Hallo Leute,

ich hab da ein riesiges Problem. Ich hatte gestern die Meldung von AVG, dass ich nen Virus habe. Als ich dann einen kompletten Scan gemacht hatte, hat mir AVG angezeigt, dass ich "Trojan Horse Proxy.DZD" habe.

Leider sind meine Pc-Kenntnisse eher weniger stark ausgeprägt. Trotzdem habe ich alle mögliche probiert. Ad-Aware drüberlaufen lassen. Das hat mir eine Datei mit dem Namen "32.tmp" als bedohlich angezeigt. Die also gelöscht und siehe da AVG zeigt auch nix mehr an.

Hab ich schon gedacht, es hätte sich damit erledigt, aber mein Pc zickt ziemlich übel rum. Kurz nach dem Start is ja noch alles ok, aber nach so ca 5 Minuten hängt der sich weg. Erst kann ich nur einzelne Programme nicht mehr starten und dann funktioniert gar nichts mehr.

Ich hoffe es kann mir jemand helfen. Ich poste jetzt auch meine HijackThis logfile.

Logfile of HijackThis v1.99.1
Scan saved at 09:31:46, on 14.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Tools\Grisoft\AVGFRE~1\avgamsvr.exe
E:\Tools\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\Tools\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Remote RC5USB\Remote.exe
C:\Program Files\Spamihilator\Spamihilator.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Tools\ewido anti-spyware 4.0\guard.exe
E:\Tools\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\explorer.exe
E:\Download\New Folder\New Folder\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [!ewido] "E:\Tools\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Arcor DSL-Flat.lnk = ?
O4 - Startup: Remote.exe.lnk = C:\Program Files\Remote RC5USB\Remote.exe
O4 - Startup: Spamihilator (2).lnk = C:\Program Files\Spamihilator\Spamihilator.exe
O4 - Global Startup: ICQ 5.1.lnk = C:\Program Files\ICQLite\ICQLite.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with Star Downloader - E:\Tools\Star Downloader\sdie.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&http://www.vixenlamoore.com/members/ina/
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105738133500
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A51E054A-F7E4-4D2A-B4AC-3F54483046DB}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\Tools\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\Tools\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Tools\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINDOWS\system32\32.tmp (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe

Danke im Vorraus!

Hi,
ich habe den Verdacht, daß du Opfer eines Mocbot geworden bist, ein Backdoor-Trojaner, der dazu gedacht ist.
Grund:
wgareg.exe

Ich meine, Du solltest Dein System neu aufsetzen.
Eine einfache Entfernung genügt nicht. Lies dich über den gegebenen Link mal in DDoS-Attacken und Bot-netze ein und Du wirst es verstehen.
Gruß cacatoa

Danke für Deine prompten Antwort.

Die "wgareg.exe" hab ich auch schon im Verdacht gehabt.

Gut, dann also alles neu!

Trotzdem danke!

@Cpt_Oli

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

PS: Servus cacatoa

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)