Spyaxe Virus! Bitte dringend um Hilfe!!

nameless91 · 12.12.2005, 16:14

Hallo,

bin neu hier, wie man sieht

nun hoffe ich, dass mir hier jemand helfen kann, bekam ständig die fehlermeldung "Virus Alert" in der taskleiste, die zu der "Spyaxe" seite führt. seit gestern wurde nun auchnoch meine startseite (google) geändert. habe dann alles so gemacht, wies hier beschrieben steht:

http://www.trojaner-board.de/showthread.php?t=21709

danach klappte es wieder mit der startseite, aber die meldung/virus geht und geht nicht weg. über spybot kam auchnoch die meldung, dass ein virus nicht gelöscht werden konnte (ich glaube c-smifraud). bitte helft mir!

hier meine logs:

1. hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 15:54:43, on 12.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\download\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://w*w.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 62.75.224.159 www.bns1.net
O1 - Hosts: 62.75.224.159 www.bns2.net
O1 - Hosts: 62.75.224.159 www.bns3.net
O1 - Hosts: 62.75.224.159 www.bns4.net
O1 - Hosts: 62.75.224.159 www.bns5.net
O1 - Hosts: 62.75.224.159 www.bns6.net
O1 - Hosts: 62.75.224.159 www.bns7.net
O1 - Hosts: 62.75.224.159 www.bns8.net
O1 - Hosts: 62.75.224.159 www.cms1.net
O1 - Hosts: 62.75.224.159 www.cms2.net
O1 - Hosts: 62.75.224.159 www.cms3.net
O1 - Hosts: 62.75.224.159 www.cms4.net
O1 - Hosts: 62.75.224.159 www.cms5.net
O1 - Hosts: 62.75.224.159 www.cms6.net
O1 - Hosts: 62.75.224.159 www.cms7.net
O1 - Hosts: 62.75.224.159 www.cms8.net
O1 - Hosts: 62.75.224.159 www.rg1.com
O1 - Hosts: 62.75.224.159 www.rg2.com
O1 - Hosts: 62.75.224.159 www.rg3.com
O1 - Hosts: 62.75.224.159 www.rg4.com
O1 - Hosts: 62.75.224.159 www.rg5.com
O1 - Hosts: 62.75.224.159 www.rg6.com
O1 - Hosts: 62.75.224.159 www.rg7.com
O1 - Hosts: 62.75.224.159 www.rg8.com
O1 - Hosts: 62.75.224.159 www.cjt1.net
O1 - Hosts: 62.75.224.159 www.rgs1.net
O1 - Hosts: 62.75.224.159 www.rgs2.net
O1 - Hosts: 62.75.224.159 www.bns1.net
O1 - Hosts: 62.75.224.159 www.bns2.net
O1 - Hosts: 62.75.224.159 www.cms1.net
O1 - Hosts: 62.75.224.159 www.cms2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 bns3.net
O1 - Hosts: 62.75.224.159 bns4.net
O1 - Hosts: 62.75.224.159 bns5.net
O1 - Hosts: 62.75.224.159 bns6.net
O1 - Hosts: 62.75.224.159 bns7.net
O1 - Hosts: 62.75.224.159 bns8.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 cms3.net
O1 - Hosts: 62.75.224.159 cms4.net
O1 - Hosts: 62.75.224.159 cms5.net
O1 - Hosts: 62.75.224.159 cms6.net
O1 - Hosts: 62.75.224.159 cms7.net
O1 - Hosts: 62.75.224.159 cms8.net
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 rg2.com
O1 - Hosts: 62.75.224.159 rg3.com
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 rg6.com
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 rg8.com
O1 - Hosts: 62.75.224.159 cjt1.net
O1 - Hosts: 62.75.224.159 rgs1.net
O1 - Hosts: 62.75.224.159 rgs2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 j800banners.cjt1.net
O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net
O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net
O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net
O1 - Hosts: 62.75.224.159 javatar.cjt1.net
O1 - Hosts: 62.75.224.159 jbeet.cjt1.net
O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net
O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net
O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net
O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net
O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net
O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net
O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net
O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net
O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net
O1 - Hosts: 62.75.224.159 jhot.cjt1.net
O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net
O1 - Hosts: 62.75.224.159 jicq.cjt1.net
O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net
O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net
O1 - Hosts: 62.75.224.159 jmindset.cjt1.net
O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net
O1 - Hosts: 62.75.224.159 jnictech.cjt1.net
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net
O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net
O1 - Hosts: 62.75.224.159 jsercee.cjt1.net
O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net
O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net
O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net
O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net
O1 - Hosts: 62.75.224.159 www.m7z.net
O1 - Hosts: 62.75.224.159 m7z.net
O1 - Hosts: 62.75.224.159 jcms.cydoor.com
O1 - Hosts: 62.75.224.159 cydoor.com
O1 - Hosts: 62.75.224.159 www.cydoor.com
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Super Ad Blocker Service - SuperAdBlocker.com - C:\Programme\Super Ad Blocker\SABSVC.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

