Fast hätte ich´s vergessen ... das HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:25, on 24.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\DWRCST.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NavNT\vptray.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\wmx_win.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINNT\system32\MsiExec.exe
E:\AntiTrojan\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer by Maxdata
R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [INITCAPI.EXE] C:\WINNT\system32\initcapi.exe
O4 - HKLM\..\Run: [NijSrv32] C:\WINNT\nijsrv.exe
O4 - HKLM\..\Run: [JazSrv32] C:\WINNT\jazsrv.exe
O4 - HKLM\..\Run: [HkfSrv32] C:\WINNT\hkfsrv.exe
O4 - HKLM\..\Run: [winsnt] C:\WINNT\winsnt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinMail32SpoolSrv] C:\WINNT\wmx_win.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [winsnt] C:\WINNT\winsnt.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O15 - Trusted Zone: http://*.SBS
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 69.50.161.82
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: HICOM LAN Bridge VCapiDrv (vcapidrv) - Unknown owner - C:\WINNT\system32\vcapintsvc.exe

Habe irgendwie den verdacht, dass folgender Registry-Eintrag damit zutun haben könnte:

HKEY_LOCAL_MACHINE>Software>Microsoft>DownloadManager

Habe den Eintrag mal gelöscht und es kam zeitweise keine Meldung mehr. Nach ein paar Minuten kam die dann doch wieder und auf einmal war auch der Registry EIntrag "DownloadManager" wieder da

Könnte das ein Lösungsweg sein?

Hallo,
da ich Baketball Fan bin habe ich jetzt keine Lust drüber zu gehen, entweder ich schaue es mir mal danach an, oder, was wahrscheinlicher ist, ich schaue morgen drüber. Bitte lösche keine Sachen bei denen du dir nicht sicher bist, damit machst du es ev. nur noch schlimmer.
Du könntest aber schon mal ein paar Antispywaretools drüberlaufen lassen, Spybot, Ad-Aware, Ewido.



Grüße Wildone

S&D & Adaware finden nichts

Ewido hat einiges gefunden und gleich "gesäubert". Nun find auch Ewido keine Infizierung mehr ... die Norton Meldung bzgl. sysml.dll wird aber nachwievor angezeigt. Wenn ich den Eintrag (nach Anleitung von MicroTrend) aus der Registry lösche, habe ich ein paar Minuten lang Ruhe ... nach ca. 10 min. ist der eintrag aber wieder da und die meldung erscheint erneut. Der Rechner ist übrigens hier nicht mit dem Internet verbunden.

Welcher Scanner oder Handmethode kann nun diesen Virus/Trojaner und Registry Eintrag "DownloadManager" dauerhaft löschen?

Mal viel Spaß beim Baskettball ... habe das Gefühl Ewida hat´s gesäubert. Wieso ist das Programm soviel leistungsfähiger als alle anderen??

Ich mache gerade nochmal ein Norton Scan ... normal hat er spätestens nach 9min einen virus gefunden ... mal sehen ... ich melde mich!

Ewida hat´s echt geschafft! Danke für den Tipp und noch vieeeel Spaß beim Basketball!

@Sabina: werde gleich mal deine Tipps befolgen ... wobei ich bereits einigen nach deinen letzten tipps befolgt habe. Danke!!

ich bin vom verseuchten System ausgegangen, ich weiss nicht, was ewido schon geloescht hat und du hast, wie stets, nicht den scanreport gepostet......

Hallo@

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

poste hier alle 4 logs, (ca. 2 Monate zurueck im Datum)
http://nikita.eddys-domain.de/datfindbat.html

•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"-->Remove
und loesche die aklsp.dll
(eventuell musst du die dll von links nach rechts bringen)

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\nkxut.dll
C:\WINNT\system32\sysml.dll
C:\WINNT\angfctcd.dll
C:\WINNT\IEMenuExtension.exe
C:\WINNT\mstasks2.exe
C:\WINNT\SSK_B5.EXE
C:\WINNT\toolbar.exe
C:\WINNT\winsnt.exe
C:\WINNT\nijsrv.exe
C:\WINNT\jazsrv.exe
C:\WINNT\hkfsrv.exe
C:\WINNT\wmx_win.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\temp.fr358F
C:\Dokumente und Einstellungen\C\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat
C:\WINNT\system32\akcore.dll
C:\WINNT\system32\akrules.dll
C:\WINNT\system32\akupd.dll
C:\WINNT\system32\mac80ex.idf
C:\WINNT\system32\netut80ex.vxd
C:\WINNT\system32\nltdtect.dll
C:\WINNT\system32\psis80ex.ax
C:\WINNT\system32\qlpoclvm.dll
C:\WINNT\system32\initcapi.exe

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)

O4 - HKLM\..\Run: [INITCAPI.EXE] C:\WINNT\system32\initcapi.exe
O4 - HKLM\..\Run: [NijSrv32] C:\WINNT\nijsrv.exe
O4 - HKLM\..\Run: [JazSrv32] C:\WINNT\jazsrv.exe
O4 - HKLM\..\Run: [HkfSrv32] C:\WINNT\hkfsrv.exe
O4 - HKLM\..\Run: [winsnt] C:\WINNT\winsnt.exe
O4 - HKLM\..\Run: [WinMail32SpoolSrv] C:\WINNT\wmx_win.exe
O4 - HKCU\..\Run: [winsnt] C:\WINNT\winsnt.exe
O15 - Trusted Zone: http://*.SBS
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 69.50.161.82
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

PC neustarten

hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
http://www.funkytoad.com/download/hoster.zip

•AdAware-VX2
#Ad-aware SE Personal
http://nikita.eddys-domain.de/adaware.html

# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/...2cleaner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.

scanne mit panda und berichte
http://virus-protect.net/onlinescan.html

poste das neue Log vom HijackTHis