moin,
ich komm nicht auf die hijackthis.de Seite. Kann also keine Onlineauswertung machen. Könnte mir bitte einer meine logfile auswerten? Ich versteh da gar nix.
Versuche schon die ganze Nacht diese Viren unter Kontrolle zu bekommen.
Danke!


Logfile of HijackThis v1.99.0
Scan saved at 04:37:53, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\basti\Desktop\hijackthis199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://targetsearch.info/left.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
F3 - REG:win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\MyIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.toysrus.de/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104805283062
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {95E5A0FC-6CFB-4EB6-B649-7A9AA877A7A9} (Pcksloader Control) - http://www.pckindersicherung.de/pcks/pcks.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C7C2CB1-72F2-4924-B6D0-6FD8C0D8FA65}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Kann momentan auch nix mehr runterladen..werde beim klicken auf Links zum downloaden von Tools automatisch zu dieser bettersearch Seite weitergeleitet.
Bitte helft mir!

Habe die Systemwiederherstellung abgeschaltet und alle von Antivir gefundenen Viren manuell gelöscht...trotzdem ist noch was drauf.
hier noch mein Antivir Suchergebnis:

04.01.2005,01:26:24 [WARNUNG] Enthält Signatur des HTML-Scriptvirus HTML/Redir.A!
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\1BHP1K6F\EXPLOIT[1].HTM
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:26:50 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Psyme.V!
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\QUZ9T7LD\EXPLOIT[1].CHM
04.01.2005,01:26:57 [WARNUNG] Ist das Trojanische Pferd TR/Zerolin.VBS!
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLYI5XGM\2DIMENSIONOFEXPLOITSENC[2].HTA
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:27:02 [WARNUNG] Ist das Trojanische Pferd TR/Zerolin.VBS!
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\QUZ9T7LD\2DIMENSIONOFEXPLOITSENC[1].HTA
04.01.2005,01:27:06 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.BV.1!
C:\WINDOWS\SYSTEM32\SERVICES\TMP.DLL
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:27:04 [WARNUNG] Ist das Trojanische Pferd TR/Small.AR.1.C!
C:\X.EXE
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:27:17 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.IstBar.GS!
C:\WINDOWS\SYSTEM32\SERVICES\EEEW3DE.EXE
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:26:55 [WARNUNG] Ist das Trojanische Pferd TR/Zerolin.VBS!
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLYI5XGM\2DIMENSIONOFEXPLOITSENC[1].HTA
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
04.01.2005,01:27:23 [WARNUNG] Ist das Trojanische Pferd TR/Favadd.C!
C:\WINDOWS\SYSTEM32\SERVICES\DEF.EXE
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:41:37 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.1!
C:\WINDOWS\SYSTEM32\SERVICES\SEW.EXE
[INFO] Die Datei wurde gelöscht!
04.01.2005,01:57:55 [INFO] Stop Filter Device.
04.01.2005,01:57:56 [EXIT] Der AVGuard Dienst wurde beendet!
04.01.2005,01:58:31 ---------------------------------------------------------
04.01.2005,01:58:31 [INIT] Der AVGuard Service wird gestarted.
04.01.2005,01:58:32 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
04.01.2005,01:58:33 [INFO] Start Filter Device.
04.01.2005,01:58:33 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.5 VDF Version: 6.29.0.45
04.01.2005,01:58:33 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
04.01.2005,01:58:42 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
04.01.2005,01:58:42 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaac3a0.
04.01.2005,02:28:57 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.BV.1!
C:\WINDOWS\SYSTEM32\SERVICES\TMP.DLL
[INFO] Die Datei wurde gelöscht!
04.01.2005,02:41:35 [INFO] Stop Filter Device.
04.01.2005,02:41:36 [EXIT] Der AVGuard Dienst wurde beendet!
04.01.2005,02:42:24 ---------------------------------------------------------
04.01.2005,02:42:24 [INIT] Der AVGuard Service wird gestarted.
04.01.2005,02:42:25 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
04.01.2005,02:42:26 [INFO] Start Filter Device.
04.01.2005,02:42:26 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.5 VDF Version: 6.29.0.45
04.01.2005,02:42:26 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
04.01.2005,02:42:34 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
04.01.2005,02:42:34 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaad0a8.
04.01.2005,03:06:20 [INFO] Stop Filter Device.
04.01.2005,03:06:21 [EXIT] Der AVGuard Dienst wurde beendet!
04.01.2005,03:06:56 ---------------------------------------------------------
04.01.2005,03:06:56 [INIT] Der AVGuard Service wird gestarted.
04.01.2005,03:06:56 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
04.01.2005,03:06:57 [INFO] Start Filter Device.
04.01.2005,03:06:57 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.5 VDF Version: 6.29.0.45
04.01.2005,03:06:57 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
04.01.2005,03:07:16 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
04.01.2005,03:07:16 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa3b3b.
04.01.2005,03:11:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.1!
C:\WINDOWS\SYSTEM32\SERVICES\SEW.EXE
[INFO] Die Datei wurde gelöscht!
04.01.2005,03:27:27 [INFO] Stop Filter Device.
04.01.2005,03:27:27 [EXIT] Der AVGuard Dienst wurde beendet!
04.01.2005,03:28:00 ---------------------------------------------------------
04.01.2005,03:28:00 [INIT] Der AVGuard Service wird gestarted.
04.01.2005,03:28:00 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
04.01.2005,03:28:02 [INFO] Start Filter Device.
04.01.2005,03:28:02 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.5 VDF Version: 6.29.0.45
04.01.2005,03:28:02 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
04.01.2005,03:28:14 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
04.01.2005,03:28:14 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaadb1f.
04.01.2005,03:42:28 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.1!
C:\WINDOWS\SYSTEM32\SERVICES\SEW.EXE
[INFO] Die Datei wurde gelöscht!
04.01.2005,03:41:16 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.1!
C:\WINDOWS\SYSTEM32\SERVICES\SEW.EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000002 - Das System kann die angegebene Datei nicht finden.
04.01.2005,03:42:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.1!
C:\WINDOWS\SYSTEM32\SERVICES\SEW.EXE
04.01.2005,04:00:34 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.BV.1!
C:\WINDOWS\SYSTEM32\SERVICES\TMP.DLL
04.01.2005,05:10:02 [WARNUNG] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml!
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KLYI5XGM\BEITRAG2271[1].HTM
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

