Hallo,
der Rechner meiner Mutter ist verseucht und ich werde es nicht los. Antivir findet es, löscht es, aber nach NEustart ist es immer wieder da.
Habe HJT laufen lassen und auch escan. werde beides mal zu meinem Beitrag dazugeben.
Wäre sehr dankbar, wenn mir jemand helfen könnte, um eine Formatierung zu umgehen.

HJT:
Logfile of HijackThis v1.99.1
Scan saved at 18:49:00, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Installer\WINXP\WLANUTL.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GBH\LOKALE~1\Temp\Rar$EX01.937\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom WL-115 Utility.lnk = C:\Programme\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Installer\WINXP\WLANUTL.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136586349111
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

escan:
2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Jan 07 12:22:35 2006 => Loading Spyware Signatures from new External Database (Size: 146571).
Sat Jan 07 12:22:48 2006 => Indexed Spyware Databases Successfully Created...

Sat Jan 07 12:22:57 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen.
Sat Jan 07 12:23:09 2006 => Offending file found: C:\Dokumente und Einstellungen\GBH\Eigene Dateien\gott\eigene dateien\antispy.exe
Sat Jan 07 12:23:09 2006 => System found infected with ezula Spyware/Adware (antispy.exe)! Action taken: Keine Aktion vorgenommen.

Sat Jan 07 12:23:11 2006 => Offending file found: C:\Dokumente und Einstellungen\GBH\Eigene Dateien\gott\lokale einstellungen\temp\insthelp.dll
Sat Jan 07 12:23:11 2006 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.

Sat Jan 07 12:23:39 2006 => Offending file found: C:\Dokumente und Einstellungen\GBH\Eigene Dateien\gott\eigene dateien\antispy.exe
Sat Jan 07 12:23:39 2006 => System found infected with ezula Spyware/Adware (antispy.exe)! Action taken: Keine Aktion vorgenommen.

Sat Jan 07 12:23:40 2006 => Offending file found: C:\Dokumente und Einstellungen\GBH\Eigene Dateien\gott\lokale einstellungen\temp\insthelp.dll
Sat Jan 07 12:23:40 2006 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: Keine Aktion vorgenommen.

Sat Jan 07 12:23:41 2006 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.

Sat Jan 07 12:23:41 2006 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.


Sat Jan 07 12:23:43 2006 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware *****
Sat Jan 07 12:23:44 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:45 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" verweist auf das ungültige Objekt "C:\WINDOWS\System32\cmmgr32.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:45 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" verweist auf das ungültige Objekt "C:\Programme\Sitecom\Sitecom Wireless Network PCI Adapter 54G WL-115\Sitecom Wireless Network PCI Adapter 54G WL-115". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".con". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lan". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".set". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".tcp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".tmp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:47 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".vnd". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:55 2006 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" verweist auf das ungültige Objekt "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:23:59 2006 => Entry "HKCR\CLSID\{F2091BB4-9A72-4FB8-8453-B90B604E0588}" verweist auf das ungültige Objekt "C:\PROGRA~1\GDATAA~1\WEBFIL~1\ADSCLE~1.EXE". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:00 2006 => Entry "HKCR\TypeLib\{067B6C52-A65E-423C-A7F5-20EA75F2C4D3}" verweist auf das ungültige Objekt "C:\WINDOWS\system32\SIOffliner.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:00 2006 => Entry "HKCR\TypeLib\{09638E39-F5CB-4163-BF93-CD43CD87F0D3}" verweist auf das ungültige Objekt "C:\Programme\G DATA AVK InternetSecurity präsentiert von AOL\Webfilter\AdsCleaner.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:01 2006 => Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" verweist auf das ungültige Objekt "C:\Programme\Messenger\rtcimsp.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:03 2006 => Entry "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:03 2006 => Entry "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:03 2006 => Entry "HKCR\Connection Manager Profile\shell\open\command" verweist auf das ungültige Objekt "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:05 2006 => Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:06 2006 => Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:06 2006 => Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:08 2006 => Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:08 2006 => Entry "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:08 2006 => Entry "HKCR\ppifile\shell\open\command" verweist auf das ungültige Objekt "%SystemRoot%\System32\msppcnfg.exe /Config %1". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:08 2006 => Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:08 2006 => Entry "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:10 2006 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 07 12:24:10 2006 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

wäre für jede Hilfe seeeehr dankbar.
Tina

Lade und update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html
Installiere Clearprog, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Lade RegSeeker

Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Gehe mal in die Systemsteuerung->Software und entferne Dir unbekannte Programme.

Danach wie gehabt:
Lösche im Verzeichnis c:\bases_x die Datei mwav.log. Anschließend neuer escan und wieder das mit der find.bat erstellte Log posten.