2. escan: ist ein riesiger TXT file, wird man nicht draus schlau. gab auch virusmeldungen beim scan, hätte ich aber kaufen müssen um zu beheben. siehe unten, habs versucht anzuhängen, ist aber zu groß

3. smitfiles.txt:

smitRem © log file
version 2.8

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SpyAxeFix © by noahdfear

spyaxe directory present

spyaxe uninstaller present

Starting spyaxe uninstaller

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

Antivirus Test Online.url

~~~ system32 folder ~~~

1024 dir
msvol.tlb
ld****.tmp
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp

~~~ Icons in System32 ~~~

ts.ico
ot.ico

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 812 'explorer.exe'
Killing PID 812 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

ich hoffe das war jetzt alles richtig :/ gibts da irgendeine lösung? ich bin echt am verzweifeln

nameless91 · 12.12.2005, 16:17

wie mach ich denn hier anhänge? ich versuchs nochma mit dem escan.log ...

nameless91 · 12.12.2005, 16:21

leider ist meine escan.log.txt datei viel zu groß ... kann mir trotzdem jemand helfen??

Wildone · 12.12.2005, 16:22

Hallo,
lass das mal mit dem anhängen, öffne die Datei mit dem Texteditor und suche (bearbeiten>>suchen) nach den Begriffen "infected" "tagged" und "offending" und poste die jeweiligen Einträge.
Außerdem kannst du mal folgendes machen und die vier logs posten, nur die Dateien der letzten drei monate abkopieren!

Grüße Wildone

nameless91 · 12.12.2005, 16:52

vielen dank für die schnelle antwort

hier das escan.log:

Mon Dec 12 15:35:38 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Mon Dec 12 15:35:38 2005 => Scanning File C:\WINDOWS\system32\JAVASUP.VXD

Mon Dec 12 15:35:38 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Dec 12 15:35:38 2005 => Loading Spyware Signatures from new External Database (Size: 146155).
Mon Dec 12 15:35:40 2005 => Indexed Spyware Databases Successfully Created...

Mon Dec 12 15:35:51 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Mon Dec 12 15:35:52 2005 => Offending Key found: HKLM\Software\gnu !!!
Mon Dec 12 15:35:52 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Dec 12 15:35:52 2005 => Offending Key found: HKLM\Software\kazaa !!!
Mon Dec 12 15:35:52 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Dec 12 15:35:53 2005 => Offending Key found: HKCU\Software\gnu !!!
Mon Dec 12 15:35:53 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Dec 12 15:35:53 2005 => Offending Key found: HKCU\Software\kazaa !!!
Mon Dec 12 15:35:53 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Dec 12 15:35:53 2005 => Offending file found: C:\WINDOWS\alchem.ini
Mon Dec 12 15:35:53 2005 => System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: No Action Taken.

Mon Dec 12 15:35:53 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Mon Dec 12 15:35:53 2005 => System found infected with zipitpro Spyware/Adware (iun6002.exe)! Action taken: No Action Taken.

Mon Dec 12 15:35:54 2005 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Mon Dec 12 15:35:54 2005 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Dec 12 15:36:02 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\t-online_zusatzsoftware\personalfirewall\setup\help\common\symshare\help\disable.dll
Mon Dec 12 15:36:02 2005 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.

Mon Dec 12 15:36:02 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\t-online_zusatzsoftware\virenschutz\nav\external\commonfi\symshare\help\disable.dll
Mon Dec 12 15:36:02 2005 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.

