Hallo Leute!

Ich bin mir ziemlich sicher, ich habe mir so einiges eingefangen! Hab schon so einiges versucht mit Ad-aware, Spybot - die haben auch immer etwas gefunden und entfernt, nur habe ich immer noch die selben Prozesse am Laufen und werde einfach nicht schlau daraus!
Vor allem läuft mein System um einiges langsamer und auch nicht mehr ganz so stabil, wie ich es gerne hätte!
Na ja, wie so oft ist guter Rat teuer - ich hoffe nur, ich muss nicht gleich das ganze System neu aufsetzen (die einzige Lsg die ich habe, deshalb poste ich hier)?! WENN SICH BITTE JEMAND MEIN LOG-FILE ANSEHEN KÖNNTE, WÄRE MIR ECHT EINE GROSSE HILFE - BESTEN DANK IM VORAUS!

Logfile of HijackThis v1.98.2
Scan saved at 23:06:28, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\ULI5289\JMAP5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\MSDE\Binn\sqlmangr.exe
C:\Programme\Toolbar\PIB.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSDE\binn\sqlservr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [JMAP5289] C:\Programme\ULI5289\JMAP5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [smss32win] C:\WINDOWS\system32\rundiscspool.exe
O4 - HKLM\..\Run: [rundatax] C:\WINDOWS\system32\service.exe %srun%
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\MSDE\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll

Zitat:

WENN SICH BITTE JEMAND MEIN LOG-FILE ANSEHEN KÖNNTE, WÄRE MIR ECHT EINE GROSSE HILFE - BESTEN DANK IM VORAUS!

Warum schreist du so?

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\system32\rundiscspool.exe
C:\WINDOWS\system32\service.exe %srun%

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben und poste die Virus Log Information von eScan AntiVirus.
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

muss sagen - dein Sprichwort trifft voll zu (was Zeit betrifft!)

so...
die online scans kamen zu keinem Ergebnis, sprich - keine Viren gefunden!

dann habe ich, wie beschrieben den e-scan durchgeführt:
Wed Dec 01 23:57:23 2004 => File C:\WINDOWS\system32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Wed Dec 01 23:57:51 2004 => File C:\WINDOWS\system32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Wed Dec 01 23:58:12 2004 => File C:\WINDOWS\system32\zippedsr.piz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:08:45 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Dec 02 00:08:45 2004 => File C:\Programme\AVPersonal\INFECTED\rundiscspool.VIR infected
Thu Dec 02 00:08:45 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\service.VIR
Thu Dec 02 00:08:45 2004 => File C:\Programme\AVPersonal\INFECTED\service.VIR infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:11:27 2004 => File C:\Programme\Gemeinsame Dateien\WinTools\WToolsS.exe infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:28:47 2004 => File C:\WINDOWS\system32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:29:18 2004 => File C:\WINDOWS\system32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:29:43 2004 => File C:\WINDOWS\system32\zippedsr.piz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:42:26 2004 => File C:\WINDOWS\system32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:42:45 2004 => File C:\WINDOWS\system32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.

42:14 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:42:13 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~974519.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~974056.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~952681.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~930413.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~926335.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~910558.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
....
OJE OJE!!!!
hoffe, ihr könnt mir helfen - weiss ja nicht einmal, was das bedeuted - mich beschleicht nur so ein Gefühl...
habe die komplette Datei noch angehängt (falls es funktioniert hat)

Du hast auf jeden Fal den Sober.I drauf.

Hier gibt es ein Removal Tool:
http://www.antivirus-online.de/germa...ol.php3?a=1214

Poste anschliessend noch mal einen HijackThis Log und nochmal einen Log von escan.
Setze das removal Tool bei deaktivierter System Wiederherstellung ein:

Rechtsklick auf Arbeitsplatz, dann Reiter Systemwiederherstellung wählen:

Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

danach Neustart-Systemwiederherstellung wieder aktivieren- und den neuen HJT LOG und den neuen scan Log posten

danke - habe ich gemacht - hat ein paar entfernt - hier das neue HijackThis log - der escan log folgt später!

Logfile of HijackThis v1.98.2
Scan saved at 09:23:39, on 02.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\ULI5289\JMAP5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\MSDE\Binn\sqlmangr.exe
C:\Programme\Toolbar\PIB.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSDE\binn\sqlservr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [JMAP5289] C:\Programme\ULI5289\JMAP5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\MSDE\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll

so das neue escan log

Thu Dec 02 13:17:14 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\TEMPOR~1\Content.IE5\5OLDF5DV\WinTS[1].cab infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: No Action Taken.

Thu Dec 02 13:15:00 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.
Thu Dec 02 13:15:02 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~321911.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~357039.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~367798.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~374144.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~374910.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~387556.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~390419.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~393084.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
...

so - zeitaufwändig ist das aber schon - oder mache ich etwas falsch?? aber gut, sicher immer noch besser, als gleich neu aufsetzen müssen!! Danke nochmal!!

Leere deinen Temp-Ordner + Temp. Internet Files-Ordner.

Lösche diese Ordner:
C:\PROGRA~1\GEMEIN~1\WinTools
C:\Programme\Toolbar

Poste anschl. neues HijackThis-Log.