

Statistics
Last piece of malware found was probably unknown NewHeur_PE in wuclient.exe, detected by:

Scanner Malware name Time taken
AntiVir Heuristic/Trojan.Downloader 0.14 seconds
Avast X 1.51 seconds
BitDefender Trojan.Downloader.Gen 0.31 seconds
ClamAV X 0.32 seconds
Dr.Web X 0.52 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.rn 0.61 seconds
mks_vir X 0.25 seconds
NOD32 probably unknown NewHeur_PE 0.37 seconds
Norman Virus Control X 1.37 seconds



Service statistics:

10854 files (7798 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
2277 of those 7798 files contained a virus or any other form of malware.
This page has been visited 24953 times in this time period.
This service managed to spot 133 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 1049 suspicious files without any help from scanner results.
However, 112 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 98.56% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.sdbot.gen 188 times outlook.dat
2 behaveslike:trojan.downloader 176 times image.gif
3 tr/drop.delf.fd.1 84 times WINAMP~1.zip
4 backdoor.agobot.3.gen 83 times iexplore.exe
5 tr/spam.avafx 68 times vbsys.dll
6 backdoor.win32.agobot.gen 41 times fiz.exe
7 tr/dldr.inservice.i 40 times DOWNLOAD2.exe
8 win32:trojan-gen. {other} 38 times server2.exe
9 tr/dldr.small.uv.3 34 times s1p1y.exe
10 win32:trojan-gen. 26 times Access_Diver_Patch_Wordlist_Creator-_Hacker_Software_Crea_Claves_.rar
11 win32.p2p.spybot.gen 25 times dl.exe
12 behaveslike:win32.av-killer 25 times winshost.exe
13 backdoor.wootbot.gen 24 times Kopie van 1.exe.exe
14 win32.hllw.mybot.based 23 times winserva.exe
15 backdoor.agent.ec 23 times bmemjgbt.exe



wenn ich die beiden dateien jetzt mit norton isoliere is es dann damit getan ?
oder was schlägst du vor ?
danke schonmal

Hi, hab ich mir gedacht.
Die beiden auf jeden fall mit HJT im abgesicherten Modus fixen. die Dateien dann manuell löschen.
Dann bitte neues Logfile posten.

Mach auf jeden Fall auch im abgesicherten Modus einen eScan (mwav.exe runterladen), beachte die Anleitung genauestens und poste das Ergebnis rein.
Bis dann.

hey sorry das ich mich erst jetzt wieder melde aber hab alles mögliche ausprobiert!
also hab die dateien im ab.modus gelöscht hab ihn dann wieder normal hochgefahren dann kam die virenmeldung aber wieder und auch noch eine dritte sfcr.exe
hab durch zufall grad nen thread hier gelesen wo drinsteht das man die systemwiederherstellung ausschalten muss versuch das ganze also nochma
mit escan hab ich auch gemacht aber was da raus kam hat mich doch echt geschockt!
angeblich hab ich 280 viren aufm pc ???
kann das denn sein oder läuft da irgendwas falsch
kann ich mir kaum vorstellen!
weil alle anderen progz finden ja nich so viele!
hab mir jetzt noch nen prog besorgt das werd ich ma im ab modus durchlaufen lassen und dann will ich ma hoffen das es dann so langsam ma klappt!
oder hat hier irgendjemand noch nen anderen vorschlag!
bitte helft mir!

Mach bei deaktivierter Systemwiederherstellung genau das, ws ich Dir unten gepostet hab.
Diese Version von eScan beseitigt auch Probleme. Ws dann noch über sein sollte, schauen wir extra an.
Und du kannst schon glauben, ws eScan gefunden hat.
Außerdem wäre das eScan Log nach einem jetzt erneuten scan sehr interessant.
Sieh unten.
cacatoa

so hab die dateien jetzt gelöscht und im norm. modus kommt auch keine virusmeldung mehr!
in der logfile taucht es auch nich mehr auf!
die ungewünschten seiten öffnen sich auch nich mehr!
werd jetzt nochma das ein oder andere prog durchlaufen lassen und hoffe das es damit getan is!
mit deinem escan klappt daS nich wenn ich das von deiner site runterlade
zeigt der immer an das die version zu alt is und ich es von einer anderen site runteladen soll
somit kann ich die fehler nich beheben die er findet!
dafür müsste ich das kaufen steht da
weiss nich wie ich das jetzt machen soll da das ja das einzige prog war das soooo viele viren gefunden hat!
naja
vielen dank für die super hilfe
hätte das nich ohne euch geschafft!

danke

Wenn es heißt, "runterladen", dann mach das in den Ordner C:\bases, wie in der Anleitung beschrieben, dort entpacken, updaten (kavupd.exe) und laufen lassen(mwavscan.com). Funktioniert auch bei den anderen, warum solte es bei Dir nicht gehen?

Hey
also hab es so gemacht wie du mir gesagt hast und siehe da es funkt
hab die nacht escan durchlaufen lassen und er hat alles gelöscht was zu löschen war! hoffe jetzt is endgültig ruhe!
ok vielen danke nochma
hoffe ich brauch so schnell nich wieder euren rat

danke

Na, das ist ja schön :aplaus:
Aber ein Abschluß-Logfile wäre doch auch noch was, oder?