Hallo,

leider leider habe ich jede Menge Trojanische Pferde und VIren auf meinem PC.
Nach HijackThis und escan von heute habe ich folgende infected Dateien gefunden.

Bitte um Hilfe, wie ich Malware etc. loswerde.
DANKE
Spiera

File C:\WINDOWS\ipdq32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\twink64.exe infected by "TrojanDownloader.Win32.Delf.cb" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\BULLSE~1\bin\bargains.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\WINDOW~4\WINADS~2.EXE infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\WIC422~1\WinCtlAd.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\DESKAD~1\DESKAD~2.EXE infected by "not-a-virus:AdWare.WinAD.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appde.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\appfo.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\angelex.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\zeta.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\redirect4.exe infected by "TrojanClicker.Win32.DotComToolBar.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bhosave.dat infected by "not-a-virus:AdWare.ToolBar.EliteBar.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bkmsf32.dat infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken
File C:\WINDOWS\system32\cd_htm.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl0.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl1.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul.exe infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Ta
File C:\WINDOWS\system32\exul1.exe infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\INTRON.EXE.VIR infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\javexulm.vxd infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mqexdlm.srg infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\WINGOV32.EXE.VIR infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.

Hallo,

lösche die Dateien im abgesicherten Modus entweder mit Hilfe von Killbox oder den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zur besagten Datei und lösche diese (markieren -> F8 -> JA).

Fixe auch dementsprechend die Einträge in HJT.

Hallo,

Habe die durch escan aufgefundenen infected Dateien gelöscht.
Im Total Commander konnte ich allerdings eine Datei nicht finden: c:/windows/ipdq32.dll. Diese ist beim wiederholten escan aber auch nicht mehr genannt worden.
Sicherheitseinstellungen wie hier im Board empfohlen verändert:
Mozilla statt ie, Benutzerkonten eingerichtet mit Passwort und einen nur für Internet, Ports gesperrt über ntsvcfg-Tool (danach funktionierte mein Router für dsl nicht mehr. deshalb habe ich die Einstellungen über ntsvcfg wieder rückgängig gemacht.) Virenprogramm heruntergeladen: AVG
Das erneute Durchsuchen mit AVG und Bitdefender hat leider weitere Malware entdeckt.
Hier jetzt das Ergebnis der Virensuche (1) und darunter mein erneutes Ergebnis von Hijackthis (2) und darunter das erneute Ergebnis von escan (3).

Reicht es, wenn ich die durch escan gefundene Datei noch im abges. Modus im Total Commander lösche? Wie soll ich mit den Dateien umgehen, die bitdefender mir meldet?
Bitte um Hilfe. Ich möchte die Dinger unbedingt heute loswerten

1. Ergebnis Virensuche Bitdefender
(überall Desinfizierung nicht durchgeführt, ob in Quarantäne verschoben oder nicht siehe Anmerkung am Ende pro Position)

C:\Documents and Settings\Simone Rams\Local Settings\Temp\2.tmp Infiziert Trojan.Hideprocs.B, Verschoben
C:\Documents and Settings\Thomas Spiegels\Local Settings\Temp\bb.exe=>(NSIS o)=>lzma_nsis0001 Infiziert Adware.NaviSrch.A, Verschieben fehlgeschlagen
C:\Documents and Settings\Thomas Spiegels\Local Settings\Temp\jkill.exe Infiziert Application.ProcKill.Jk, Verschoben
C:\Documents and Settings\Thomas Spiegels\Local Settings\Temp\powerscan.exe Infiziert Adware.PowerScan.B, Verschoben
C:\Documents and Settings\Thomas Spiegels\Local Settings\Temp\whenu.exe Infiziert Trojan.Adware.Whenu.B, Verschoben
C:\msinfo.exe Infiziert Trojan.Downloader.Agent.EQ, Verschoben
C:\Program Files\Internet Explorer\gjuwevmd.exe Infiziert Trojan.Downloader.Agent.EQ, Verschoben
C:\Program Files\Internet Explorer\kpa.exe Infiziert Trojan.Downloader.Agent.E Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc275.cab=>WinadX.dll=>(Upx) Infiziert Trojan.Downloader.Winupdt.A

