Hallo hab mir einen Trojaner eingefangen, der alle paar minuten den IE öffnet mit Werbeseiten.
Was ich bisher probiert hab:

- Systemwiederherstellung deaktiviert
- im abgesicherten Modus antivir, adaware, spybot search and destroy und stinger ausgeführt, temporäre dateien gelöscht

Ohne Erfolg leider. Jetzt poste ich mein hijack log mal, vielleicht kann mir einer helfen.


Logfile of HijackThis v1.97.7
Scan saved at 13:06:23, on 02.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVGNT.EXE
D:\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\xload.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\ExeDateien\viren und security\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.***
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Acronis True Image Monitor] D:\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [xload] "C:\WINDOWS\xload.exe"
O4 - HKLM\..\Run: [gcasServ] "D:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ***


danke,
Rios

Hallo Rios,

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
O4 - HKLM\..\Run: [xload] "C:\WINDOWS\xload.exe"
O15 - Trusted Zone: *.sxload.com

Lösche manuell:
C:\WINDOWS\xload.exe

Papierkorb leeren

Falls der "015"-eintrag weiterhin in Deinem Logfile auftritt, so wird es entfernt:
http://www.trojaner-board.de/showpos...6&postcount=31

Update Dein System so schnell wie möglich auf SP 2 und alle weiteren Sicherheitsupdates.

Neues Logfile und die Systemwiederherstellung kann wieder aktiviert werden

dartus

Das hat geholfen, bin ihn los, danke !