Hallo Leute,
erstmal ein grosses Dankeschoen an alle, die sich hier so super um die armen virengeplagten Leute kuemmern, das verdient Respekt !
Hab hier auch mal mein HijackThis Logfile gepostet.
Ich hatte mir vor einigen Tagen den Wurm "Win32.worm.lexi.a" eingefangen, der staendig meinen Browser umgeleitet hat.
Konnte den Wurm zwar killen mit diversen Tools, aber ich weis nicht ob immer noch was da ist.



Logfile of HijackThis v1.99.1
Scan saved at 12:38:41, on 19.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVPersonal\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\AVPersonal\AVGNT.EXE
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\AVPersonal\INETUPD.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Azureus\Azureus.exe
D:\Program Files\Java\jre1.5.0_05\bin\javaw.exe
D:\Documents and Settings\Mr. XY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://w*ww.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVRTCLK] D:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] D:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvC
pl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nTrayFw] D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B6FE0C5-8BFF-440B-97EE-2FDEB86DFAF1}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Servus, MacGyver!
Bei Deinem Nick sollte es für Dich eigentlich kein unlösbares Problem geben...
Aber im Ernst-zu Deinem Virusfund: Da den offenbar Bitdefender gefunden hat (Dateiname winlogin.exe?) gehe ich vorerst von einer Infektion mit einem Backdoortrojaner aus! Wenn das aber der Fall gewesen ist, würde ein bloßes entfernen der Dateien die Sicherheit Deines Systems nicht garantieren!
Hast Du schon alles endgültig gelöscht oder liegt in der Quarantäne Deines Scanners noch etwas herum, was man anschauen könnte. Welche Dateien hast Du gelöscht?
Falls nichts mehr da ist, lass´mal escan nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Haui45´s "find.bat" (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an die Anleitung und wähle bei der Spracheinstellung in escan "english" sonst funktioniert die find.bat nicht.
Geduld beim Scan, bei richtigen Einstellungen läuft der Scan >1 Stunde und länger.
Nachtrag noch zu Schluss: Dass Dein Betriebssystem nicht einmal ein Servicepack1 (geschweige denn SP2) hat, ist heutzutage schon fast grob fahrlässig (und bitte keine Ausreden es funktioniert nicht).
stupormundi

Danke fuer deine schnelle Hilfe !
Oha, mit dem Servicepack haste natuerlich Recht, hab erst vor kurzem Win32 installiert, hatte vorher die 64er Version. Dabei hab ich wohl ETWAS vergessen *huestel*... wie peinlich... werd ich schnell mal nachinstallieren...
Den Scan mach ich auch noch gleich.

So, hab mich nun doch zu einer Neuinstallation entschlossen, musste eh mal sein.
Also, hab alles so gemacht, wie auf Cidres Seite beschrieben, aber kaum bin ich fertig und mache mit escan nen Check im abgesicherten Modus --> 18 Viren gefunden !!!!
Ich glaub das nicht !!

Hier mal der Logfile, hoffe ihr koennt mir helfen:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 14:26:12 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
Fri Oct 21 14:43:34 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Fri Oct 21 15:09:50 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 14:47:25 2005 => File F:\Alter Rechner\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken.
Fri Oct 21 14:49:29 2005 => File F:\Downloads\mirc614.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 14:25:44 2005 => Offending Key found: HKLM\Software\gnu !!!
Fri Oct 21 14:26:11 2005 => Offending Key found: HKCU\Software\gnu !!!
Fri Oct 21 14:26:12 2005 => Offending file found: C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\insthelp.dll
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temp\insthelp.dll
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\09296pub\blank[1].htm
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\09296pub\common[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\0nw7k76b\adsend[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\0nw7k76b\common[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\g921ihaf\adswrapper[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\uladqnq5\blank[1].htm
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\09296pub\blank[1].htm
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\09296pub\common[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\0nw7k76b\adsend[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\0nw7k76b\common[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\g921ihaf\adswrapper[1].js
Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\uladqnq5\blank[1].htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 15:09:50 2005 => Total Virus(es) Found: 18
Fri Oct 21 15:09:50 2005 => Total Errors: 4
Fri Oct 21 15:09:50 2005 => Time Elapsed: 00:44:38
Fri Oct 21 15:09:50 2005 => Total Objects Scanned: 70882
Fri Oct 21 14:24:48 2005 => Virus Database Date: 2005/10/17
Fri Oct 21 15:09:50 2005 => Virus Database Date: 2005/10/17
Fri Oct 21 15:19:51 2005 => Virus Database Date: 2005/10/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Lade das Programm Regseeker und säuber mit diesem Deine Registry.
http://www.zdnet.de/downloads/prg/3/c/de0T3C_is-wc.html

Lösche die Datei mwav.log im Verzeichnis c:\bases_x.
Neuer escan sowie neues HJT-Log.