Mon Dec 12 15:36:03 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Mon Dec 12 15:36:03 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.

von dieser sorte sind dann auchnoch viele einträge vorhanden:

Mon Dec 12 15:36:06 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Dec 12 15:36:06 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken.

bei der datei hat sich das hier ergeben:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\system32

11.12.2005 19:27 98.304 ioctrl.dll
27.11.2005 20:23 2.206 wpa.dbl
15.11.2005 07:45 376.016 perfh009.dat
15.11.2005 07:45 386.338 perfh007.dat
15.11.2005 07:45 51.814 perfc009.dat
15.11.2005 07:45 62.578 perfc007.dat
15.11.2005 07:45 886.992 PerfStringBackup.INI
09.11.2005 03:08 341.832 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
10.10.2005 12:45 176.167 rmoc3260.dll
10.10.2005 12:45 5.632 pndx5032.dll
10.10.2005 12:45 6.656 pndx5016.dll
10.10.2005 12:45 278.528 pncrt.dll
07.10.2005 10:41 22 ati64hlp.stb
06.10.2005 19:11 22 ati64hl2.stb
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
27.09.2005 15:14 11.270 KGyGaAvL.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll

und

12.12.2005 16:30 2.601.592 sa8.exe
12.12.2005 16:29 0 sa8.tmp
12.12.2005 15:52 131.436 Spyware.sdb
12.12.2005 15:52 387.929 Dir.sdb
12.12.2005 15:52 580.049 Cid.sdb
12.12.2005 15:52 1.691.874 File1.sdb
12.12.2005 15:52 146.155 spydb.old
12.12.2005 15:52 118.031 File2.sdb
12.12.2005 15:52 146.155 spydb.avs
12.12.2005 15:49 0 sa4.tmp
12.12.2005 15:49 206 jusched.log
12.12.2005 15:41 1.569 avp.set
12.12.2005 15:41 904 daily-ex.avc
12.12.2005 15:41 11.409 avp.klb
12.12.2005 15:41 48.372 base006.avc
12.12.2005 15:41 61.647 base082.avc
12.12.2005 15:41 107.730 unp026.avc
12.12.2005 15:41 21.425 fa.avc
12.12.2005 15:41 41.471 ext005.avc
12.12.2005 15:41 63.298 base007.avc
12.12.2005 15:41 16.591 daily.avc
12.12.2005 15:38 802.290 MWAV.LOG
12.12.2005 15:38 866 mwXface.log
12.12.2005 15:33 241.664 MYDB.DLL
12.12.2005 15:19 0 sa3.tmp
09.12.2005 15:35 489.984 Download.exe
09.12.2005 13:42 80.084 unp019.avc
09.12.2005 13:35 97.792 MWAVL.exe
09.12.2005 02:50 361.984 viewtcp.exe
09.12.2005 02:32 1.706 ViewTcp.lan
09.12.2005 02:32 1.706 English.tcp
08.12.2005 16:47 48.070 ext003.avc
08.12.2005 16:47 49.098 ext001.avc
08.12.2005 16:47 48.062 ext004.avc
08.12.2005 14:50 331.776 esupdate.exe
08.12.2005 14:29 69.442 ca.avc
08.12.2005 14:15 122.880 msvlclnt.dll
08.12.2005 14:13 41.024 Getvlist.exe
08.12.2005 13:55 375.360 mwavscan.com
07.12.2005 23:10 122 0FD1A8EB.TMP
07.12.2005 18:23 50.388 troj016.avc
07.12.2005 18:05 45.017 Finnish.Age
07.12.2005 18:05 47.980 Polish.Age
07.12.2005 18:05 5.108 Download.lan
07.12.2005 18:05 5.108 English.dow
07.12.2005 18:05 48.362 Spanish.Age
07.12.2005 18:05 43.958 Romanian.Age
07.12.2005 18:05 47.530 Portuguese.Age
07.12.2005 18:05 55.566 Italian.Age
07.12.2005 17:55 42.626 English.Age
07.12.2005 17:55 42.626 language.ini
