Hi Haui,

Was hast du denn schon mit HijackThis entfernt? Am besten für uns ist ein unbearbeitetes Log.

Mit HijackThis habe ich direkt nichts entfernt; ich meinte, dass durch die Löschung der verschiedenen Viren/Trojaner über Antivir & Spybot sich das Protokoll reduziert haben müsste.

Beende mal die folgenden Prozesse mit HijackThis (misc tools section-> open process manager) und überprüfe die Dateien dann online auf http://virusscan.jotti.org/de. Poste das Ergebnis.[/QUOTE]

Leider verstehe ich nicht was du mit "beende mal die folgenden Prozesse mit HijackThis meinst? Sorry; bin absoluter Neuling im Land der Viren.

Gruß Joseppe

HjT starten-> Open the Misc Tools section-> Open process manager-> Prozess auswählen-> Kill process-> Ja

Ok; nun hats geklappt:

Das Ergebnis Nr.1 lautet:

Service load:
0% 100%
File: adddr.exe
Status: INFECTED/MALWARE
MD5 e180ff6e4c730acd2a62d906967341eb
Packers detected:
PE_PATCH.SUE, PE-CRYPT.SUE, UPX
Scanner results
AntiVir Found Trojan/Dldr.Agent.BQ.30
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Downloader.Agent.ZG
BitDefender Found Trojan.Downloader.Agent.BQ
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.3312
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.bq
NOD32 Found Win32/TrojanDownloader.Agent.BQ
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Trojan-Downloader.Win32.Agent.bq

Das Ergebnis Nr.2 lautet:
File: sysqy.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 7eec7bf62c6ddb9227cbd50629759a80
Packers detected:
PE-CRYPT.SQR, UPX
Scanner results
AntiVir Found Trojan/Agent.BI
ArcaVir Found Trojan.Agent.Bi
Avast Found Win32:Trojano-1079
AVG Antivirus Found BackDoor.Agent.8.K
BitDefender Found Trojan.Agent.BI
ClamAV Found Trojan.Agent-40
Dr.Web Found BackDoor.Netag
F-Prot Antivirus Found W32/Agent.MD
Fortinet Found W32/Agent.MD-tr
Kaspersky Anti-Virus Found Trojan.Win32.Agent.bi
NOD32 Found Win32/Agent.NAB
Norman Virus Control Found W32/Agent.BZZ
UNA Found nothing
VBA32 Found Trojan.Win32.Agent.bi

Ich persönlich würde das System komplett plattmachen und neu aufsetzen.

Ansonsten kannst du auch eine Bereinigung versuchen, wobei du dir aber nicht vollkommen sicher sein kannst, ob sie erfolgreich war!

Entpacke HijackThis in einen eigenen Ordner.

Lade eScan und führe die unter Download, entpacken und aktualisieren von eScan: beschriebenen Schritte durch. Speichere die pdf-Anleitung am besten auch gleich mit ab. Lade Killbox auch noch mit herunter.

Starte den PC im abgesicherten Modus.

Fixe mit HijackThis

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {6FCAF567-3DE8-8E0A-AE66-85CFEC2FA8D2} - C:\WINDOWS\sdkog.dll
O2 - BHO: Class - {D4BBFCAF-3F30-7E69-4762-58A3BA736796} - C:\WINDOWS\iely32.dll
O2 - BHO: Class - {F8B9848E-DD4B-7336-C734-7E561B0875DB} - C:\WINDOWS\system32\crsi.dll

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [adddr.exe] C:\WINDOWS\adddr.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\\MAIN.MHT!hddp://super-gals.com//index//in//index.chm::/ad.exe
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - hddp://ww.innova-webplaner.de/innov...um.7.0.0.12.cab

Start-> Ausführen-> "services.msc" mit [Enter] bestätigen-> Suche den Dienst "Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I)" heraus-> Rechtsklick-> Starttyp auf "Deaktiviert" stellen.

Lösche manuell, z.B. mit Killbox:
C:\WINDOWS\system32\wbopt.dll
C:\WINDOWS\web\related.htm
C:\WINDOWS\adddr.exe
c:\programme\180solutions
C:\WINDOWS\system32\crsi.dll
C:\WINDOWS\iely32.dll
C:\WINDOWS\sdkog.dll
C:\WINDOWS\sysqy.exe

Scanne mit eScan und lösche die gefundenen Dateien manuell.

Starte HijackThis erneut und wechsle in die misc tools section-> wähle "Delete a NT service aus" und kopiere "Workstation NetLogon Service" ohne die Anführungszeichen hinein-> OK

Neustart.

Lade den Process-Explorer herunter und entpacke die Dateien (z.B. nach C:\Programme\Process Explorer\). Starte die "procexp.exe". "View"-> select columns -> alles außer "Process Name" und "Command Line" deaktivieren.
File-> Save as...-> Abspeichern und die Datei hier posten.

Außerdem ein neues HjT-Log und die Virus-Log-Information von eScan posten.