Hallo, @ all

habe jetzt zum zweiten mal . das blöde blank .. Problem aber
leider bekomme ich es nicht weg.
Hier ist mein Log:...

...................................................................................................................................................... ..........................................................

Logfile of HijackThis v1.99.1
Scan saved at 09:00:07, on 28.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\sysiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\winow32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Frank\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dpdwg.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {46F9B7E4-CBBE-D9B2-A18D-9566E92AF6C6} - C:\WINDOWS\atlev32.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MCDStartupItems] C:\PROGRA~2\MEDIAC~1\mchanger.exe -dostartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [sysiz.exe] C:\WINDOWS\sysiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Clicktionary.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winow32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe

...................................................................................................................................................... ..........................................................

was muss ich denn für eine Datei im sys32 Löschen ...????

Hi, dsl,
erstens vermute ich bei dir einen Backdoor-Trojaner (iexplore.exe) und außerdem lass bitte mal die folgenden Dateien bei Jotti online scannen; bitte die DAtein ebenfalls an "malware upload" (siehe meine Signatur) schicken. Danke.
Bitte berichte über das Ergebnis:
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\winow32.exe
C:\WINDOWS\sysiz.exe
Außerdem hast du das hier schon dauerhaft bekannte "sp/html"-Problem.
Freunde Dich mit dem Gedanken an, das Sytem neu aufzusetzen.
cacatoa

Hallo hier ist der scan.

AntiVir TR/Agent.BI gefunden
Avast Win32:Trojano-1175 gefunden
AVG Antivirus Downloader.Agent.11.Q gefunden
BitDefender Trojan.Agent.BI gefunden
ClamAV Trojan.Agent-48 gefunden
Dr.Web BackDoor.Netag gefunden
F-Prot Antivirus W32/Agent.MO@dl gefunden
Fortinet W32/Agent.MO-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.bi gefunden
mks_vir Trojan.Agent.Bi gefunden
NOD32 Win32/Agent.NAB gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Trojan.Win32.Agent.bi gefunden.............................................................................................................................................. ...................................................................................................................................................... .........AntiVir DR/Agent.BQ.2 gefunden
Avast Win32:Trojano-1218 gefunden
AVG Antivirus Downloader.Agent.12.D gefunden
BitDefender Trojan.Downloader.Agent.BQ gefunden
ClamAV Trojan.Downloader.Agent-117 gefunden
Dr.Web Trojan.Click.342 gefunden
F-Prot Antivirus W32/Downloader.AUH gefunden
Fortinet W32/Agent.BQ-tr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq gefunden
mks_vir Trojan.Downloader.Agent.Bq gefunden
NOD32 Win32/TrojanDownloader.Agent.BQ gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Agent.bq gefunden

hi, das ergebnis sollte in etwa so aussehen, hier sieht man nicht, welche datei du überprüfen hast lassen, und es waren doch 3 dateien, oder ?

Zitat:

Service load: 0% 100%
File: tabbed.gif
Status: OK
Packers detected: None

AntiVir No viruses found (0.37 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.44 seconds taken)
BitDefender No viruses found (0.46 seconds taken)
ClamAV No viruses found (0.59 seconds taken)
Dr.Web No viruses found (0.87 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Fortinet No viruses found (0.41 seconds taken)
Kaspersky Anti-Virus No viruses found (0.98 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.46 seconds taken)
Norman Virus Control No viruses found (0.19 seconds taken)

ja richtig drei dateien wurden gescant..

aber was muss ich jetzt machen denke mal einen virus scan habe NAV.

und aber was für dateien muss ich Löschen...???? und wo

und das alles dann im Ab.Modus denke ich mal

Bitte stell auch das Ergebnis der dritten DAtei hier rein.
cacatoa

Ja okay.. hier ist sie................................................................................................................................................... ...........................................................

Datei: iexplore.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

hi
Troj/Agent-BI
Nebeneffekte

* Schaltet Antiviren-Anwendungen aus
* Verändert Daten auf dem Computer
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung

---------------------------------------
diese dateien bitte hier zur überprüfung und weiterleitung hochladen

C:\WINDOWS\system32\winow32.exe
C:\WINDOWS\sysiz.exe

---------------------------------------
bei windows xp und windows me, sollte man zuerst versuchen, mit hilfe der systemwiederherstellung den rechner in einen früheren zustand zu bringen, wähle einen herstellungspunkt, der vor der infektion liegt, system neu starten.

sollte das nicht möglich sein, geht es hier weiter
---------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
---------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------
download von spybot s&d sowie adaware, update ziehen, beenden.
aktualisiere deine antivirensoftware, freeware gibt es hier
---------------------------------------
das hier ausführen SpHjfix.exe
---------------------------------------
deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von winxp und fixe mit HijackThis die nachfolgenden einträge

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winow32.exe
O4 - Global Startup: Clicktionary.exe.lnk = ?
O4 - HKLM\..\Run: [sysiz.exe] C:\WINDOWS\sysiz.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O2 - BHO: (no name) - {46F9B7E4-CBBE-D9B2-A18D-9566E92AF6C6} - C:\WINDOWS\atlev32.dll
-------------------------------------
HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA

C:\WINDOWS\system32\winow32.exe
C:\WINDOWS\sysiz.exe
C:\WINDOWS\atlev32.dll
---------------------------------------
neustart wieder in den abgesicherten modus und zuerst mit deiner antivirensoftware, dann mit adaware und zum schluss mit spybot s&d scannen, bereinigen und fehler beheben lassen.
-----------------------------------------
passwörter zur sicherheit ändern !
-----------------------------------------
neustart -> onlinescan mit panda oder housecall durchführen
-----------------------------------------
regcleaner von chip.de oder zdnet downloaden, unter options, language, select language, deutsch auswählen, dann unter tools, registry säubern, alles durchführen
---------------------------------------

ups, vergessen, ein neues logfile erstellen und hier posten