07.12.2005 17:31 47.859 French.Age
07.12.2005 16:51 5.881 Polish.dow
07.12.2005 16:39 61.107 unp014.avc
07.12.2005 16:39 51.435 troj025.avc
07.12.2005 16:39 29.619 gen004.avc
07.12.2005 16:22 58.098 German.Age
06.12.2005 16:10 5.523 German.dow
06.12.2005 14:30 32.826 krnexe.avc
06.12.2005 14:30 36.526 virus020.avc
05.12.2005 13:46 340.480 MWAVReg.EXE
05.12.2005 11:35 100.027 troj007.avc
05.12.2005 11:35 52.896 base081.avc
04.12.2005 14:53 1.737 German.tcp
04.12.2005 14:29 13.347 German.con
02.12.2005 10:59 48.179 malw004.avc
02.12.2005 10:59 83.879 virus016.avc
02.12.2005 10:59 48.117 ext002.avc
01.12.2005 18:18 5.306 Finnish.dow
01.12.2005 18:18 5.768 French.dow
01.12.2005 18:18 5.766 Spanish.dow
01.12.2005 18:18 5.371 Romanian.dow
01.12.2005 18:18 5.710 Portuguese.dow
01.12.2005 18:18 5.393 Italian.dow
01.12.2005 14:45 1.841 Polish.tcp
01.12.2005 14:02 11.277 Polish.con
29.11.2005 10:37 218.120 troj033.avc
29.11.2005 10:37 49.343 worm005.avc
25.11.2005 23:49 107.785 troj034.avc
25.11.2005 23:49 49.194 troj032.avc
25.11.2005 17:33 1.397 Chinese.tcp
25.11.2005 17:33 7.378 Chinese.con
25.11.2005 17:29 1.718 Spanishl.tcp
25.11.2005 17:29 1.718 Spanish.tcp
25.11.2005 17:29 10.405 Spanish.con
25.11.2005 17:25 1.895 Portuguese.tcp
25.11.2005 17:24 10.655 Portuguese.con
25.11.2005 17:24 1.718 Italian.tcp
25.11.2005 17:23 9.555 Italian.con
25.11.2005 17:23 1.886 French.tcp
25.11.2005 17:21 10.998 French.con
25.11.2005 17:19 1.750 Finnish.tcp
25.11.2005 17:18 10.091 Finnish.con
23.11.2005 22:25 50.879 troj009.avc
23.11.2005 22:25 188.662 unp025.avc
23.11.2005 22:25 37.093 unp012.avc
18.11.2005 19:32 44.623 unp018.avc
18.11.2005 19:32 101.737 troj005.avc
18.11.2005 19:32 14.008 kernel.avc
18.11.2005 19:32 50.729 krnexe32.avc
18.11.2005 19:32 29.097 unp021.avc
18.11.2005 19:32 28.752 krnengn.avc
18.11.2005 12:01 7.187 Polish.lic
17.11.2005 13:10 9.374 unp000.avc
17.11.2005 13:10 92.411 krnmacro.avc
17.11.2005 13:10 62.198 unp015.avc
15.11.2005 11:54 14.227 mail.avc
15.11.2005 11:54 6.101 smart.avc
10.11.2005 15:11 56.430 unp006.avc
10.11.2005 15:11 34.528 unp024.avc
10.11.2005 15:11 65.807 krnunp.avc
10.11.2005 15:11 50.028 troj031.avc
10.11.2005 15:11 81.196 unp007.avc
07.11.2005 16:36 109.301 troj003.avc
07.11.2005 16:36 73.725 virus003.avc
02.11.2005 13:21 56.623 troj022.avc
02.11.2005 13:21 113.508 krn001.avc
02.11.2005 13:21 48.314 malw003.avc
02.11.2005 13:21 54.697 malw002.avc
26.10.2005 11:22 77.389 virus012.avc
26.10.2005 11:22 50.124 troj013.avc
26.10.2005 11:22 54.896 unp003.avc
21.10.2005 17:29 31.186 Chinese.Age
21.10.2005 16:36 50.443 troj018.avc
21.10.2005 16:36 50.224 worm001.avc
21.10.2005 16:36 68.829 unp010.avc
21.10.2005 16:36 41.440 troj028.avc
21.10.2005 16:36 43.378 troj027.avc
20.10.2005 13:39 3.518 Chinese.dow
11.10.2005 11:05 74.103 virus010.avc
08.10.2005 17:35 50.740 unp001.avc
08.10.2005 17:35 52.101 unp009.avc
08.10.2005 17:35 48.724 troj030.avc

und

12.12.2005 16:50 12.210 ModemLog_cFos DSL, Internet, PPPoE.txt
12.12.2005 15:41 4.938 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
12.12.2005 15:41 0 0.log
12.12.2005 15:41 1.970.247 WindowsUpdate.log
12.12.2005 15:41 159 wiadebug.log
12.12.2005 15:41 50 wiaservc.log
12.12.2005 15:39 2.048 bootstat.dat
12.12.2005 15:33 0 Lic.xxx
12.12.2005 15:22 225.249 setupact.log
12.12.2005 15:21 0 setuperr.log
12.12.2005 15:15 1.005.486 ntbtlog.txt
12.12.2005 15:14 32.736 SchedLgU.Txt
12.12.2005 00:22 202 NeroDigital.ini
08.12.2005 22:43 1.747 avmadd32.log
08.12.2005 22:43 636.659 setupapi.log
08.12.2005 17:31 1.101 win.ini
03.12.2005 04:40 1.237 cdplayer.ini
03.12.2005 04:05 202.277 wmsetup.log
30.11.2005 20:19 151.222 CFSETUP.TXT
30.11.2005 19:58 250 accessdll.log
30.11.2005 19:56 107 avmsysnet.log
11.11.2005 21:51 1.177 ULEAD32.INI
10.11.2005 18:23 1.505 musiceditor.INI
09.11.2005 03:00 82.155 iis6.log
09.11.2005 03:00 182.845 comsetup.log
09.11.2005 03:00 111.080 ntdtcsetup.log
09.11.2005 03:00 211.699 tsoc.log
09.11.2005 03:00 1.374 imsins.log
09.11.2005 03:00 25.351 ocmsn.log
09.11.2005 03:00 11.809 KB896424.log
09.11.2005 03:00 277.463 ocgen.log
09.11.2005 03:00 26.618 msgsocm.log
09.11.2005 03:00 535.133 FaxSetup.log
09.11.2005 03:00 22.207 updspapi.log
06.11.2005 04:40 132 winamp.ini
30.10.2005 02:39 52 videodeLuxe.INI
20.10.2005 11:13 145.816 UNNeroVision.cfg
16.10.2005 02:01 1.393 imsins.BAK
16.10.2005 02:01 25.198 KB901017.log
16.10.2005 02:01 27.595 KB902400.log
16.10.2005 02:01 16.835 KB896688.log
16.10.2005 02:00 17.212 KB905414.log
16.10.2005 02:00 16.912 KB900725.log
16.10.2005 02:00 14.625 KB904706.log
16.10.2005 02:00 14.521 KB905749.log
13.10.2005 14:49 100.482 UninstallThunderbird.exe
13.10.2005 14:49 3.630 mozver.dat
05.10.2005 10:56 354.932 DirectX.log

und

12.12.2005 16:54 0 sys.txt
12.12.2005 16:51 15.818 system.txt
12.12.2005 16:50 11.951 systemtemp.txt
12.12.2005 16:50 109.983 system32.txt
12.12.2005 15:54 11.360 hijackthis.log
12.12.2005 15:39 536.399.872 hiberfil.sys
12.12.2005 15:39 805.306.368 pagefile.sys
12.12.2005 15:38 802.115 escan.log
12.12.2005 15:38 0 23990098.$$$
12.12.2005 15:38 4 AVPCallback.log
12.12.2005 15:18 1.898 smitfiles.txt
12.12.2005 15:13 94.398 hpfr3600.log
12.12.2005 14:58 131.120.360 reclock_log.txt
30.11.2005 20:33 4.934 TDSLCheck.txt
16.10.2005 18:08 326.784 mus3.wav
16.10.2005 14:09 2.055 imaginfo.pe4
16.10.2005 14:09 27.534 imageiio.pe4
08.10.2005 16:04 16.299.174 AVG7DB_F.DAT

irgendwelche ideen?

nameless91 · 12.12.2005, 18:20

irgendjemand eine idee?

Wildone · 12.12.2005, 20:46

Hallo,
lösche mal noch folgende Dateien:
C:\WINDOWS\system32\ioctrl.dll
C:\WINDOWS\DOWNLO~1\conflict.1

überprüfe mal folgende Dateien:
sa8.exe
sa4.tmp
hier und poste das Ergebnis.

Grüße Wildone

nameless91 · 12.12.2005, 22:14

ioctrl.dll kann ich nicht löschen (wird "verwendet" wird mir gesagt, habe ich nun aber umbenannt, besser?) und conflict.1 finde ich garnicht

der file sa8.exe lässt sich nicht hochladen (explorer arbeitet zwar, passiert aber nichts, grösse 2.48 MB) und bei sa4.tmp teilt mir virustotal mit (grösse 0 byte!): File size can't be more than 10 Megabytes. You can't try compressing it.

was ich da noch zu machen? im temp ordner sind noch viele troj001.avc und virus002.avc files, was is das bloss alles?

bitte helf mir nochmal

Wildone · 12.12.2005, 22:31

Hallo,
also die virus002.avc usw. sollten die Virendefinitionen von Escan sein, also kein Grund zur Sorge. Nimms mir nicht übel, aber ich habe für heute keine Lust mehr, ich mache mir morgen weitere Gedanken zu deinem Problem.

Grüße Wildone

nameless91 · 12.12.2005, 23:47

das ist sehr nett von dir!

wirklich, vielen dank für die hilfe, freu mich schon auf morgen

Wildone · 13.12.2005, 10:52

Hallo,

so jetzt erstmal zu deinem HijackThis Log, fixe (Haken davor und auf "fix checked" alle O1 Einträge.
dann läßt du wegen diesem Eintrag:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html
den hier beschreibenen Reiniger laufen.

Danach ein neues HijackThis Log posten, dieses mal bitte die Links editieren (aus http hxxp machen)

Dann besorgst du dir Killbox(delete file on reboot) und löschst diese Dateien:
C:\WINDOWS\system32\ioctrl.dll

Wende mal das Programm cleanup! an, wende dann wieder die datfind.bat an und poste nur das Log von C.\Dokumente.....\Temp

Dann speicherst du diese beiden Dateien mcor.reg und Spyaxe.reg per Rechtsklick>>"Ziel speichern unter" auf deinem Desktop.

Dann gehst du in den abgesicherten Modus (F8 beim booten) und fügst die mcor.reg und Spyaxe.reg per Rechtsklick der Registry hinzu.

Dann mit den neuen Logs einen Lagebericht abgeben.

Grüße Wildone

nameless91 · 13.12.2005, 13:39

dankeschön, ich versuchs ma

1. log. ich hoffe ich habe alle links richtig gepostet:

Logfile of HijackThis v1.99.0
Scan saved at 13:29:17, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\wisptis.exe
D:\mule\emule.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\download\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - hxxp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - hxxp://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Super Ad Blocker Service - SuperAdBlocker.com - C:\Programme\Super Ad Blocker\SABSVC.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

programm ergab folgendes:

(13.12.05 13:29:44) SPSeHjFix started v1.1.2
(13.12.05 13:29:44) OS: WinXP Service Pack 2 (5.1.2600)
(13.12.05 13:29:44) Language: deutsch
(13.12.05 13:29:44) Win-Path: C:\WINDOWS
(13.12.05 13:29:44) System-Path: C:\WINDOWS\system32
(13.12.05 13:29:44) Temp-Path: C:\DOKUME~1\arne\LOKALE~1\Temp\
(13.12.05 13:29:46) Disinfection started
(13.12.05 13:29:46) Bad-Dll(IEP): c:\dokume~1\arne\lokale~1\temp\sp.dll
(13.12.05 13:29:46) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:29:46) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:29:46) Bad IE-pages:
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\arne\lokale~1\temp\sp.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
(13.12.05 13:29:46) Stealth-String not found
(13.12.05 13:29:46) No locked Files to delete. End without Reboot
(13.12.05 13:30:11) Disinfection started
(13.12.05 13:30:11) Bad-Dll(IEP): c:\dokume~1\arne\lokale~1\temp\sp.dll
(13.12.05 13:30:11) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:11) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:11) Bad IE-pages: (none)
(13.12.05 13:30:11) Stealth-String not found
(13.12.05 13:30:11) No locked Files to delete. End without Reboot
(13.12.05 13:30:12) Disinfection started
(13.12.05 13:30:12) Bad-Dll(IEP): c:\dokume~1\arne\lokale~1\temp\sp.dll
(13.12.05 13:30:12) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:12) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:12) Bad IE-pages: (none)
(13.12.05 13:30:12) Stealth-String not found
(13.12.05 13:30:12) No locked Files to delete. End without Reboot
(13.12.05 13:30:13) Disinfection started
(13.12.05 13:30:13) Bad-Dll(IEP): c:\dokume~1\arne\lokale~1\temp\sp.dll
(13.12.05 13:30:13) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:13) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:13) Bad IE-pages: (none)
(13.12.05 13:30:13) Stealth-String not found
(13.12.05 13:30:13) No locked Files to delete. End without Reboot
(13.12.05 13:30:13) Disinfection started
(13.12.05 13:30:13) Bad-Dll(IEP): c:\dokume~1\arne\lokale~1\temp\sp.dll
(13.12.05 13:30:13) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:13) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:30:13) Bad IE-pages: (none)
(13.12.05 13:30:13) Stealth-String not found
(13.12.05 13:30:13) No locked Files to delete. End without Reboot
(13.12.05 13:32:12) Disinfection started
(13.12.05 13:32:12) Bad-Dll(IEP): c:\dokume~1\arne\lokale~1\temp\sp.dll
(13.12.05 13:32:12) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:32:12) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:32:12) Bad IE-pages: (none)
(13.12.05 13:32:12) Stealth-String not found
(13.12.05 13:32:12) No locked Files to delete. End without Reboot

