Hallo kann mir vielleicht jemand helfen?
Ich hab anscheinend den bloodhound.W32.EP
Norton repariert nur aber löscht ihn nicht.
ich hoffe ihr könnt mir irgendwie behilflich sein........

Das ist meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:55:31, on 11.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\javascript.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SYSTEM32\THOTKEY.EXE
C:\Programme\TOSHIBA\TME2\Tmesrv2.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\TPWRTRAY.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\Promon.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\algs.exe
C:\WINNT\system32\internat.exe
C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\HP OfficeJet T Series NT\Bin\HPOstr05.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Hewlett-Packard\HP OfficeJet T Series NT\bin\HPOVDX05.EXE
C:\WINNT\system32\hpoipm07.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\winlogon.pif
C:\WINNT\system32\winlogon.pif
C:\WINNT\system32\winlogon.pif

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page0=http://google.icq.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.t-online.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.15.98.210 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 69.15.98.210 www3.aibgbonline.co.uk
O1 - Hosts: 69.15.98.210 www.bank.alliance-leicester.co.uk
O1 - Hosts: 69.15.98.210 login.iblogin.com
O1 - Hosts: 69.15.98.210 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 69.15.98.210 inet.barclays.co.uk
O1 - Hosts: 69.15.98.210 iibank.barclays.co.uk
O1 - Hosts: 69.15.98.210 iibank.cahoot.com
O1 - Hosts: 69.15.98.210 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 69.15.98.210 ww.hsbc.co.uk
O1 - Hosts: 69.15.98.210 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 69.15.98.210 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk
O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk
O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 69.15.98.210 ob2.nationet.com
O1 - Hosts: 69.15.98.210 ww1.nwolb.com
O1 - Hosts: 69.15.98.210 ww1www.rbsdigital.com
O1 - Hosts: 69.15.98.210 welcome.smile.co.uk
O1 - Hosts: 69.15.98.210 login.365online.com
O1 - Hosts: 69.15.98.210 esecure.regionsnet.com
O1 - Hosts: 69.15.98.210 rollb.associatedbank.com
O1 - Hosts: 69.15.98.210 upb.unionplanters.com
O1 - Hosts: 69.15.98.210 www.onlinebanking.huntington.com
O1 - Hosts: 69.15.98.210 inet.southtrustonlinebanking.com
O1 - Hosts: 69.15.98.210 logon.personal.wamu.com
O1 - Hosts: 69.15.98.210 login.compassweb.com
O1 - Hosts: 69.15.98.210 logon.firstmeritib.com
O1 - Hosts: 69.15.98.210 login.ccfcuonline.org
O1 - Hosts: 69.15.98.210 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 69.15.98.210 ww2.onlinebanking.lasallebank.com
O1 - Hosts: 69.15.98.210 wvw.totallyfreebanking.com
O1 - Hosts: 69.15.98.210 [url]www.online.wellsfargo.com
O1 - Hosts: 69.15.98.210 [url]www.onlinebanking.bankofoklahoma.com
O1 - Hosts: 69.15.98.210 accounts4.keybank.com
O1 - Hosts: 69.15.98.210 logon.bankone.com
O1 - Hosts: 69.15.98.210 [url]www.secure.tdbanknorth.com
O1 - Hosts: 69.15.98.210 [url]www.secure.mvnt4.com
O1 - Hosts: 69.15.98.210 ww.mynfbonline.com
O1 - Hosts: 69.15.98.210 login.forumcuonline.com
O1 - Hosts: 69.15.98.210 www.eds.usersonlnet.com
O1 - Hosts: 69.15.98.210 www.onlineid.bankofamerica.com
O1 - Hosts: 69.15.98.210 wvw.e-gold.com
O1 - Hosts: 69.15.98.210 pcbs.peoples.com
O1 - Hosts: 69.15.98.210 www.global1.onlinebank.com
O1 - Hosts: 69.15.98.210 ww2.mybranch.lafcu.com
O1 - Hosts: 69.15.98.210 login.webbanking.comerica.com
O1 - Hosts: 69.15.98.210 web.banking.firsttennessee.com
O1 - Hosts: 69.15.98.210 logon.members1st.org
O1 - Hosts: 69.15.98.210 www.cib.ibanking-services.com
O1 - Hosts: 69.15.98.210 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 69.15.98.210 wvw.paypal.com
O1 - Hosts: 69.15.98.210 www.signin.ebay.com
O1 - Hosts: 69.15.98.210 wvw.etrade.com
O1 - Hosts: 69.15.98.210 ww4.fleethomelink.fleet.com
O1 - Hosts: 69.15.98.210 ww3.connect.skyfi.com
O1 - Hosts: 69.15.98.210 www6.usbank.com
O1 - Hosts: 69.15.98.210 www.bvi.bancodevalencia.es
O1 - Hosts: 69.15.98.210 extrant.banesto.es
O1 - Hosts: 69.15.98.210 banesnt.banesto.es
O1 - Hosts: 69.15.98.210 activia.caixagalicia.es
O1 - Hosts: 69.15.98.210 www.bancae.caixapenedes.com
O1 - Hosts: 69.15.98.210 login.caixasabadell.net
O1 - Hosts: 69.15.98.210 oii.cajamadrid.es
O1 - Hosts: 69.15.98.210 login.cajamar.es
O1 - Hosts: 69.15.98.210 login.ccm.es
O1 - Hosts: 69.15.98.210 ww.unicaja.es
O1 - Hosts: 69.15.98.210 www5.bancopopular.es
O1 - Hosts: 69.15.98.210 ww3.bbvanet.com
O1 - Hosts: 69.15.98.210 ww.bayernlb.de
O1 - Hosts: 69.15.98.210 ww2.berliner-volksbank.de
O1 - Hosts: 69.15.98.210 ww7.homebanking-berlin.de
O1 - Hosts: 69.15.98.210 portal09.commerzbanking.de
O1 - Hosts: 69.15.98.210 www.meine.deutsche-bank.de
O1 - Hosts: 69.15.98.210 ww2.dresdner-privat.de
O1 - Hosts: 69.15.98.210 ww.e-banking.helaba.de
O1 - Hosts: 69.15.98.210 ww.hsh-nordbank.de
O1 - Hosts: 69.15.98.210 www.my.hypovereinsbank.de
O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de
O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de
O1 - Hosts: 69.15.98.210 www.banking.lbbw.de
O1 - Hosts: 69.15.98.210 lrp.sparkasse-banking.de
O1 - Hosts: 69.15.98.210 ww3.homebanking-niedersachsen.de
O1 - Hosts: 69.15.98.210 www.onlinebanking.norisbank.de
O1 - Hosts: 69.15.98.210 ww1.portal.izb.de
O1 - Hosts: 69.15.98.210 wvw.kunden-service.lbs.de
O1 - Hosts: 69.15.98.210 ibanking.seb.de
O1 - Hosts: 69.15.98.210 bw7.sparkasse-banking.de
O1 - Hosts: 69.15.98.210 ww2.homebanking-sparkasse.de
O1 - Hosts: 69.15.98.210 ww2.vr-networld-ebanking.de
O1 - Hosts: 69.15.98.210 ww.bics.fr
O1 - Hosts: 69.15.98.210 www.co.caixabank.fr
O1 - Hosts: 69.15.98.210 ww.creditmutuel.fr
O1 - Hosts: 69.15.98.210 internetbank.intesabci.it
O1 - Hosts: 69.15.98.210 ww.extensive.bancalombarda.it
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME2\TMESRV2.EXE /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\system32\algs.exe
O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif
O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif
O4 - HKCU\..\RunServices: [Windows Logon Service] winlogon.pif
O4 - Global Startup: Network Device Switch.lnk = C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: HP OfficeJet T Series-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet T Series NT\Bin\HPOstr05.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC}http://key.one2bill.de/soft/axload.cab
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E}http://akamai.downloadv3.com/binarie...1041_EN_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) http://update.microsoft.com/windowsu...?1123599432254
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binarie...1043_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B24A5D2-AEC6-4496-A34D-85228772FE8F}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BF56AA5-E02C-4076-88D1-13DEECA9A02B}: NameServer = 192.168.0.1
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINNT\system32\javascript.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE
O23 - Service: Tmesrv2 (Tmesrv) - Toshiba - C:\Programme\TOSHIBA\TME2\Tmesrv2.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo,

