Lösche zunächst deine temporären Dateien mittels CleanUp.
Wechsle dann in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Lösche mittels Killbox folgende Dateien:

C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv

Zitat:

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Nach dem Neustart wechsle wieder in den abgesicherten Modus und scanne dein System mit Adaware, Spybot und Ewido.
Neu booten und erstelle ein neues HJT-Logfile.Poste uns auch die Log-Datei von Ewido.

So, alles durchgeführt, hier is das neue Logfile von HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 12:32:25, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmgsm.exe] C:\WINDOWS\system32\dmgsm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe



Das Logfile von Ewido zu posten macht glaube ich weniger Sinn da dort nur eine einzige Fehlermeldung steht, die dafür zwölfmal untereinander:

RegQueryValueEx failed, Value: 00000002


Ich hoffe ihr könnt damit was anfangen?

Hallo,
poste noch das Log(wird nach dem Scan als Textdatei im selben Pfad erzweugt) von F-Secure Blacklight.


Grüße Wildone

So, auch das hätten wir...

01/18/06 13:06:07 [Info]: BlackLight Engine 1.0.30 initialized
01/18/06 13:06:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/18/06 13:06:08 [Note]: 7019 4
01/18/06 13:06:08 [Note]: 7005 0
01/18/06 13:06:13 [Note]: 7006 0
01/18/06 13:06:13 [Note]: 7011 1272
01/18/06 13:06:14 [Note]: FSRAW library version 1.7.1014
01/18/06 13:07:06 [Note]: 7007 0

Hallo,
hmm, Glück gehabt, du hast die Wareout Version ohne Rootkit. Hast du nach dem fixen des O17 Eintrags überhaupt noch die Umleitungsprobleme?


Grüße Wildone

Ja, leider hat sich nach den ganzen Maßnahmen bisher noch nix geändert, die Umleitung erfolgt nach wie vor.

Mir ist jetzt aufgefallen dass kurz vor der Weiterleitung immer dieselbe Seitenadresse angezeigt wird, ich war nur bisher zu langsam sie aufzuschreiben. Würde das was bringen?

Noch eine Frage, wieso ist es denn notwedig das System von gleich fünf verschiedenen Scannern scannen zu lassen? Nutzen die Unterschiedliche Datenbanken oder hat das technische Gründe?

Danke schonmal allen für die bisherige Hilfe!

Hallo,
erstens hat quasi jeder Virenscanner seine eigene Scanengine die unterschiedliche Sachen besser oder schlechter erkennen. Zweitens wurde bei dir jetzt nach Viren (Escan) Hijackern+ nicht legitime Prozesse usw. (HijackThis) und Rootkits (Blacklight) gesucht, leider erfolglos. Vielleciht ist es eine neue Variante.
Jetzt stochern wir halt mal ein wenig tiefer, poste mal ein log von Silentrunners.
Und noch eines von RootkitRevealer (wichtig, während dem Scan nichts machen und kein weiteres Programm laufen lassen!)
Außerdem könnte noch ein Onlinescan(mit IE) bei Panda nicht schaden, auch diesen Report posten.

Edit
Beende auch mal folgenden Prozess:
C:\WINDOWS\system32\drivers\dcfssvc.exe
überprüfe die zugehörige Datei hier, und poste das Ergebnis.

Grüße Wildone