Hallo Leute!

Ich bin absolut verzweifelt, ich habe einen Hijacker, der einfach nicht wegzubekommen ist.

Ich habe es probiert mit:

Adware Away
Ad-Aware
S&D
CW Shredder
Spy Subtract
Hijackthis
Antivir Profesionell

ich bekomme ihn aber immer nur für ein paar sekunden weg, danach ist er wieder da, ich hab mir auch schon angeguckt, was windows beim Systemstart mitstartet, ist aber auch nichts auffälliges dabei.

Vielleicht wird das ganze an der HijackThis log deutlich

Logfile of HijackThis v1.98.2
Scan saved at 17:07:58, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addkf32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\addiv32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis_198\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {BA94C7FC-6F23-61AD-837C-91262653369E} - C:\WINDOWS\netmy32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: *.frame.crazywinnings.com



so und...
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {AA17060B-41AF-88EC-D24D-13F4FB9C2034} - C:\WINDOWS\d3uy.dll
O2 - BHO: (no name) - {BA94C7FC-6F23-61AD-837C-91262653369E} - C:\WINDOWS\netmy32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
...sind nicht wegzukriegen, weder im normalen Windows noch im abgesicherten Modus.

Hoffe Ihr könnt mir helfen!

Vor allem anderen muss du erst mal dein System auf den aktuellen Stand bringen:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Besuche Windowsupdate und installiere ALLE empfohlenen Updates, am besten gleich Service Pack 2.

C:\WINDOWS\netmy32.dll
C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\addkf32.exe

mal hier testen: http://virusscan.jotti.org/de

Deaaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

starte in den abgesicherten Modus und fixe (außer, die Überprüfung ergibt, dass die Dateien KEINE Schädlinge sind, was ich aber nicht glaube):

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {BA94C7FC-6F23-61AD-837C-91262653369E} - C:\WINDOWS\netmy32.dll
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O15 - Trusted Zone: *.frame.crazywinnings.com

Boote in den normalen Modus, aktiviere die Systemwiederherstellung und poste ein neues Log.

hi

absicht??

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis_198\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
         

wenn nicht, einen explorer mit dem taskmanager beenden, nachsehen, ob wieder ein neuer prozess startet, der wiederum in einen iexplore.exe endet

ok, hab alles versucht, aber es lässt sich nichts machen...

C:\WINDOWS\netmy32.dll
C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\addkf32.exe

obwohl alle dateien angezeigt werden, lässt sich nichts machen, auch im abgesicherten modus existieren die dateien garnicht.....sehr merkwürdig

hier die neue HijackThis datei....owbohl alles im abgesicherten modus entfernt, kommt es sogar im abgesicherten modus sofort wieder, ich verstehs einfach nicht:

Logfile of HijackThis v1.98.2
Scan saved at 18:13:11, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addkf32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {B3D73358-31BE-E57F-D1C6-0062ECF101F4} - C:\WINDOWS\sysre32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: *.frame.crazywinnings.com


s&d meldet z.b.:

coolwwsearch.bootconf
coolwwsearch.loadbat
coolwwsearch.msconfd
coolwwsearch.oslogo
coolwwsearch.xmlmimefilter
dso.exploit
common hijacker
igetnet

adaware meldet die 3 teile die hijakcthis unter 01 stellt


aber keines der programme kann die teiel entfernen , es ist einfahc nicht möglich, nichtmals im abgesicherten modus....

das ist schrecklich

Service Pack 2 kann ich leider nicht installieren, da dann eine Software, die ich zum Arbeiten brauche nicht mehr läuft.

hab festgestellt, dass die datei addiv32.dll immer beim systemstart mitgeladen wird und habe das deaktiviert....tja, dann ist beim nächsten neustart ein neuer eintrag damit vorhanden.... ich bekomme das nicht raus, das ist unglaublich

Du sollst die drei von MountainKing genannten Dateien bei Jotti (das ist der Link, den er dir geschrieben hat) online scannen, und dann das Ergebnis hier rein posten.
(Unter Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier: das Häkchen wegmachen bei "geschützte Systemdateien ausblenden".
Dann nochmal versuchen. Die Dateien sind da.) Wahrscheinlich ist nur ein Haken bei "alle Dateien anzeigen" da.

netmy32.dll konnte ich ohne probleme löschen, hat antivirus auch als trojaner erkannt....die beiden anderen lassen sich nicht löschen: hier die ergebnisse:



Service load: 0% 100%

File: addkf32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.37 seconds taken)
ClamAV No viruses found (0.33 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq (0.62 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (0.46 seconds taken)


Service load: 0% 100%

File: addiv32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.41 seconds taken)
ClamAV Trojan.Downloader.Agent-23 (0.34 seconds taken)
Dr.Web Trojan.DownLoader.1077 (0.50 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.ap (0.62 seconds taken)
mks_vir Trojan.Downloader.Agent.Ap (0.20 seconds taken)
NOD32 No viruses found (0.46 seconds taken)
Norman Virus Control No viruses found (1.77 seconds taken)

Zitat:

die beiden anderen lassen sich nicht löschen

Woran liegts (Zugriff verweigert usw.)?

