Hilfe bei Trojaner/Hijack-Log

nordlicht

Moin Moin,

nachdem Antvir mir plötzlich verschiedene Trojaner meldet und ich diese nicht mit Hilfe von Virandatenbanken eindeutig identifizieren kann um sie zu entfernen bitte ich um Eure Hilfe.


Logfile of HijackThis v1.99.0
Scan saved at 20:59:35, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\michael\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\winapps\tools\AdobeReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A0832E93-9AEE-40B0-84F8-B3AAB5E9ED8F} - C:\WINDOWS\system32\mcicdb.dll (file missing)
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\winapps\tools\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\winapps\tools\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\winapps\tools\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\winapps\tools\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\winapps\tools\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\winapps\tools\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\winapps\BRO~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{C775359B-F2D6-4293-B1E9-1EDB61E362A9}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\winapps\tools\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\winapps\tools\AntiVir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe


Einiges davon kommt mir sehr suspekt vor, aber bevor ich hier wichtige Dinge lösche.
Die Systemwiederherstellung ist deaktiviert, muss Hijack grundsätzlich im abgesicherten Modus laufen?

Danke.