Hallo an alle, die es wissen.........

habe o.g. Wurm / Trojaner - wurde entdeckt durch PE Anti vir. und natürlich durch das dauernde Abschmieren von Win XP.

Nach dem ich als Halblaie alle möglichen Foren gelesen und auch viel probiert habe [/IMG] hat es mich wirklich gut zerlegt . Nun denn , da meine Frau gerade an Ihrer Diplomarbeit schreibt und ich auch ne Menge Wichtiger daten auf der Kiste habe, wäre es super, wenn es einen Weg geben würde , es ohne platt machen zu schaffen.

Daher würde ich mich sehr über Ihre hilfe freuen.

Facts :

Der trojaner offnet eine webseite, installiert ein Program nNamens " Installer exe " in die lok. Einstell / Temp des jeweiligen Nutzers , ich denke den Rest kennen Sie.

Nun die Details :

Rechner AMD 800 Mhz , zwei Festplatten, Win XP Sp1
( Sp2 fiel meinen unkoordinierten Aktionen zum Opfer , aber wird garantiert wieder aufgespielt , incl aller Updates - und ein anderen Browser gibt es auch )

Habe schon alle überall genannten Programme probiert - bin aber zu blöd )

Hier mein Hijack Log File bei aktiver Verbindung

Logfile of HijackThis v1.99.0
Scan saved at 12:16:51, on 04.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\TBrid-xp\Flatbed.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Dokumente und Einstellungen\xxl\figgaz.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE5\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\hjjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F3 - REG:win.ini: load=C:\Scanner\TBrid-xp\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\xxl\figgaz.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C...Bridge-c139.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F1DC4E-64C2-4782-8A35-04D8F48FB462}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Vielen Dank im Vorraus

Hi,
--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung




R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C...Bridge-c139.cab

Folgenden Ordner von Hand löschen:
C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM (aber nur den Ordner und nicht Windows\System)

Zitat:

Installer exe " in die lok. Einstell / Temp

Lokale Einstellungen\Temp datei von Hand löschen

neu booten Systemwiederherstellung aktivieren,
neues HJT posten

Gruß Gigamail

Hallo er is noch da

Logfile of HijackThis v1.99.0
Scan saved at 15:32:35, on 04.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\TBrid-xp\Flatbed.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Dokumente und Einstellungen\xxl\figgaz.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE5\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\hjjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F3 - REG:win.ini: load=C:\Scanner\TBrid-xp\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\xxl\figgaz.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F1DC4E-64C2-4782-8A35-04D8F48FB462}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

den hier noch fixen dann sieht dein log erst mal gut aus

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C...Bridge-c139.cab

hast Du gar keine Firewall aktiviert?? das wäre nicht gut

Scanne dann noch dein system mit eScan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)



Gruß Gigamail

Er lebt immer noch

escan brachte ( im abgesicherten Modus / deaktivierte Systemwiederh. )
nur die datei im Imunisierungsverzeichnis von PE Antivir zutage

Feb 02 16:46:23 2005 => **********************************************************
Wed Feb 02 16:46:23 2005 => eScan AntiVirus Toolkit Utility.
Wed Feb 02 16:46:23 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Wed Feb 02 16:46:23 2005 =>
Wed Feb 02 16:46:23 2005 => Support: support@mwti.net
Wed Feb 02 16:46:23 2005 => Web: http://www.mwti.net
Wed Feb 02 16:46:23 2005 => **********************************************************
Wed Feb 02 16:46:23 2005 => Version 4.8.7 (C:\bases\mwavscan.com)
Wed Feb 02 16:46:23 2005 => Log File: C:\bases\MWAV.LOG
Wed Feb 02 16:46:23 2005 => Windows Root Folder: C:\WINDOWS
Wed Feb 02 16:46:23 2005 => Windows Sys32 Folder: C:\WINDOWS\system32
Wed Feb 02 16:46:23 2005 => OS: Windows NT
Wed Feb 02 16:46:23 2005 => Latest Date of files inside MWAV: 28 Jan 2005 06:01:14.