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {B3D73358-31BE-E57F-D1C6-0062ECF101F4} - C:\WINDOWS\sysre32.dll
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O15 - Trusted Zone: *.frame.crazywinnings.com

Lösche diese Dateien (Notfalls: HJT öffnen -> Config -> Misc Tools -> Delete a File on reboot -> navigiere zur betroffenen Datei -> Öffnen -> nächste Frage mit JA beantworten.):

C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\system32\pwigg.dll
C:\WINDOWS\sysre32.dll
addkf32.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

ok, hab ich alles gemacht.... hab mit escan insgesamt 68 viren&co gelöscht.

d.h. es funktioniert fast alles wieder, 2 probleme bestehen aber noch:

addiv32.exe kommt immer wieder, egal wie oft ich es lösche, sogar wen ich es mit hjt beim reboot löschen lasse

und die o1 einträge in hjt lassen sich auch nicht löschen:

Logfile of HijackThis v1.98.2
Scan saved at 20:55:25, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Downloads\hijackthis_198\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm


es läuft ja nahezu nichts im hintergrund, von daher glaube ich, dass sich dieses 01 hosts einträge irgendwo im system verankert haben müssen.... sie sind immer sofort wieder da

Poste nochmal ein aktuelles Log-File aus dem "normalen Modus".

Logfile of HijackThis v1.98.2
Scan saved at 21:11:45, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Downloads\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oeqnc.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oeqnc.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oeqnc.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: *.frame.crazywinnings.com

Poste jetzt die Virus log Information von eScan:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben #-> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

#Nochmals nach tagged durchsuchen

Sun Nov 28 20:03:14 2004 => File C:\WINDOWS\apimi32.dll infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:14 2004 => Scanning File C:\WINDOWS\apios32.dll
Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\apios32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:15 2004 => Scanning File C:\WINDOWS\apiuv.exe
Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\apiuv.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:15 2004 => Scanning File C:\WINDOWS\appje32.exe
Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\appje32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:15 2004 => Scanning File C:\WINDOWS\appjr32.dll
Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\appjr32.dll infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:15 2004 => Scanning File C:\WINDOWS\atlpy32.exe
Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\atlpy32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:15 2004 => Scanning File C:\WINDOWS\bgrei.dll
Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\bgrei.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:15 2004 => File C:\WINDOWS\cjrev.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:16 2004 => File C:\WINDOWS\d3dw.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:16 2004 => Scanning File C:\WINDOWS\d3iv.exe
Sun Nov 28 20:03:16 2004 => File C:\WINDOWS\d3iv.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:16 2004 => Scanning File C:\WINDOWS\d3uy.dll
Sun Nov 28 20:03:16 2004 => File C:\WINDOWS\d3uy.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:16 2004 => File C:\WINDOWS\ieak32.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:16 2004 => Scanning File C:\WINDOWS\Iedit.INI
Sun Nov 28 20:03:16 2004 => Scanning File C:\WINDOWS\iemq.dll
Sun Nov 28 20:03:17 2004 => File C:\WINDOWS\iemq.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:17 2004 => File C:\WINDOWS\kbecv.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Take

Sun Nov 28 20:03:18 2004 => File C:\WINDOWS\Rwlw.exe infected by "Backdoor.Win32.Agent.bg" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:19 2004 => File C:\WINDOWS\sdkhh.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:19 2004 => File C:\WINDOWS\syssc32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:20 2004 => File C:\WINDOWS\VT00.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:20 2004 => File C:\WINDOWS\winek32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:20 2004 => File C:\WINDOWS\Wlro.exe infected by "Backdoor.Win32.Agent.bg" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:22 2004 => File C:\WINDOWS\System32\ahxhd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:22 2004 => File C:\WINDOWS\System32\akrules.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:22 2004 => File C:\WINDOWS\System32\akupd.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:22 2004 => File C:\WINDOWS\System32\appct32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:22 2004 => File C:\WINDOWS\System32\appyo.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:22 2004 => File C:\WINDOWS\System32\appyz.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:24 2004 => File C:\WINDOWS\System32\bhudh.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:25 2004 => File C:\WINDOWS\System32\brxhs.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:32 2004 => File C:\WINDOWS\System32\d3up32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

gleich kommt teil2

Sun Nov 28 20:03:41 2004 => File C:\WINDOWS\System32\gdvbk.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:41 2004 => File C:\WINDOWS\System32\gopyy.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:03:54 2004 => File C:\WINDOWS\System32\mfche.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:06 2004 => File C:\WINDOWS\System32\ntmsdba.exe infected by "TrojanDownloader.Win32.Small.us" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:07 2004 => File C:\WINDOWS\System32\ntzi.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:12 2004 => File C:\WINDOWS\System32\oeqnc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:21 2004 => File C:\WINDOWS\System32\sdkck.dll infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:21 2004 => File C:\WINDOWS\System32\sdkxv32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:26 2004 => File C:\WINDOWS\System32\sycde.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:26 2004 => File C:\WINDOWS\System32\sysmq.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:31 2004 => File C:\WINDOWS\System32\vbsys.dll_old infected by "TrojanClicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:34 2004 => File C:\WINDOWS\System32\winrulesak.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.

Sun Nov 28 20:04:34 2004 => File C:\WINDOWS\System32\winupdak.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.

so, fertig

jetzt noch tagged:

Sun Nov 28 20:44:55 2004 => File C:\WINDOWS\Temp\WToolsB.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.

Sun Nov 28 20:44:55 2004 => File C:\WINDOWS\Temp\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Sun Nov 28 20:44:55 2004 => File C:\WINDOWS\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.

Sun Nov 28 20:38:24 2004 => File C:\WINDOWS\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

Sun Nov 28 20:36:34 2004 => File C:\RECYCLER\S-1-5-21-682003330-1390067357-839522115-1003\Dc24\disp1150.exe tagged as not-a-virus:AdWare.WebRebates.c. No Action Taken.

das wars.