C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc413.VIR=>(ASPack 2.12) Infiziert Trojan.Downloader.Agent.AF, Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc414.001 Infiziert Adware.1088, Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc415.VIR Infiziert Adware.1088Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc416.exe=>(NSIS o)=>zlib_nsis0001 Infiziert Application.ProcKill.Jk, Verschieben fehlgeschlagen
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc417.exe Infiziert Trojan.SecondThought.L, Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc459.exe Infiziert Adware.PowerScan.B Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc475.exe Infiziert Adware.Ncase.D Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc479.dll Infiziert Adware.1088Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc480\EliteToolBar version 53.dll Infiziert Adware.Clicker.BA Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc86.exe Infiziert Trojan.SecondThought.L Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc88.EXE Infiziert Trojan.Downloader.VB.RevopVerschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-1004\Dc98\Sync.exe Infiziert Trojan.Adware.Whenu.B Verschoben
C:\RECYCLER\S-1-5-21-1645522239-842925246-854245398-500\Dc3.exe=>(Upx) Infiziert Adware.WinADVerschoben
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\open.exe Infiziert Trojan.Downloader.Agent.EQ Verschoben
C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx Infiziert Adware.MediaT.A Verschoben
C:\WINDOWS\Downloaded Program Files\open.exe Infiziert Trojan.Downloader.Agent.EQ Verschoben
C:\WINDOWS\Downloaded Program Files\SyncroAdX.dll Infiziert Adware.Wupd Verschoben

2) Hijackthis:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temporary Directory 1 for hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {BE1F0E63-6C92-5B58-E590-B7958EE995B7} - C:\WINDOWS\apiwm32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [appde.exe] C:\WINDOWS\appde.exe
O4 - HKLM\..\RunOnce: [appfo.exe] C:\WINDOWS\system32\appfo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: v2cab - http://9892.searchmiracle.com/cab/v2cab.cab
O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\gjuwevmd.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...37c6314a45eb37
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {683ADB84-7169-2D31-84D8-3EAC1379B20A} - http://69.50.188.54/1/gdnDE208.exe
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess...ss_special.ocx
O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Program Files\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\winjb.exe (file missing)

Zusatz:

1) Mir ist gerade etwas aufgefallen: Unter c:/program files habe ich einen Ordner BullsEye Network. War das nicht gerade eine malware? Ich habe zwar die exe bargain im total commander gelöscht. soll ich hier noch #uninstall ausführen?

2. Ergebnis escan (nicht im abges. Modus)
File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.

Gruß spiera

Lösche alle gemeldeten Funde von Bitdefender und fixe diese Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sbgbs.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {BE1F0E63-6C92-5B58-E590-B7958EE995B7} - C:\WINDOWS\apiwm32.dll
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [appde.exe] C:\WINDOWS\appde.exe
O4 - HKLM\..\RunOnce: [appfo.exe] C:\WINDOWS\system32\appfo.exe
O15 - Trusted IP range: 206.161.124.130 (HKLM)
Alle O16
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\winjb.exe (file missing)

Zusätzlich diese Ordner und Dateien löschen:
Ordner C:\Program Files\BullsEye Network
Ordner C:\Program Files\Windows AdService
Ordner C:\Program Files\Windows ControlAd
Ordner C:\Program Files\DeskAd Service
C:\WINDOWS\system32\sbgbs.dll
C:\WINDOWS\apiwm32.dll
C:\WINDOWS\appde.exe
C:\WINDOWS\system32\appfo.exe

Poste anschliessend ein neues HJT Log-File aus dem "normalen Modus".

Hallo, habe das gemacht.
Allerdings waren beim Ergebnis HijackThis vor dem Reparieren nicht mehr alle Einträge von 10:39 da... Habe die vorhandenen gefixt.

Neuer Report:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\T-DSL SpeedManager\tsmsvc.exe
C:\DOCUME~1\SIMONE~1\LOCALS~1\Temp\Temporary Directory 1 for hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &RSDN Search - res://c:\toolbar_nieuw13.dll/GoRSDN.dll.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 67.19.185.246
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Program Files\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe


Ist das so in Ordnung?

Fixe diese Einträge noch:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
O8 - Extra context menu item: &RSDN Search - res://c:\toolbar_nieuw13.dll/GoRSDN.dll.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 67.19.185.246

Führe danach dies aus:
http://www.trojaner-board.de/showpos...6&postcount=31

Zur Sicherheit kannst du nochmals mit eScan AntiVirus scannen und danach diese Punkte abarbeiten:

- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Escan hat noch immer folgenden Eintrag gefunden:

c:/Windows/system32/instsrv.exe
Was tun?

@ Spiera

HerrKautz hatte mich aufmerksam gemacht, dass ich diese Malware übersehen habe.

Zitat:

File C:\WINDOWS\system32\appfo.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Aufgrund dessen solltest du dein System zur deiner eigenen Sicherheit neu aufsetzen, da dies nicht mehr vertrauenswürdig ist, siehe den Link in meiner Signatur.

Info zu Backdoor.Win32.Small -> http://www.sophos.de/virusinfo/analy...ojsmallas.html

Hm. bitter, bitter.

Ich werde mir wohl ein freies Wochenende im Februar dazu aussuchen.
Hoffe, das ich einigermaßen klarkomme.

Vielen Dank erstmal für die Hilfe- habe inzwischen viel gelernt...
Einen schönen Abend noch
spiera

Hi Cidre,

schon wieder was gelernt. Danke für den tollen Tipp ... auf diese Weise ersparst Du mir viel Arbeit.

Shadowdance