hallo,
ich habe wahrscheinlich ein problem mit:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/
in der taskleiste unten (wo sich das lautsprecher- und netzwerksysmbol befindet) habe ich ein neues hinzubekommen, ein roter kreis mit weissen kreuz - sieht aus wie der abbrechen-button im internet-explorer.

dieser virus öffnet so aller paar minuten den browser und versucht die oben genannte seite zu öffnen, ausserdem erstellt er an die 10-15 desktopverknüpfungen jeweils neu, trägt sich als startseite ein und öffnet warnfenster wie z.b. "you can patch your pc for free now and delete all spyware viruses." - download: ok/abbrechen-button.

mit antivir, mit spybot und mit HijackThis bekomme ich die einträge auch gefunden, aber das deaktivieren/löschen - z.b. auch mit regedit bringt nicht viel, weil unmittelbar danach die einträge wieder vorhanden sind.

folgende ratschläge aus einem anderen forum -
die möglichkeit im abgesicherten modus und ein windowsupdate:
Die folgenden Updates wurden erfolgreich installiert:
816093: Sicherheitsupdate für Microsoft Virtual Machine (Microsoft VM)
Sicherheitsupdate für Windows XP (KB828741)
Microsoft GDI+-Erkennungsprogramm (KB873374)
Sicherheitsupdate für Windows XP (KB873339)
Sicherheitsupdate für Windows XP (KB885836)
Sicherheitsupdate für Windows XP (KB890175)
Sicherheitsupdate für Windows XP (KB888302)
Sicherheitsupdate für Windows XP (KB891781)
Sicherheitsupdate für Windows XP (KB888113)
Sicherheitsupdate für Windows XP (KB873333)
Sicherheitsupdate für Windows XP (KB835732)
Sicherheitsupdate für Windows XP (KB893086)
Sicherheitsupdate für Windows XP (KB892944)
Sicherheitsupdate für Windows XP (KB893066)
Kumulatives Sicherheitsupdate für Internet Explorer 6 Service Pack 1 (KB890923)
Sicherheitsupdate für Windows XP (KB890859)
Microsoft Windows Installer 3.1
Sicherheitsupdate für Windows Media Player 9-Reihe (KB885492)
Sicherheitsupdate für Windows XP (KB885835)
Windows-Tool zum Entfernen bösartiger Software - APR 2005 (KB890830)
brachten auch keine lösung des problems.
auch wie schon geschrieben bringt es überhaupt nichts mit, hijackthis oder auf anderer, mir bekannter möglichkeit, die einträge zu löschen, zu deaktivieren, weil er mindestens beim erneuten scannen wieder vorhanden ist.
dieser virus in der taskleiste war auch im abgesichertem modus aktiv und das scheint das problem zu sein.

mit zonearlam habe ich eigentlich alle mir unbekannten und merkwürdigen exen geblockt.

unter msconfig/systemstart ist eigentlich auch nichts merkwürdiges eingetragen, momentan ist alles deaktiviert.

symantec und antivir haben noch keine probleme bei mir bereitet.
beide habe ich geupdatet und durchlaufen lassen, ohne deaktivierung des viruses.

momentan weiss ich eigentlich nicht mehr so recht weiter...

anbei noch ein screenshot der laufenden taskprozesse:


und das aktuelle highjackthis-logfile:
Logfile of HijackThis v1.99.1
Scan saved at 18:25:35, on 30.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\HijackThis.exe
D:\programme\UltraEdit9\UEDIT32.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114876101875
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE6A7A79-7A2F-4171-8081-88C3D9A84016}: NameServer = 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - D:\programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

meine frage, kann man mir, beziehungsweise dem betriebssystem noch (irgendwie anders) helfen?
mfg,
p-b

lösche die systr.dll in C:/windows/system32
am besten mit hijack ,öffne die Misc tool section ,
dann Delete a file on reboot ,datei suchen....
Fertig
Müsst klappen....

hallo chuky,
vielen dank für deinen tip.
ich habe inzwischen einen tip aus einem anderen forum bekommen und zwar das tool: http://www.spywareinfo.dk/download/mwav.exe
zu benutzen - damit habe ich mein problem lösen können.
mfg,
p-b