Hallo!
Nun komme ich nicht mehr weiter. Bin ja eigentlich nur dumme Userin und habe schon mal ziemlich Schiss, an die Registry zu gehen. War so stolz, dass ich Purity.exe mit einem Tool wegbekommen habe. Aber trotz AntiVir und Ad-aware habe ich irgendwie noch mehr Probleme. AntiVir erkennt jetzt (aber leider nicht als er angeflogen kam!) RbotLD1. Und noch so einige cab-Dateien, die infiziert sind.
Anbei ist mein Hijackthis-file und nun bin ich ratlos. Bevor ich Unsinn verzapfe, wollt ich mal lieber fragen! Also: Tausend Dank für Eure Tipps!

Logfile of HijackThis v1.98.2
Scan saved at 20:22:04, on 29.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mqsvc.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\QuickTime\qttask.exe
C:\windows\system32\taskmgn.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\QuickTime\qttask.exe
C:\windows\system32\taskmgn.exe
C:\Programme\TrojanHunter 3.9\THGuard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\smro.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de

Bitte jetzt keine vernichtenden Urteile... DANKE

So leid es mir tut, aber wahrscheinlich wirst du dein System formatieren und neu aufsetzen müssen (aktive Backdoors)
Scanne deinen PC trotzdem vorher mit eScan im abgesicherten Modus und poste was gefunden wurde.

Ohhhh neiiiin!!!!
Das KANN ich nicht! Ich mach erstmal das andere... E-scan und so.
Die svchost.exe habe ich schon online bei Kaspersky oder wie der Knabe heißt, gescannt. Die ist sauber.
Die automatische Logfile-Auswertung habe ich auch. Habe aber Schiss, einfach so was zu "fixen", wie man so schön sagt.

Und das mit dem abgesicherten Modus *schluck* - das mache ich jetzt zum allerersten Mal. Wenn nachher alles Matsche ist, kenn ich jemanden, der mich neu formatiert

Lange Rede kurzer Sinn, nach dem E-Scan melde ich mich wieder, wenn's mich dann noch gibt...

Der eScan macht dir sicher nichts kaputt.

Zitat:

Die svchost.exe habe ich schon online bei Kaspersky oder wie der Knabe heißt, gescannt. Die ist sauber.

Um die gehts gar nicht.
Und formatieren kann jeder, wer es nicht kann lernt es!
Der abgesicherte Modus ist im Link erklärt, falls es nicht funktioniert die F8 Taste kurz nach dem Einschalten länger/mehrmals drücken.
mfg Haui

So Haui!
Bin wieder da, Adrenalinspiegel hoch. Ich habs geschafft.
Das ganze Log soll ich ja wohl nicht posten.

Also hier das Kurz-Ergebnis:

File C:\windows\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\kihdk.dll infected by "Trojan.Win32.StartPage.qv" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken.

is nich gut, oder?
Aber wo ist der Rbot, den AntiVir meldet?!

Kann ich das nicht alles wieder sauber machen???

Poste mal bitte aus der mwav.log (im Verzeichnis C:\bases) folgendes:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

dürfte ganz am Ende stehen.