hie bin neu und naja hab einige probs.
guckt euch einfach ma mein log file an:

Logfile of HijackThis v1.99.1
Scan saved at 01:52:25, on 12.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\winupd.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\hijackthis\HijackThis.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O1 - Hosts: ip.icehosting.com L2authd.lineage2.com
O1 - Hosts: ip.icehosting.com L2testauthd.lineage2.com
O1 - Hosts: ip.icehosting.com nprotect.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Microsoft Outlook Express Protocol] winupd.exe
O4 - HKLM\..\RunServices: [Microsoft Outlook Express Protocol] winupd.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - h**p://promo.dollarrevenue.com/webmasterexe/drsmartload229a.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133662061030
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133781514514
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Deine Probleme beginnen damit, dass du dein System nicht aktuell hälst.Mittlerweile ist Service Pack 2 akuell.
Gehe zunächst wie folgt vor:
Beende folgenden Prozess im Taskmanager:

winupd.exe

Lasse dann diese Datei:

C:\WINDOWS\System32\winupd.exe

hier:

http://virusscan.jotti.org/de/

überprüfen.
Teile uns das Ergebnis mit.

hab die datei beendet, aber mein antivirus (mcafee enterpris 8.01 oder so änlich ) hat die datei gefunden und verschoben, und jez hab ich ka wo die drinn ist -.-

so gefunden...

und das sagt die seite:

Auslastung:
0% 100%
Datei: winupd.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH, MEWBUNDLE, MEW

AntiVir
Packer/MEW packer gefunden
ArcaVir
Keine Viren gefunden
Avast
Win32:SdBot-gen gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Backdoor.SDBot.483BDDD2 gefunden
ClamAV
Worm.Mytob.GH gefunden
Dr.Web
Win32.HLLW.MyBot.based gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/RBot.ZI-bdr gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen gefunden
NOD32
probably a variant of Win32/Rbot gefunden (mögliche Variante)
Norman Virus Control
MyDoom.AQ@mm gefunden
UNA
Keine Viren gefunden
VBA32
Trojan-Spy.Banker.24 gefunden (mögliche Variante)

hab jez auch noch mal Ad-Aware durch laufen lassen und da hat der auch noch sachen gefunden


ArchiveData(auto-quarantine- 2006-01-12 15-35-33.bckp)
Referencefile : SE1R86 11.01.2006
======================================================

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU FileReference : C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\office\recent\berricht.LNK
obj[1]=MRU FileReference : C:\Dokumente und Einstellungen\****\recent\Desktop.ini
obj[2]=MRU FileReference : C:\Dokumente und Einstellungen\****\recent\infected.log.lnk
obj[3]=MRU FileReference : C:\Dokumente und Einstellungen\****\recent\QUARANTINE.lnk
obj[4]=MRU FileReference : C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\office\recent\index.dat
obj[5]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\direct3d\mostrecentapplication name
obj[6]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
obj[7]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\direct3d\mostrecentapplication name
obj[8]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
obj[9]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
obj[10]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\search assistant\acmru\5603
obj[11]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\search assistant\acmru\5604
obj[12]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\microsoft management console\recent file list
obj[13]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
obj[14]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\*
obj[15]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs\.log
obj[16]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs\Folder
obj[18]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru
obj[19]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows media\wmsdk\general computername

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[19]=RegData : S-1-5-21-1177238915-1682526488-725345543-1003\Software\Microsoft\Internet Explorer\Main "Default_Search_URL"
obj[20]=RegData : Software\Microsoft\Internet Explorer\Search "SearchAssistant"
obj[21]=RegData : Software\Microsoft\Internet Explorer\Main "Search Page"

ADWARE.DOLLARREVENUE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[22]=Regkey : software\microsoft\downloadmanager
obj[27]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP94\A0024452.exe
obj[34]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0022973.exe

CMDSERVICES
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[23]=File : C:\WINDOWS\U2NobGFmbXVldHpl\command.exe
obj[24]=File : C:\WINDOWS\U2NobGFmbXVldHpl\asappsrv.dll
obj[25]=File : C:\WINDOWS\system32\atmtd.dll._
obj[26]=File : C:\WINDOWS\system32\atmtd.dll
obj[36]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP102\A0032109.exe

TARGETSAVERS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[28]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023981.exe
obj[29]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023980.dll
obj[30]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023979.exe
obj[31]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023978.exe
obj[32]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023977.exe
obj[33]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023976.exe
obj[35]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP102\A0032110.exe

Du hast leider mindestens einen aktiven Backdoor auf deinem Rechner, daher ist dein System als kompromittiert zu betrachten.
Als einzige Lsg. kommt hier Neuaufsetzen in Betracht. Dazu eine Anleitung, die auch die Absicherung vor der ersten Internetverbindung erklärt.

hmm... hätt dann noch eine frage,
meine platte ist in 3 partitionen aufgeteilt C:\ ; D:\ ; und irgend wie wurd aus E:\ des K:\ ^^
ach genau und es läuft noch suse 10 auf em rechner

wenn ich jez des betriebssystem neu aufsetze, is auf C:/... , sollte ich dann auch die anderen partitionen formatieren oder reicht es wenn ich das auf C:\ mache, wo des betriebsystem ist?

erbitte um antwort ^^
von jmd. der sich auskennt

Hallo,
ist zwar nicht unumstritten, aber es reicht meiner Meinung nach die Formatierung der Systempartition.
Ausschnitt aus der Anleitung:

Zitat:

Q: Was bedeutet Neuaufsetzen?
A: Es sollte mindestens die System-Partition (i.d. Regel C, besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.

Grüße Wildone