Hallo! (Hab dies zuerst bei "Plagegeister aller Art..." gepostet!!)

Ich hatte auf einmal eine unerwünschte Toolbar aufm IE!
Habe mich jetzt schon weitgehend informiert und die Toolbar mittels Highjack entfernen können! Aber sobald ich den IE öffne kommt weiterhin "IEXPLORE.EXE hat ein Problem festgestellt und..."!
Habe mit SpyOnThis gescannt, der zeigt mir zig Spywares an! Location alle "HKEY..."! Muss noch sagen dass ich sehr wenig Ahnung von so Sachen hab! Hab mir das jetzt halt aus Foren zusammengesucht, finde in der "regedit" auch ensprechende "Spyware", möchte aber nicht wild draufloslöschen!
Könnte mir bitte jemand helfen, und sagen wie ich vorgehen soll, wäre sehr dankbar!
Hier mein Highjackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 05:40:41, on 26.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\ctfmon.exe
C:\WINNT\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\wdfmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\dwwin.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\HijackThis.exe
C:\Programme\SpyOnThis\SpyOnThis.exe
C:\WINNT\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\System32\alxbw.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [yaemu.exe] C:\WINNT\System32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Find on Wikipedia... - C:\Programme\WikiSearch Toolbar\cm.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33917021-398E-4607-A130-52A19996B4BD}: NameServer = 85.255.115.18,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3987932-03E8-4D57-BAAE-790E6AD1BF5B}: NameServer = 85.255.115.18,85.255.112.61
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Sieht nicht so gut aus. Du hast keine aktuellen Patches für das Betriebssystem eingespielt, das SP2 z.B. fehlt!

Zitat:

C:\WINNT\System32\alxbw.dll
C:\WINNT\System32\yaemu.exe

Lass mal diese Dateien bei Jotti (oder Virustotal wenn Jotti überlastet ist) auswerten. Poste die Ergebnisse.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{33917021-398E-4607-A130-52A19996B4BD}: NameServer = 85.255.115.18,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3987932-03E8-4D57-BAAE-790E6AD1BF5B}: NameServer = 85.255.115.18,85.255.112.61

Hm..schon wieder diese Einträge...die IP-Adressen stammen laut Whois.sc aus der Ukraine, hab schon zwei ähnliche Fälle hier im Board gesehen. Fix diese Einträge mit Hijackthis.

Hab die 2 "O17" gefixt


JOTTI:

File: alxbw.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 b88f36ad1b0775aae6b7fca1c667032d
Packers detected: -
Scanner results
AntiVir Found Adware-Spyware/SBSoft.H adware
ArcaVir Found Adware.Toolbar.Bho
Avast Found Win32:Trojano-1269
AVG Antivirus Found Generic.BXB
BitDefender Found Adware.Iectr.A
ClamAV Found Adware.Toolbar-34
Dr.Web Found Adware.QuickLinks
F-Prot Antivirus Found W32/Agent.YU
Fortinet Found Toolbar/Search
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.SBSoft.h
NOD32 Found Win32/Adware.Toolbar.SBSoft application
Norman Virus Control Found W32/SBSoft.H
UNA Found nothing
VirusBuster Found Adware.SBsoft.A
VBA32 Found AdWare.ToolBar.SBSoft.h



bei C:\WINNT\System32\yaemu.exe sagt er:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
virustotal bin auf warteliste

...so
STATUS: FINISHEDComplete scanning result of "yaemu.exe", received in VirusTotal at 04.26.2006, 06:53:53 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.25.2006 no virus found
AVG 386 04.25.2006 no virus found
Avira 6.34.1.58 04.25.2006 no virus found
BitDefender 7.2 04.26.2006 no virus found
CAT-QuickHeal 8.00 04.25.2006 no virus found
ClamAV devel-20060202 04.25.2006 no virus found
DrWeb 4.33 04.25.2006 no virus found
eTrust-InoculateIT 23.71.139 04.25.2006 no virus found
eTrust-Vet 12.4.2177 04.25.2006 no virus found
Ewido 3.5 04.25.2006 no virus found
Fortinet 2.71.0.0 04.26.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.25.2006 no virus found
Kaspersky 4.0.2.24 04.26.2006 no virus found
McAfee 4748 04.25.2006 no virus found
NOD32v2 1.1507 04.25.2006 no virus found
Norman 5.90.16 04.25.2006 no virus found
Panda 9.0.0.4 04.25.2006 no virus found
Sophos 4.05.0 04.26.2006 no virus found
Symantec 8.0 04.26.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.25.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e

sollte ich mir denn SP2 zulegen?? ok, wahrsch. blöde Frage, aber was noch?


Also, ich habe C:\WINNT\System32\alxbw.dll jetzt mit Killbox (Delete on reboot) gelöscht!
Fehlermeldung kommt aber nach wie vor!

Erstmal langsam. Ich würde zunächst folgendes vorschlagen:
Besorg Dir Killbox. Dort löscht Du beide Dateien also
>> C:\WINNT\System32\alxbw.dll
>> C:\WINNT\System32\yaemu.exe

Mit der Option "Delete on Reboot". Starte Windows neu und mach danach einen gründlichen Check mit dem Kaspersky-Onlinescanner (mit dem IE öffnen und auf den Button Onlinescanner klicken) und poste das Ergebnis, ebenso wie ein neu erstelltes Hijackthis-Logfile.

btw: Beachte, dass eine Bereinung niemals garantieren kann, dass auch wirklich alle Schädlinge entfernt, geschweige denn gefunden werden können!

alles klar, ich leg mal los