Help!!

VIRUS ALERT erscheint immer mit grünen Rollstuhlzeichen und dem Roten Kreis.
Internetadresse steigt immer mit blank ein oder http://www.securitysafeguards.net/

PC ist lahm.......spinnt, usw. Kann mir jemand helfen???

Habe versucht das ganze wegzubekommen....aber spinnt immer noch!!

Danke

Logfile of HijackThis v1.99.1
Scan saved at 01:50:25, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\THEHIP~1.PC0\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp6438.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /500
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125153270049
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125153832877
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,
lösche mal deine Temp Dateien mit Cleanup! und poste die vier logfiles der datfind.bat, aber kopiere nur die Dateien des letzten Monats ab!


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
lösche mal deine Temp Dateien mit Cleanup! und poste die vier logfiles der datfind.bat, aber kopiere nur die Dateien des letzten Monats ab!


Grüße Wildone

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C406-650B

Verzeichnis von C:\WINDOWS\system32

30.03.2006 02:39 5'032 ncompat.tlb
30.03.2006 02:38 6'656 interf.tlb
30.03.2006 01:32 41'116 vsconfig.xml
30.03.2006 01:32 36'864 hp6438.tmp
30.03.2006 01:32 33'805 ld62A2.tmp
29.03.2006 21:14 17'444 nvctrl.exe
29.03.2006 19:04 13'700 wpa.dbl
29.03.2006 18:54 4'976 ncompat(2)(3).tlb
29.03.2006 18:44 176'128 stickrep.dll
29.03.2006 18:41 16'097 dfrgsrv.exe
29.03.2006 01:41 4'212 zllictbl.dat
26.03.2006 12:49 39'992 perfc009.dat
26.03.2006 12:49 311'604 perfh009.dat
26.03.2006 12:49 316'594 perfh007.dat
26.03.2006 12:49 48'156 perfc007.dat
26.03.2006 12:49 723'744 PerfStringBackup.INI
16.03.2006 11:34 71'448 zlcommdb.dll
16.03.2006 11:34 79'640 zlcomm.dll
16.03.2006 11:33 100'120 vsxml.dll
16.03.2006 11:33 382'744 vsutil.dll
16.03.2006 11:33 71'448 vsregexp.dll
16.03.2006 11:33 227'096 vspubapi.dll
16.03.2006 11:33 104'216 vsmonapi.dll
16.03.2006 11:33 141'080 vsinit.dll
16.03.2006 11:33 372'824 vsdatant.sys
16.03.2006 11:32 83'736 vsdata.dll
16.03.2006 11:16 54'960 vsutil_loc0407.dll
10.03.2006 02:10 4'799'320 MRT.exe
14.02.2006 10:20 550'120 LegitCheckControl.dll
13.02.2006 20:03 8'632 spmsg.dll
05.02.2006 23:35 3'534 jupdate-1.5.0_03-b07.log
02.02.2006 21:39 565'170 large.bnk
02.02.2006 21:39 278'528 livesnth.dll
02.02.2006 21:39 11'333 cf_lic.txt
26.01.2006 20:36 716'800 divxdec.ax
26.01.2006 20:36 574'976 DivX.dll
26.01.2006 20:35 679'936 divx_xx07.dll
26.01.2006 20:35 679'936 divx_xx0c.dll
26.01.2006 20:35 663'552 divx_xx11.dll
24.01.2006 20:08 12'288 DivXWMPExtType.dll
18.01.2006 13:05 57'344 avsda.dll
09.01.2006 21:32 86'016 dpl100.dll
09.01.2006 21:32 593'920 dpuGUI11.dll
09.01.2006 21:32 200'704 dtu100.dll
09.01.2006 21:32 339'968 dpus11.dll
09.01.2006 21:32 57'344 dpv11.dll
09.01.2006 21:32 294'912 dpu10.dll
09.01.2006 21:32 294'912 dpu11.dll
04.01.2006 05:35 68'096 webclnt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C406-650B

Verzeichnis von C:\DOKUME~1\THEHIP~1.PC0\LOKALE~1\Temp

30.03.2006 02:38 206 jusched.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C406-650B

Verzeichnis von C:\WINDOWS

30.03.2006 01:32 0 0.log
30.03.2006 01:32 1'274'657 WindowsUpdate.log
30.03.2006 01:32 159 wiadebug.log
30.03.2006 01:32 50 wiaservc.log
30.03.2006 01:32 2'048 bootstat.dat
30.03.2006 01:27 32'618 SchedLgU.Txt
29.03.2006 20:48 159'738 setupact.log
29.03.2006 19:06 725 win.ini
29.03.2006 18:15 36'617 wmsetup.log
28.03.2006 23:22 707'308 setupapi.log
24.03.2006 15:13 236 cdplayer.ini
12.03.2006 03:42 121 GEARInstall.log
10.03.2006 18:37 6'509 WGA.log
18.02.2006 11:55 30'123 spupdsvc.log
18.02.2006 11:10 1'374 imsins.log
18.02.2006 11:10 52'455 iis6.log
18.02.2006 11:10 19'826 ocmsn.log
18.02.2006 11:10 129'402 comsetup.log
18.02.2006 11:10 80'325 ntdtcsetup.log
18.02.2006 11:10 140'470 tsoc.log
18.02.2006 11:10 10'703 KB911927.log
18.02.2006 11:10 18'198 msgsocm.log
18.02.2006 11:10 194'241 ocgen.log
18.02.2006 11:10 346'545 FaxSetup.log
18.02.2006 11:10 22'281 updspapi.log
18.02.2006 11:10 6'563 KB911564.log
18.02.2006 11:09 7'203 KB911565.log
18.02.2006 11:09 6'635 KB913446.log
05.02.2006 20:43 253'952 Setup1.exe
05.02.2006 20:43 74'752 ST6UNST.EXE
01.02.2006 20:08 316'640 WMSysPr9.prx
11.01.2006 23:55 10'090 KB908519.log
06.01.2006 08:34 11'004 KB912919.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C406-650B

Verzeichnis von C:\

30.03.2006 02:47 0 sys.txt
30.03.2006 02:46 7'118 system.txt
30.03.2006 02:46 299 systemtemp.txt
30.03.2006 02:46 98'480 system32.txt
30.03.2006 01:32 535'896'064 hiberfil.sys
30.03.2006 01:32 805'306'368 pagefile.sys
03.12.2005 02:38 2'858 index.html


Was nun?

Hallo,
lösche folgende Dateien mit killbox on reboot:

C:\Windows\System32\ncompat.tlb
C:\Windows\System32\interf.tlb
C:\Windows\System32\hp6438.tmp
C:\Windows\System32\vsconfig.xml
C:\Windows\System32\ld62A2.tmp
C:\Windows\System32\nvctrl.exe
C:\Windows\System32\ncompat(2)(3).tlb
C:\Windows\System32\stickrep.dll
C:\Windows\System32\dfrgsrv.exe

dann besorgst du dir smitrem, gehst in den abgesicherten Modus (F8 beim booten), führst die runthis.bat aus uns postest dann den Inhalt der Datei C:\smitfiles.txt

Gehe unter Systemsteuerung>>Software und deinstalliere folgende Einträge, falls vorhanden:
MediaGateway
Securitysafeguards (oder ähnlich)

Dann löschst du auch unter C:\Programme die Ordner:
C:\Programme\MediaGateway\
C:\Programme\Securitysafeguards\

Außerdem fixt(Haken davor und auf "fix xhecked") du noch folgende Einträge mit HijackThis:
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp6438.tmp
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe


Dann machst du noch einen Onlinescan bei Panda und postest den Report.


Grüße Wildone