Hallo Leute, da ein Freund von mir ein problem mit einem Virus-Spybot hat wollte ich fragen ob ihr ihm helfen könnt. Er meinte das der Virus Emails über sein Konto versendet. Der name des Virus ist Rbot.

unten ist der HijackThis LOG


Logfile of HijackThis v1.99.1
Scan saved at 22:40:09, on 07.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MsLX32.exe
C:\WINDOWS\System32\netddesrv.exe
C:\WINDOWS\system32\directx\dinput\temp\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\Mixer.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\programme\zango\zango.exe
C:\WINDOWS\System32\rgklqtam.exe
C:\WINDOWS\windat.exe
C:\Dokumente und Einstellungen\*zensiert*\yeint.exe
C:\WINNT\SYSTEM32\masound.exe
C:\named.exe
C:\WINDOWS\System32\MSJP32.exe
C:\WINDOWS\System32\JS32.exe
C:\WINDOWS\System32\MsJ32.exe
C:\WINDOWS\System32\FWMs32.exe
C:\WINDOWS\System32\MSNav32.exe
C:\WINNT\SYSTEM32\usila.exe
C:\WINDOWS\System32\msmoni.exe
C:\WINDOWS\System32\MSFW16.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\r?ndll.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\mred\otee.exe
C:\WINDOWS\System32\msmoni.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\MSFW2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\1.tmp
c:\winnt\system32\okayall.exe
C:\WINDOWS\System32\emnimen.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\PROGRA~1\WebHost\webhost-v2.exe
C:\PROGRA~1\WebHost\webhost-v2.exe
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\*zensiert*\Desktop\HijackThis.exe





R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://***.ampmsearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://***.ampmsearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://***.ampmsearch.com/sp2.php
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {1DB6564A-C9F6-9F72-86F8-CD6937F989BD} - C:\WINDOWS\System32\lrpmn.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\zango\zangohook.dll
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Freeprod Toolbar\freeprod.dll
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [zango] c:\programme\zango\zango.exe
O4 - HKLM\..\Run: [rgklqtam] C:\WINDOWS\System32\rgklqtam.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKLM\..\Run: [UPh$vùõš/‚²�ÆßfÏNbC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\gysno.exe
O4 - HKLM\..\Run: [Sxcasdwqas] C:\Dokumente und Einstellungen\*zensiert*\yeint.exe
O4 - HKLM\..\Run: [Up Service] up32.pif
O4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXE
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\named.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe
O4 - HKLM\..\Run: [msjp] C:\WINDOWS\System32\MSJP32.exe
O4 - HKLM\..\Run: [navsys] C:\WINDOWS\System32\JS32.exe
O4 - HKLM\..\Run: [msfirewall32] C:\WINDOWS\System32\FWMs32.exe
O4 - HKLM\..\Run: [MSAntiVirus] C:\WINDOWS\System32\MSNav32.exe
O4 - HKLM\..\Run: [Fvqwedf] C:\WINNT\SYSTEM32\usila.exe
O4 - HKLM\..\Run: [MSFireWall] C:\WINDOWS\System32\MSFW16.exe
O4 - HKLM\..\Run: [Windows CMS Protocol] cmss.exe
O4 - HKLM\..\Run: [MSFireWall2] C:\WINDOWS\System32\MSFW2.exe
O4 - HKLM\..\Run: [Moahte] emnimen.exe
O4 - HKLM\..\Run: [Microsoft SDKP2] mswinsdp.exe
O4 - HKLM\..\RunServices: [Up Service] up32.pif
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKLM\..\RunServices: [services] c:\windows\temp\http\iroffer\start.exe
O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE
O4 - HKLM\..\RunServices: [Norton Antivirus] nortonav.exe
O4 - HKLM\..\RunServices: [AOL Instant Messenger dll runtime] MSAOL32dll.exe
O4 - HKLM\..\RunServices: [Windows CMS Protocol] cmss.exe
O4 - HKLM\..\RunServices: [Moahte] emnimen.exe
O4 - HKLM\..\RunServices: [Microsoft SDKP2] mswinsdp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Up Service] up32.pif
O4 - HKCU\..\Run: [Lyt] C:\WINDOWS\System32\r?ndll.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNMSGRS.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Browser Help Svc] BHSV.EXE
O4 - HKCU\..\Run: [Etcp] "C:\Programme\mred\otee.exe" -vt mt
O4 - HKCU\..\Run: [Norton Antivirus] nortonav.exe
O4 - HKCU\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe
O4 - HKCU\..\Run: [Winsow] msmoni.exe
O4 - HKCU\..\Run: [Windows CMS Protocol] cmss.exe
O4 - HKCU\..\Run: [Moahte] emnimen.exe
O4 - HKCU\..\Run: [Microsoft SDKP2] mswinsdp.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [Up Service] up32.pif
O4 - HKCU\..\RunServices: [intel Service Drivers] updates.exe
O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE
O4 - HKCU\..\RunServices: [Norton Antivirus] nortonav.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\F

hier endet der HJT Log.

danke schoneinmal für eure hilfe!

Hallo,

also dein kumpel sollte Dies ausführen.
eine andere option sehe ich bei diesen system nicht.
da es auch nicht auf dem neuesten stand ist.
hat noch SP 1 also wäre unbedingt SP 2 pflicht.
aber das ist nun zu spät.
genau an den link halten dann sollte sowas nicht mehr passieren.

gruß