hi zusammen,

meine kiste ist super lahm, kann nur noch im abgesicherten modus arbeiten, habe ständig blank/Homepage im IE, auf meinem desktop ist ein großes schwarze window mit text über virenbekämpfung das ich nicht schliessen kann.....bitte, vielleicht kann mir jemand helfen, habe schon escan gekauft und laufen lassen, aber hat nichts gefunden. mein taskmanager kann ich auch nicht aufrufen weil die meldung kommt: wurde durch den administrator deaktiviert! muß ich dann extra über ausführen-> regedit manuell umtragen usw.

hier mein logfile von highjackthis:

Logfile of HijackThis v1.99.0
Scan saved at 11:53:45, on 22.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\kernels32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WebSiteViewer\125209.dlr
C:\UTIL\WinZip\winzip32.exe
C:\DOKUME~1\Sven\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Sven\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Sven\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Sven\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Sven\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Sven\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Sven\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F669637A-1D28-481D-A899-FCBA6200A8CB} - C:\WINDOWS\System32\phnn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] "E:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O18 - Filter: text/html - {E50CB240-210D-4127-942B-4E1576A2FDC3} - C:\WINDOWS\System32\phnn.dll
O18 - Filter: text/plain - {E50CB240-210D-4127-942B-4E1576A2FDC3} - C:\WINDOWS\System32\phnn.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: LicCtrl Service - Unknown - C:\WINDOWS\runservice.exe
O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - E:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Ray3xsi3_5 Server - Unknown - E:\Softimage\XSI_3.5\Application\bin\ray3xsi3_5server.exe
O23 - Service: RaySatxsi4_0 Server - Unknown - E:\Softimage\XSI_4.0\Application\bin\raysatxsi4_0server.exe
O23 - Service: RaySatxsi4_2 Server - Unknown - E:\Softimage\XSI_4.2\Application\bin\raysatxsi4_2server.exe
O23 - Service: Ray Server - Unknown - E:\softimage\SOFT3D_3.7SP1\mental_ray\bin\rayserver.exe
O23 - Service: SPM License Server - mental images GmbH & Co. KG - C:\WINDOWS\System32\spm\spmd.exe


gibts da noch ne rettung?????? ich will nicht mein ganzes system neu aufspielen müssen

danke für eure hilfe.

Hallo dean
es ist kein Wunder, denn

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

dein System ist nicht Uptodate.

Zitat:

C:\WINDOWS\System32\kernels32.exe

http://www.sophos.de/virusinfo/analy...dloaderfs.html

Zitat:

ich will nicht mein ganzes system neu aufspielen müssen

Musst du wohl. Hier lesen: http://faq.underflow.de/

also neu aufsetzen

woher weißt du eigentlich das es dieser Trojaner ist und warum findet escan da nichts?

Zitat:

also neu aufsetzen

Ja.

Zitat:

woher weißt du eigentlich das es dieser Trojaner ist

Meinen Link hast schon, oder? Dazu noch: www.google.de, http://computercops.biz/startuplist-6831.html

Zitat:

warum findet escan da nichts?

Ein AV-Programm kann sich irren. Checke die Datei noch von http://www.kaspersky.com/de/remoteviruschk.html. Die Tatsache wird aber nicht geändert.

Zitat:

Wenn ein System kompromittiert wurde, sollte man genau wissen wie man zu verfahren hat, um den Schaden einzudämmen. Virenscanner bieten zwar als einfache Lösung an, das System zu ,,säubern``, dies kann aber nicht erfolgreich sein, da ein Angreifer (Virus / Wurm / Dialer / Cracker etc.) längst beliebige Systemdateien ersetzt haben könnte (und vermutlich auch hat) und sich so im System festgesetzt hat. Solch einer Reinigung durch einen Virenscanner kann man nur dann vertrauen, wenn man Prüfsummen aller (System-)Dateien hat und diese auch von einem Nachweisbar sauberen Datenträger aus verifizieren kann. Dies ist jedoch sehr selten der Fall, da ein solches Verfahren auf einem Desktop-System kaum zu realisieren ist.

Gelesen?!

Mach das was Rene-gad geschreiben hat,zudem hat sich dein System doch eh schonmal wegen einer Fehlermeldung verabschiedet,oder nicht,...man sieht es eben manchmal an den Prozessen,da muss man escan nichtmal laufen lassen,vor allem wenn man escan verwendet,sollte man es auch richtig machen....

ok, vielen dank für eure hilfe, dann werde ich mich mal daran machen mein system neu aufzusetzen nach der vorgabe die hier gepostet wurde.

habe ich escan nicht richtig verwendet?

Zitat:

habe ich escan nicht richtig verwendet?

Das ist auch möglich. Aber es ist unwichtig, denn, wie schon mehremals gesagt wurde, ein AV-Programm kann nur die bekannten Viren, d.h. diejenigen, Signaturen deren in der Signaturendatenbank angelegt wurden, erkennen. Heuristik funktioniert bei den meisten AVs nicht perfekt.
Auch die Definitionen und Gefahreneinstufung der unterschiedlichen Schädlings-Programme liegen bei den verschiedenen AVs sehr weit voneinander entfernt.