bitte um hilfe, kenne mich nicht gerade bestens aus.
auf dem computers des sohnes, sind womöglich drei hijacker...

hier der logfile:
ogfile of HijackThis v1.99.1
Scan saved at 11:34:13, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\gttw\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\gttw\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199[1].zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.13.186.47 banking.postbank.de
O1 - Hosts: 69.13.186.47 onlineid.bankofamerica.com
O1 - Hosts: 69.13.186.47 meine.deutsche-bank.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**s://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


was und WIE soll ich löschen ??

danke!

[edit]
links entfernt
[/edit]

bonjour tatie!

Lass mal die beiden Dateien

Zitat:

O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
....
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent

bei Jotti http://virusscan.jotti.org/de/ checken und poste das Ergebnis (kein Angst, Jotti ist einfach zu bedienen: einfach im Eingabefeld browsen und die Dateipfade suchen/eingeben)
Der erste zitierte Eintrag ist möglicherweise der hier http://www.sophos.com/virusinfo/anal...ojdcmbotc.html
und der zweite klingt nach einem Dialer - Dein Log sieht in der Tat sehr verseucht aus!
Bis später, stupormundi

Hi,
also, die folgenden mal im abgesicherten Modus fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local.,
O1 - Hosts: 69.13.186.47 banking.postbank.de
O1 - Hosts: 69.13.186.47 onlineid.bankofamerica.com
O1 - Hosts: 69.13.186.47 meine.deutsche-bank.de
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm

Dann manuell löschen:
C:\WINDOWS\system32\config\service.exe
C:\APPS\IE\offline\ger.htm
Dann neues Logfile posten.
Interessant wären auch die Ergebnisse von eScan
Bitte genau nach Anleitung durchführen und ebenfalls Ergebnisse posten.
cacatoa
edit: servus stupormundi, die:
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent
hab ich vergessen reinzuschreiben. Danke

uff
vorerst danke...
lasse soeben den spyware doctor noch drüber laufen....
danach gehe ich auf euere vorschläge ein...
bzw. erst muss ich valium reinwerfen, bevor ich den sohn umbringe

melde mich dann

SpywareDoctor wird Dir in dem Fall nur sehr begrenzt helfen...
Also, mach so, wei wir dir gesagt haben, das ist effizienter.
cacatoa

Nur ruhig mit den jungen Pferden

Zitat:

...bevor ich den sohn umbringe

bestenfalls die zweitbeste Lösung - verhindert möglicherweise in Zukunft Neuinfektionen, löst aber nicht Dein aktuelles Problem. Bitte lass´ auf jeden Fall die von mir zitierten Dateien zuvor bei Jotti checken, bevor Du sie löscht. Wenn sich meine Vermutung bestätigt, hast Du möglocherweise ein böses Problem, welches sich mit bloßer Entfernung der Schädlinge nicht lösen lässt!
Cu, stupormundi

@ stupormundi:
könnte durchaus sein, daß du den hier meinst, oder.
Sollte das der Fall sein, dann hab ich vorhin nachlässig gearbeitet was die "service.exe" angeht.
Na, ja. Mal abwarten.
cacatoa

lustig lustig tralalala:

Zitat:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

hatte kurzzeitig die firewall runtergefahrfen - aber es kam nur die o.a. ansage..

Hallo, tatie!

Ja, das kommt vor ...
Kommt die Meldung bei beiden?
Probier mal was anderes: Kopier die Dateien, benenn´ die Kopien um und probier es damit!
@cacatoa: Ja, auf den hätt´ ich getippt!
stupormundi