starte den Taskmanager (Strg + Alt + Entf) und beende den Prozess/die Prozesse winlogon.pif

Wechsle dann auf die Seite http://virusscan.jotti.org/de und kopiere den Pfad C:\WINNT\system32\winlogon.pif in das weiße Kästchen. Klicke anschließend auf "Abschicken".

Poste das Ergebnis mittels copy&paste, sieht etwa so aus:

Zitat:

File: File.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.77 seconds taken)
BitDefender No viruses found (0.48 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web No viruses found (0.82 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus No viruses found (0.99 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (1.20 seconds taken)

so siehts dann bei mir:

Datei: winlogon.pif
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Win32.HLLW.MyBot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

und jetzt?
schonmal vielen dank!

Verwende bitte ein geeignetes Packprogramm und packe die Datei mit einem Passwort versehen. Speichere dieses Archiv dann auf Diskette. [1]

Setz' das System dann schnellstmöglich nach dieser Anleitung neu auf, es gehört dir nicht mehr!


[1]
Das Archiv kannst du dann an die AV-Hersteller senden -> http://www.trojaner-board.de/showthread.php?t=19273

mist und ich kann echt nix anderes machen als das system neu aufzusetzen?

Zitat:

Zitat von IngaM.

mist und ich kann echt nix anderes machen als das system neu aufzusetzen?

Nein, lies bitte die Anleitung zum Neuaufsetzen, da wird auch diese Frage ausführlich beantwortet.