So Hallo erst mal, ich möchte gleich zu anfang betonen dass ich es
1. Genial finde wie ihr euch in diesem Forum helft
2. Hoffe dass ihr auch mir helfen könnt
und 3. Nach möglichkeit alles so leicht wie möglich erklärt.

Also Ich habe seit neustem (warum auch immer) auf meinem Desktop folgende nicht zu löschende Symbole
Travel
Pöker
CardGames
PrintCatridges
CasinoOnline
Bingo
WebsiteHosting

Zudem hat IE die Satrtseite Searchweb2 und eine Toolbar am unteren Rand mit Link zu Searchweb2 und Symbolen mit Bezeichnungen für MakeMoney und das übliche eben.

Ich habe bereits folgend Programme eingesetzt:
HiJackthis
Spybot-Search & Destroy
AntiVir
RegClean

Nachdem ich Spybot habe laufen lassen erscheint nun alle 20 Sekunden eine Spybot Meldung mit folgendem Inhal:

SPYBOT - Search & Destroy hat festgestellt, daß ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.
Kategorie: Browser page
Änderung: Wert changed

Eintrag: Search Bar

Alte Daten: http://www.nxyvygiuxhmbfh.com/hT1II2jBRY
Neue Daten: http://www.asunjqlpyczoleospbggy.net/hT1II

Wobei die URL der Neuen Dateien jedesmal anders ist...
Bisher habe ich immer verweigert (Hoffe das war richtig) Aber es stört mich und ich denke dass irgendetwas anderes das Problem ist.

Ich habe auch schon Die OnlineHilfe von HijackThis benutzt und weiss nicht so ganz wie ich das fixen und manuell löschen machen soll denn will ich den Ordner löschen so erhalte ich folgende Meldung:
WinAtServ kann nicht gelöscht werden: Zugriff wurde verweigert.
Stellen sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwebdet wird.

So ich gebe euch noch die LogFile von Hijack... Jetzt hab ich wirklich viel geschriebe aber dachte je genauer desto besser. Wenn ihr mir helfen könntet wäre ich euch sehr dankbar.

Logfile of HijackThis v1.99.0
Scan saved at 00:06:27, on 31.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Sicherheit\AntiVir\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Sicherheit\AntiVir\AVGNT.EXE
C:\Program Files\Windows ServeAd\WinServAd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\CNYHKey.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ntvdm.exe
c:\progra~1\intern~1\iexplore.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\OrDog\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nxyvygiuxhmbfh.com/hT1Il2...9q83ngrfRL.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Sicherheit\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Plan htm] C:\DOKUME~1\OrDog\ANWEND~1\README~1\FIRST MULTI CORN.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: USB Tastatur Kontrollfeld.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C28582C3-FD0C-4CAC-ADCB-B300F10A1E1D}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Sicherheit\AntiVir\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

CYA OrDog

Hallo OrDog,

bitte überprüfe Dein System mit dem eScan im abgesicherten Modus, wie im Link beschrieben. Lass uns dann wissen, wieviele Viren welchen Namens sich auf Deinem System befinden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD