Bei mir geht immer eine Security Seite auf wo steht das ich W32.Sinnaka.A@mm habe

Seufz, wie bekomme ich das wieder weg? Hab schon etwas gelesen aber jeder Fall scheint anders zu sein. Habe mal ein HijackThis Log erstellt

Logfile of HijackThis v1.99.1
Scan saved at 22:38:22, on 23.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\smspager\smspager.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\1024\ld5135.tmp
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\Programme\hijack\HijackThis.exe

O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINNT\system32\hp1B9E.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122587455718
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - h**p://82.196.8.134/tools/FlipsideWebLauncherControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://anu.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E39943E7-C74C-4A92-9BE7-94A020E0F86A}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Über Hilfe würde ich mich sehr freuen, traue mich gar nicht den PC neuzustarten oder runterzufahren mit der Angst das danach gar nix mehr geht *fg

Liebe Grüsse
verzweifelte Lady

[edit]
links entfernt
[/edit]

Hallo Lady-L,

editiere bitte sämtliche Links in Deinem Logfile.

Arbeite folgendes durch:
http://www.trojaner-board.de/showthread.php?t=21709

Desweiteren wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT und Häckchen vor Eintrag):

O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINNT\system32\hp1B9E.tmp
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll (file missing)
alle "016"-Einträge, die Dir nicht bekannt sind.

Lösche manuell:

C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\1024\ld5135.tmp

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Benutze zum Surfen zukünftig einen sicheren Browser .

Neues Logfile

dartus

Ich bin wohl blind oder einfach zu müde aber ich finde keinen Link zum Editieren


Danke für deine Hilfe, ich werde das mal durchgehen, is ja doch ne ganze Menge und das wo ich kaum Ahnung von Computern habe, jaja ich weiss, Frauen und Technik, seufz.



Nachtrag: Bei diesem Beitrag ist ein Button zum Editieren, beim anderen nicht. Tut mir Leid für die Links

Hallo Lady-L,

schau in Deinem 1. Post die "016"-Einträge an. Das sind Links editiere sie von "http" in "h..p".

dartus

Ich weiss was Links sind, aber ich finde in meinem 1. Beitrag keinen Button zum Editieren

Hallo dartus,

habe die Anweisungen befolgt

allerdings liessen sich diese Datein im abgesicherten Modus nicht finden

C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\1024\ld5135.tmp

Die Warnseite erscheint nicht mehr, es kommt wieder meine normale Startseite about blank :-)

Mein PC scheint dennoch nicht sauber zu sein, NOD32 sagt mir:

Scan-Zeit: 24.10.2005 09:38:13
Report
NOD32 Version 1.1263 (20051021) NT
Arbeitsspeicher - - OK

Datum: 24.10.2005 Zeit: 09:38:13
Prüfe Laufwerke, Ordner und Dateien: C:
C:\pagefile.sys - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\Dokumente und Einstellungen\***\NTUSER.DAT - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\Dokumente und Einstellungen\***\Desktop\Install.exe - Win32/Adware.SpySheriff Anwendung
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\program files\SpyTrooper\Uninstall.exe - Win32/Adware.SpySheriff Anwendung - gelöscht
C:\Programme\AVPersonal\INFECTED\COUNTER.CLASS-26FAEBA-751C2C21.CLASS.VIR - Java/Femad.A Trojaner - gelöscht
C:\Programme\AVPersonal\INFECTED\DUMMY.CLASS-53C3C437-4A6C9ED0.CLASS.VIR - JS/IEStart Trojaner - gelöscht
C:\Programme\AVPersonal\INFECTED\GUMMY.CLASS-7E60C2E9-1BB8DEC3.CLASS.VIR - Java/Bytverify Trojaner - gelöscht
C:\Programme\AVPersonal\INFECTED\INSECURECLASSLOADER.CLASS-1FD5A1FE-3E4FFB7E.CLASS.VIR - Java/Exploit.Bytverify.F Trojaner - gelöscht
C:\WINNT\system32\config\default - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\default.LOG - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\SAM - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\SAM.LOG - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\SECURITY - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\SECURITY.LOG - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\software - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\software.LOG - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\system - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\WINNT\system32\config\SYSTEM.ALT - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
Anzahl geprüfter Dateien: 63957
Anzahl infizierter Objekte: 6
Anzahl gesäuberter Dateien: 5
Weiterhin infizierte Objekte: 1
Beendet um: 10:01:36 Uhr Benötigte Zeit: 1403 Sek (00:23:23)

Hinweise:
[4] Die Datei kann nicht geöffnet werden. Sie ist in exklusiver Benutzung durch eine andere Anwendung.




Und der neue Hijack sagt:

Logfile of HijackThis v1.99.1
Scan saved at 09:44:13, on 24.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Eset\nod32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\Programme\hijack\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - **.*****.com/**/**/***/**.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122587455718
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - ****//82.196.8.134/tools/FlipsideWebLauncherControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ****messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - ****eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - ***anu.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - ****creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E39943E7-C74C-4A92-9BE7-94A020E0F86A}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo Lady-L,

lösche die Datei halt manuell (vorzugsweise im abgesicherten Modus):
C:\Dokumente und Einstellungen\***\Desktop\Install.exe

Du hast 2 Antivir-Programme mit aktiviertem Hintergrundwächter, deaktiviere einen. Mehrere nützen nichts, vielmehr bremsen sie das System aus und behindern sich gegenseitig.

Ansonsten ist nichts auffälliges zu erkennen.

Verwende zukünftig zum Surfen einen sicheren Browser .

dartus

Vielen Dank, ich gehe nochmal in den abgesicherten und versuche die Datei zu löschen. Danach mache ich nochmal einen Test. Bin da halt etwas vorsichtig, nachher geht gar nichts mehr.

Normal habe ich nur Antivir laufen, die anderen Programme habe ich mir nur runtergeladen wegen diesem Virus.

Vielen Dank

Vielen Dank, das Programm hat nix mehr gefunden. Danke