Hallo!
Also bin zum ersten Mal mit diesem Thema konfrontiert und werde es LEIDER nicht los.
Der "Familien" Rechner is auch nach letzter Aktualisierung von AntiVir mit Trjanern befallen.
Habe, nachdem ich hier im Forum rumgelesen hab mir mit Hilfe von HijackThis n Logfie erstellen lassen, überprüft und die bösen Einträge gefixt. Bei Wiederholung des Vorgangs nach Neustart waren im Protokoll die selben Einträge wieder vorhanden.
Nun die Frage, gelingt ein einfaches entfernen (wenn ja wie?) oder soll das System formatiert und neu gemacht werden?
Symptome: Startseite wird jedesmal auf "blank" gesetzt und die Favoriten Liste wird zugemüllt mit haufenweise unnötigen Links.

Vielen Dank für die Hilfe im Vorraus

Hier das LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 10:56:49, on 12.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Auerswald\COMsuite\Program\Telemat.exe
C:\Programme\Auerswald\COMsuite\Program\TGCONV.EXE
C:\Programme\Auerswald\COMsuite\Program\TELEGATE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Dokumente und Einstellungen\....\Eigene Dateien\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Trojan Guarder Gold Version\Trojan Guarder.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Oleco\_Oleco.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\...\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {DA4037FC-0EFF-1D1A-B604-A395A32309EF} - C:\WINDOWS\system32\mfcbn32.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Dokumente und Einstellungen\...\Eigene Dateien\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Pinnacle Expression\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [crfa32.exe] C:\WINDOWS\system32\crfa32.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdswitch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Digimax Viewer 1.0.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Programme\Trojan Guarder Gold Version\Trojan Guarder.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\...\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\...\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4E7BD74F-2B8D-469E-C0FF-FD6FB89AFA7D} - http://toolbar.oleco.de/toolbar/olcbar.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31B70B2F-02EA-4323-B716-E92262AC0310}: NameServer = 195.129.111.49 195.129.111.50
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: auerswald UMS Server - OSITRON GmbH - C:\Programme\Auerswald\COMsuite\Program\Telemat.exe
O23 - Service: BitDefender Virus Shield - Unknown - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hknjk.dll/sp.html#1234
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hknjk.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {DA4037FC-0EFF-1D1A-B604-A395A32309EF} - C:\WINDOWS\system32\mfcbn32.dll (file missing)
O4 - HKLM\..\Run: [crfa32.exe] C:\WINDOWS\system32\crfa32.exe
O16 - DPF: {4E7BD74F-2B8D-469E-C0FF-FD6FB89AFA7D} - http://toolbar.oleco.de/toolbar/olcbar.cab


3.dateien löschen
-lösche die dateien crfa32.exe und hknjk.dll im ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Und dann für einen Virenscanner entscheiden, es ist nicht sinnvoll, 2 Scanner mit Hintergrundwächter gleichzeitig einzusetzen.

Hallo!
Zunächst einmal vielen Dank für die Antwort.
Die gute Nachricht:
Das fixen der Einträge verlief ohne Probleme.

Neues LogFile:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-giessen.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Dokumente und Einstellungen\Patrick\Eigene Dateien\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Pinnacle Expression\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdswitch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Patrick\Eigene Dateien\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Digimax Viewer 1.0.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Programme\Trojan Guarder Gold Version\Trojan Guarder.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Patrick\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Patrick\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31B70B2F-02EA-4323-B716-E92262AC0310}: NameServer = 195.129.111.49 195.129.111.50
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: auerswald UMS Server - OSITRON GmbH - C:\Programme\Auerswald\COMsuite\Program\Telemat.exe
O23 - Service: BitDefender Virus Shield - Unknown - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Jetzt zu eScan und damit zum bedenklichen Teil:
Nachdem er das System gründlich gescannt hat folgende Meldung:

File C:\WINDOWS\Celeb-Fakes[cf-12450,de].exe infected by "not-a-virusialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\1C.tmp infected by "not-a-virusialer.Win32.Generic" Virus. Action Taken: No Action Taken.

File C:\RECYCLER\S-1-5-21-789336058-1078145449-725345543-1008\Dc2635.exe infected by "not-a-virusialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135969.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135993.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135994.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135995.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135996.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135997.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135998.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0135999.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP153\A0136002.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP171\A0150062.exe infected by "Trojan-Downloader.Win32.Small.ajr" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP171\A0150063.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP171\A0150084.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP171\A0150096.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{B8FC19AF-7561-4C4A-B77D-AB0F07C57E67}\RP171\A0150115.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.

Die ersten drei Einträge ließen sich ohne Probleme entfernen.
Auf den System Volume Information Ordner bekomme ich keinen Zugriff.
Was tun? Vor allem da die Meldungen nichts Gutes verheißen.


MfG

Backdoor.Win32.Small.dc

Bedeutet leider Format c: nach dieser Anleitung: http://trojaner-board.de/showthread.php?t=12154


Gruss

Na doll,
habs mir schon fast gedacht.
Vielen Dank, melde mich wieder nach erfolgreicher Einrichtung.
MfG