Moin,
nun hat es mich auch erwischt und ich weiß nicht weiter.

Bei der Anmeldung (XP Home) erscheint kein Desktop mehr, keine Taskleiste und der Bildschirm bleibt schwarz. Beim zweiten Benutzer erscheint immerhin noch das Hintergrundbild, aber auch keinerlei Menuführung mehr. Kann nur noch über den Taskmanager arbeiten aber alles was ich tue dauert - nicht übertrieben - EWIG.

Habe bereits den eScan Antivirus laufen lassen und ein bischen Ungeziefer mit eScan Check B9 entfernt. Geändert hat sich aber nichts. Auch diese Zeilen muss ich rasant tippen, da mein Rechner sicherlich gleich wieder abstürzt.
Liegt es vielleicht an den 41 Errors?

Sat Jun 11 09:54:07 2005 => ERROR!!! Invalid Entry C:\WINDOWS\System32\hwclock.exe in SYSTEM\CurrentControlSet\Services\hwclock...

Was kann ich tun, um dies zu bereinigen?
Bin dankbar für jeden Tipp.
Jetzt meldet sich schon wieder lsass.exe... ciao

Hier kommt der Virus Log vom letzten Scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jun 11 09:54:27 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Jun 11 10:11:03 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Jun 11 11:06:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Jun 11 11:48:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jun 11 11:48:34 2005 => Total Virus(es) Found: 2
Sat Jun 11 11:48:34 2005 => Total Errors: 41
Sat Jun 11 11:48:34 2005 => Time Elapsed: 01:55:03
Sat Jun 11 11:48:34 2005 => Total Objects Scanned: 87062
Sat Jun 11 09:52:43 2005 => Virus Database Date: 2005/05/26
Sat Jun 11 11:48:35 2005 => Virus Database Date: 2005/05/26
Sat Jun 11 12:28:05 2005 => Virus Database Date: 2005/05/26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hallo,

am sinnvollsten wäre es, wenn du dein kompromittiertes System schnellstmöglichst neu aufsetzen würdest, denn mit einem Netzwerkwurm der über Backdoor Funktionalität verfügt, ist nicht zum spaßen.
Eine Anleitung findest du in meiner Signatur.

Zitat:

Invalid Entry C:\WINDOWS\System32\hwclock.exe in SYSTEM\CurrentControlSet\Services\hwclock

Dieser Reg Key wurde von W32/Hwbot-A angelegt, damit ihr bei jedem Systemstart als Dienst automatiasch mitgeladen und gestartet wurde.

Zitat:

• Ermöglicht Dritten den Zugriff auf den Computer
• Lädt Code aus dem Internet herunter
• Installiert sich in der Registrierung
• Nutzt bekannte Schwachstellen aus

Hallo noch einmal,

bin mittlerweile ins Internet-Café geflüchtet, um Eure Tipps einmal in Ruhe und ohne böse Vorahnungen online lesen zu können... Habe mittlerweile meine Internet-Zugangsdaten sperren lassen, für den Fall, dass die jemand ausspioniert hat.

Vielen Dank für die schnelle Antwort, Cidre

Ich habe dennoch mal die Error-Meldungen mitgebracht, die mir der Scan ausgeworfen hat. Gibt´s keine kurzfristigere Möglichkeit, den oder die Viecher erstmal matt zu setzen, um wieder offline Programme nutzen zu können?
Für ein Neuaufsetzen brauche ich mehr Zeit und will/kann im Moment eh nicht ins Netz...

Das hier sind offensichtlich schräge Meldungen meines Rechners
(scheint ja richtig zu wüten, der Kerl

Vielen Dank für einen kurzen Hinweis!
Noguiri
Sat Jun 11 09:54:32 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Jun 11 09:54:32 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\CyberLink\ATIDVD\2ch.SIM". Action Taken: No Action Taken.

Sat Jun 11 09:54:32 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\Odbcjet.cnt". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-dan.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-nld.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-fra.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-ita.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-nor.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-ptg.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-rus.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-esp.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-fin.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-ptb.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-plk.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-csy.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-sky.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-slv.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-hun.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-trk.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-ell.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:35 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-esl.nls". Action Taken: No Action Taken.

Sat Jun 11 09:54:39 2005 => Entry "HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}" refers to invalid object "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx". Action Taken: No Action Taken.

Sat Jun 11 09:54:47 2005 => Entry "HKCR\CLSID\{72850862-03AE-4862-B470-5E9AD11F4CE7}" refers to invalid object "C:\WINDOWS\System32\ghnboaa.dll". Action Taken: No Action Taken.

Sat Jun 11 09:54:49 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Sat Jun 11 09:54:52 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Sat Jun 11 09:54:59 2005 => Entry "HKCR\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}" refers to invalid object "C:\WINDOWS\System32\hp560E.tmp". Action Taken: No Action Taken.

Sat Jun 11 09:55:06 2005 => Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.

Sat Jun 11 09:55:06 2005 => Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.

Sat Jun 11 09:55:17 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat Jun 11 09:55:17 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Sat Jun 11 09:55:21 2005 => Entry "HKCR\VMHomepage.1" refers to invalid object "{fbf3125a-347c-4f71-9c37-43cb9e8cf349}". Action Taken: No Action Taken.

Sat Jun 11 09:55:22 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Sat Jun 11 09:55:22 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Sat Jun 11 09:55:22 2005 => Entry "HKCR\WMSServer.Server" refers to invalid object "{845FB959-4279-11D2-BF23-00805FBE84A6}". Action Taken: No Action Taken.

Sat Jun 11 09:55:22 2005 => Entry "HKCR\WMSServer.Server.9" refers to invalid object "{845FB959-4279-11D2-BF23-00805FBE84A6}". Action Taken: No Action Taken.

Und das ist glaub´ ich der Hinweis auf den/die Verursacher?
Sat Jun 11 09:54:27 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Jun 11 09:54:27 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 11 09:54:29 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sat Jun 11 09:54:29 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 11 10:08:18 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Sat Jun 11 10:08:18 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys

Sat Jun 11 10:20:45 2005 => Result: ERROR!!! File C:\Programme\Security iGuard\database.dat is Not Scanned
Sat Jun 11 10:20:45 2005 => C:\Programme\Security iGuard\database.dat not Scanned. Possibly password protected...

Sat Jun 11 11:03:30 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Sat Jun 11 11:03:30 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys

Es hat keinen Sinn mehr, diesen durchseuchten Rechner zu bereinigen. Es wäre unsicher, zeitaufwendiger und der Zustand bleibt folglich nicht vertrauenswürdig.
Sichere ggf. deine persönliche Daten und ab geht's zum Neuaufsetzen.