Hallo Leute, ich bitte darum, dass sich das mal jemand anguckt und mir sagt was da raus muss.

Logfile of HijackThis v1.99.1
Scan saved at 11:11:08, on 30.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\hwclock.exe
C:\Programme\Gamers.IRC\mirc.exe
C:\WINDOWS\system32\.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Del\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft MediaScope] winmes.exe
O4 - HKLM\..\RunServices: [McAfee Windows Protection] mcafee32.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ITD7] "C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{241D8F44-CE36-4AA8-9B0D-63AC86722470}: NameServer = 195.50.140.252 145.253.2.203
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe


Besonders komisch kommen mir diese Files vor:
C:\WINDOWS\System32\hwclock.exe
O4 - HKLM\..\RunServices: [Microsoft MediaScope] winmes.exe
O4 - HKLM\..\RunServices: [McAfee Windows Protection] mcafee32.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

DIe wollen immer Zugriff zum Internet..

Noch eine Frage zu BitDefender..es kommt ganze Zeit von rechts so eine Meldung wo steht "BitDefender blickiert den Zugriff zum Internet" ,weiß einer woher das kommt?
Ich danke euch schonmal im Voraus!

MfG
DtothaEL

Hallo DtothaEL,

leider sieht es nicht gut aus:

http://www.sophos.com/virusinfo/analyses/w32hwbota.html = hwclock.exe
Diese hier sind von gleicher Qualität:
O4 - HKLM\..\RunServices: [Microsoft MediaScope] winmes.exe
O4 - HKLM\..\RunServices: [McAfee Windows Protection] mcafee32.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe
http://de.wikipedia.org/wiki/Backdoor

Hauptgrund für den Befall ist Dein nicht aktuelles System.

Bei Trojaner mit Backdoorfunktionalität wird Dir hier zu Deiner eigenen Sicherheit dringend zu "Format C:" geraten, um dies zu vermeiden:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.trojaner-board.de/showthread.php?t=15124

Empfohlenen Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:
http://www.trojaner-board.de/showpos...8&postcount=11

sry dartus

Ist zwar schade, aber ich werde dann jetzt formatieren, falls es gehen würde.
Ich starte den PC im Abgesicherten Modus mit Eingabeaufforderung und gebe dann dort format c: ein. Dann kommt zu erst die Nachfrage ob ich das wirklich machen will. Aber dann:
FORMAT kann nicht ausgeführt werden, da das Volume von einem anderen Prozess verwendet wird. Die Bereitstellung des Volumes muss zuerst aufgehoben werden.
ALLE OFFENEN BEZÜGE AUF DIESEM VOLUME SIND DANN UNGÜLTIG.
Möchten Sie die Bereitstellung des Volumes aufheben? (J/N) <--- es ist egal was ich jetzt eingebe, danach kommt immer das:
Das Laufwerk kann nicht gesperrt werden. Das Volume wird verwendet.


Was soll ich jetzt tun?

Hallo,

im abgesicherten Modus geht es nicht.
"Format C:" ist nur bildlich zu sehen für die Neuinstalltion der Systempatition aus "guten alten" DOS-Zeiten.
Lies bitte dies durch, war übrigens auch in dem Link "Anleitung" zu finden:
http://8ung.at/chemikers-home/SETUP.html

Hoffentlich hast Du dir auch die "12 Punkte" in diesem Link aufmerksam durchgelesen.

dartus

Vielen Dank, ihr seid echt spitze.
Habe mir die 12 Punkte angeschaut, werde dann aber nach dem formatieren + neu installieren Punkt für Punkt durchgehen da ich zum Glück noch einen 2. Rechner habe.

So far..thx 4 all!
MfG
DtothaEL