wieso komm ich beim Surfen zwischendurch immer wieder auf diese coolsearch Seite? Muss doch jemand wissen. Bin am Verzweifeln hier.

bekomme jetzt beim neustart die fehlermeldung das in C:/windows/system32/sevices/wmplayer.exe fehlt. Müsste doch der win mediaplayer sein? der geht aber....und die datei wird von hijack auch angezeigt..
was hat das zu bedeuten?

Nein, das ist nicht der Mediaplayer, sondern ein sehr gefährlicher Backdoor:

http://www.sophos.de/virusinfo/analy...2agobotbm.html

Da der offensichtlich aktiv war/ist, wäre die logische Konsequenz eine Neuinstallation:

http://board.protecus.de/showtopic.p...me=1097944155&

Ansonsten kannst du nochmal E-Scan wie angeschrieben verwenden und aus dem Log die "infected"-Einträge kopieren und ein aktuelles Log einstellen:

http://www.trojaner-board.de/42731-escan-anleitung.html


Aber wie gesagt, am besten du machst alles neu und veränderst dann deine Surfgewohnheiten, verwendest einen anderen Browser und konfigurierst deine Software anders. Weitere Tips dazu:

http://www.mathematik.uni-marburg.de...ompromise.html

sieht grade so aus als hätte ichs doch geschaft. hab jede einzelne datei bei kaspersky durchlaufen lassen, hab zwei befallene daten gefunden die HijackThis gefunden hat. jetzt kommt auch die wmplayer meldung nich mehr und alles scheint zu laufen....kein link wird mehr in bettersearch umgewandelt. selbst links die hier gepostet werden hab ich nur als bettersearch gesehen vor 5 minuten noch. hijackthis.de erreich ich auch wieder.
hatte eigentlich seit zwei jahren keinen virus und dachte ich wäre ganz gut geschützt bis heute.
hab noch eine frage. kann ich denn ein antispy prog wie spysubtract prallel zu antivir laufen lassen ohne dass die sich in die quere kommen? oder gar diese MWAV exe?
vielen dank für die hilfe

hier noch die liste der beanstandeten dateien:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de/ Böse
Böse Einträge mit solchen Seiten, sollten immer gefixt werden. Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://targetsearch.info/left.php Böse
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\MyIE.dll Böse
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([CBEFB350-ED5B-4115-B846-C1041676B388] - Treffer: CBEFB350-ED5B-4115-B846-C1041676B388) wurde überprüft. Trefferquote: 99 % Unbedingt fixen!
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll Gut
Gut Der Eintrag Real.com wurde als Gut erkannt. Wenn der Eintrag 'Real.com ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O14 - IERESET.INF: START_PAGE_URL=http://www.toysrus.de/ Eventuell Böse
Eventuell Böse Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden. Wenn 'http://www.toysrus.de/' nicht ihr Internetanbieter oder Computerhersteller ist, sollte es gefixt werden.
http://216.249.24.142/code/PWActiveXImgCtl.CAB Böse
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
http://www.pckindersicherung.de/pcks/pcks.cab Eventuell Böse
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C7C2CB1-72F2-4924-B6D0-6FD8C0D8FA65}: NameServer = 192.168.1.1 Gut
Gut Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Die Eingegebene IP oder Domäne '192.168.1.1' wurde als gut identifiziert.

Es ist möglich, dass du die Viren losgeworden bist, aber nicht sicher. Sobald die Möglichkeit bestand, dass jemand von Außen deinen Rechner manipuliert, ist es mit normalen Mitteln nicht definitiv festzustellen, was gemacht wurde. Es kann sein, dass sich jetzt weitere Schädlinge auf deinem Rechner befinden, die mit den Tools und Scannern nicht ohne weiteres entdeckt werden, auch letztere können manipuliert sein. Daher ist in einem solchen Fall die Neuinstallation, das einzig sichere Mittel zur Wiederherstellung eines wirklich vertrauenswürdigen Systems.
Du kannst zumindest mal noch E-Scan laufen lassen:

http://www.trojaner-board.de/42731-escan-anleitung.html