Wed Feb 02 16:46:23 2005 => Options Selected by User:
Wed Feb 02 16:46:23 2005 => Memory Check: Enabled
Wed Feb 02 16:46:23 2005 => Registry Check: Enabled
Wed Feb 02 16:46:23 2005 => StartUp Folder Check: Enabled
Wed Feb 02 16:46:23 2005 => System Folder Check: Enabled
Wed Feb 02 16:46:23 2005 => System Area Check: Disabled
Wed Feb 02 16:46:23 2005 => Services Check: Enabled
Wed Feb 02 16:46:23 2005 => Drive Check: Disabled
Wed Feb 02 16:46:23 2005 => All Drive Check :Enabled
Wed Feb 02 16:46:23 2005 => Folder Check: Disabled


....


Fri Feb 04 18:10:23 2005 => Total Files Scanned: 80679
Fri Feb 04 18:10:23 2005 => Total Virus(es) Found: 1
Fri Feb 04 18:10:23 2005 => Total Disinfected Files: 0
Fri Feb 04 18:10:23 2005 => Total Files Renamed: 0
Fri Feb 04 18:10:23 2005 => Total Deleted Files: 0
Fri Feb 04 18:10:23 2005 => Total Errors: 55
Fri Feb 04 18:10:23 2005 => Time Elapsed: 01:49:50
Fri Feb 04 18:10:23 2005 => Virus Database Date: 2005/01/28
Fri Feb 04 18:10:23 2005 => Virus Database Count: 117012

Fri Feb 04 18:10:23 2005 => Scan Completed.

Fri Feb 04 18:11:21 2005 => Virus Database Date: 2005/01/28
Fri Feb 04 18:11:21 2005 => Virus Database Count: 117012
Fri Feb 04 18:13:34 2005 => AV Library Unloaded (3)...

Logfile of HijackThis v1.99.0
Scan saved at 18:19:55, on 04.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\TBrid-xp\Flatbed.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Dokumente und Einstellungen\xxl\figgaz.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\hjjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F3 - REG:win.ini: load=C:\Scanner\TBrid-xp\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\xxl\figgaz.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F1DC4E-64C2-4782-8A35-04D8F48FB462}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Wie gehts weiter ?????????????????????

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\xxl\figgaz.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Lösche diese Datei:
C:\Dokumente und Einstellungen\xxl\figgaz.exe

- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten

Zitat:

nur die datei im Imunisierungsverzeichnis von PE Antivir zutage

dort solltest du sie löschen können, aber mach das wieder imk abgesicherten Modus Systemwiederherstellung deaktivieren Datei löschen neu booten Systemwiederherstellung aktivieren. Virenscanner laufen lassen.

Dein Logfile sieht jetzt gut aus. Du musst aber Dein System unbedingt updaten.
Siehe dazu hier


Gruß Gigamail

Oh Jungs - ich glaube das hat endlich geholfen,
Brauche Bagger für den Stein ( vom Herzen )
werde jetzt anschließend sp 2 und Update aufspielen und mir dann nen Browser besorgen

besten Dank soweit

hier das Log file

Logfile of HijackThis v1.99.0
Scan saved at 19:01:17, on 04.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\TBrid-xp\Flatbed.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE5\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\hjjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F3 - REG:win.ini: load=C:\Scanner\TBrid-xp\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F1DC4E-64C2-4782-8A35-04D8F48FB462}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Anstelle der T-Online Software wäre dies noch anzuraten -> http://www.netzwerktotal.de/tdslwinxp.htm

Hier was für's browsen



Gruß Gigamail

Zum Abschluss :

Für Cidre :

Als Telekomiker muss ich schon bei T-Online bleiben !

Für Gigamail :

Die Datei in PE Antivir hatte ich auch passend gekillt.

Für Beide : Noch mal vielen Dank

Zur Info :

Adaware 6 hat nichts angezeigt und sich auch mal aufgehängt. Gleiches gilt für a²
Also da waren eure Tips besser ( Hijack )
Und PE Antivir hat Ihn wenigstens im Betrieb angezeigt

Glaube Rechner ist jetzt halbwegs sicher : SP2 mit Firewall + Update + Firefox für alle Internetanwendungen + PE Antivir neuste Daten .

Siehe hier

Logfile of HijackThis v1.99.0
Scan saved at 23:03:39, on 04.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\TBrid-xp\Flatbed.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online5\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-ONLI~1\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\hjjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F3 - REG:win.ini: load=C:\Scanner\TBrid-xp\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLI~1\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c139.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107545256100
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F1DC4E-64C2-4782-8A35-04D8F48FB462}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ciao - Dieter