Hier einmal Log von Escan:



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 16:32:29 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 16:12:10 2005 => Offending Key found: HKLM\Software\gnu !!!
Fri Oct 21 16:16:34 2005 => Offending Key found: HKCU\Software\gnu !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 21 16:32:29 2005 => Total Virus(es) Found: 2
Fri Oct 21 16:32:29 2005 => Total Errors: 6
Fri Oct 21 16:32:29 2005 => Time Elapsed: 00:21:05
Fri Oct 21 16:32:29 2005 => Total Objects Scanned: 37552
Fri Oct 21 16:11:10 2005 => Virus Database Date: 2005/10/17
Fri Oct 21 16:32:29 2005 => Virus Database Date: 2005/10/17
Fri Oct 21 16:33:42 2005 => Virus Database Date: 2005/10/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



Und der aktuelle HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:10:39, on 21.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Stephan_Godmode\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[edit]
links entfernt
[/edit]

Was koennten das denn fuer Gesellen sein, und die die jetzt weg sind, waren die schaedlich, d.h. ist mein System wieder kompromittiert worden ??

Hat denn nun einer eine Ahnung, was ich tun koennte ??
Felix, Stupormundi ?
Keiner ?

Kann denn keiner mehr was dazu schreiben ?
Hab alles gepostet, will doch nur wissen ob jetzt alles sauber ist...

Servus, macgyver!

Zitat:

Also, hab alles so gemacht, wie auf Cidres Seite beschrieben, aber kaum bin ich fertig und mache mit escan nen Check im abgesicherten Modus --> 18 Viren gefunden !!!!
Ich glaub das nicht !!

Das ist keine Glaubensfrage

Zitat:

Fri Oct 21 16:12:10 2005 => Offending Key found: HKLM\Software\gnu !!!
Fri Oct 21 16:16:34 2005 => Offending Key found: HKCU\Software\gnu !!!

Dass ein p2p-client (gnutella, nehme ich an) gleich nach dem neu Aufsetzen wieder beim Virenscan auftaucht, ist nicht verwunderlich. Da wird immer jede Menge Müll mitinstalliert!
Zu Deinem escan

Zitat:

Fri Oct 21 16:32:29 2005 => Total Virus(es) Found: 2
Fri Oct 21 16:32:29 2005 => Total Errors: 6
Fri Oct 21 16:32:29 2005 => Time Elapsed: 00:21:05
Fri Oct 21 16:32:29 2005 => Total Objects Scanned: 37552
Fri Oct 21 16:11:10 2005 => Virus Database Date: 2005/10/17
Fri Oct 21 16:32:29 2005 => Virus Database Date: 2005/10/17
Fri Oct 21 16:33:42 2005 => Virus Database Date: 2005/10/17

Nutze bei jedem Scan aktuelle Signaturen. Was die Laufzeit Deines Scans anbelangt bin ich bei 21 Minuten auch etwas skeptisch!
Ist das HJT-Logfile aus dem abgesicherten Modus? Wenn ja, poste eines aus dem normalen Modus
Zu diesen Einträgen

Zitat:

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

Repariere das mit lspfix
http://www.bleepingcomputer.com/files/lspfix.php
Sonst kann ich in Deinen Logfiles nichts Aufregendes entdecken!
stupormundi

kurz einmisch:

Lspfix bitte nicht anwenden: http://www.spywaredata.com/spyware/m...filter.dll.php

dartus

@dartus: *thx* Danke für den Hinweis
@MacGyver: forget lspfix - habe ich nicht genau genug nachgesehen!
stupormundi

Also, an p2p hab ich nix installiert, komische sache...

Hier ein HJT aus dem normalen Modus:

Logfile of HijackThis v1.99.1
Scan saved at 13:00:48, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stephan_Godmode\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht**tp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht***tp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D995CD0D-EDB0-47DF-9686-08659554CE9A}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ach ja, was die Laufzeit angeht, hab halt nur C: gescannt, da waren ja die Viren drauf, auf den anderen Partitionen war ja nix. Hab auch keine Daten bewegt bisher, daher duerfte das doch ok sein, oder ?