(13.12.05 13:36:49) SPSeHjFix started v1.1.2
(13.12.05 13:36:49) OS: WinXP Service Pack 2 (5.1.2600)
(13.12.05 13:36:49) Language: deutsch
(13.12.05 13:36:49) Win-Path: C:\WINDOWS
(13.12.05 13:36:49) System-Path: C:\WINDOWS\system32
(13.12.05 13:36:49) Temp-Path: C:\DOKUME~1\arne\LOKALE~1\Temp\
(13.12.05 13:36:50) Disinfection started
(13.12.05 13:36:50) Bad-Dll(IEP): (not found)
(13.12.05 13:36:50) Bad-Dll(IEP) in BHO: (not found)
(13.12.05 13:36:50) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:36:50) UBF: 7 - UBB: 0 - UBR: 23
(13.12.05 13:36:50) Bad IE-pages: (none)
(13.12.05 13:36:50) Stealth-String not found
(13.12.05 13:36:50) Not infected->END

ich mach nun weiter mit killbox etc ...

Wildone · 13.12.2005, 13:46

Hallo,
fixe mal, falls noch vorhanden, diesen Eintrag mit HijackThis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html

Grüße Wildone

nameless91 · 13.12.2005, 13:59

der eintrag ist nichtmehr vorhanden; jetziges logfile von hjt:

Logfile of HijackThis v1.99.0
Scan saved at 13:55:51, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\download\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - hxxp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - hxxp://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Super Ad Blocker Service - SuperAdBlocker.com - C:\Programme\Super Ad Blocker\SABSVC.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

hier das ergebnis von der datfind.bat:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\DOKUME~1\arne\LOKALE~1\Temp

13.12.2005 13:49 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 8.280.109.056 Bytes frei

mach nun weiter mit mcor.reg und Spyaxe.reg etc ...

nameless91 · 13.12.2005, 14:10

so, bin fertig. habe allerdings vergessen vor dem start in den abgesichtern modus die systemwiederherstellung auszuschalten, war das schlimm? :/

beide dateien sind aber trotzdem eingetragen worden und ich weiss nicht warum, aber das blinkende "VirusAlert" icon in der taskleiste ist auf jeden fall verschwunden!

bin ich den virus jetzt los und ist sonst auch alles in ordnung mit meinem log? hier mein jetziges:

Logfile of HijackThis v1.99.0
Scan saved at 14:07:34, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\download\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Programme\1&1 Programme\cFos\setup.exe -tipoftheday 0 -type5
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - hxxp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - hxxp://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Super Ad Blocker Service - SuperAdBlocker.com - C:\Programme\Super Ad Blocker\SABSVC.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

?

Spyaxe Virus! Bitte dringend um Hilfe!!

Plagegeister aller Art und deren Bekämpfung: Spyaxe Virus! Bitte dringend um Hilfe!!