hallo,
ich habe mir scheinbar einen üblen virus wurm oder beides eingefangen.
vieleicht habt ihr eine lösung.
wenn ich eine e-mail mit outlook express verschicke, hängt sich automatisch
an die mail eine "hta" datei dran. meine beschickten bestätigten mir, das
sie eine virus warnung durch meine mail bekommen.

1. wie kriege ich das aus outlook-express wieder raus?

doch damit nicht genug. auf meinem rechner kopieren sich immer wieder
sehr merkwürdige dateien mit namen wie "eminem full album.mp3.exe, harry potter books 1-4.pdf.exe, eminem fucks britney spears.exe ect. ect.

ich habe im abgesicherten modus den antivir drüber laufen lassen und er hat
über 140 dieser dateien auf meinen festplatten gefunden und gelöscht.
leider wurden beim neustart im abgesicherten modus wieder 40 dieser dateinen von antivir gefunden obwohl vorher alles gelöscht wurde.

2. kann das sein, daß es einen virus/wurm/trojaner gibt der sich auch im abgesicherten modus ausbreitet?

auch im hijack this, habe ich alle merkwürdigen einträge gelöscht, hat aber scheinbar nichts genützt. die datein kommen immer wieder. jetzt ich bin ratlos und weiß nicht mehr weiter.

3. was kann ich tun um meinen rechner vollständig von dem befall zu befreien?

hier nach einer frischen antivir und adwach bereinigung mein aktueller hijack und antivir report:

danke für eure hilfe:

Logfile of HijackThis v1.97.7
Scan saved at 11:22:05, on 11.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\PaqTool\keylog\KeyLog.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\-=E_Platte=-\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fantasy967.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [VC_Log] C:\Programme\PaqTool\keylog\KeyLog.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Ad-watch 3.0.lnk = C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 11. September 2006 10:58

Es wird nach 500715 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: ***
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 26.02.2006 15:56:12
AVSCAN.DLL : 7.0.0.42 57384 26.02.2006 15:56:12
LUKE.DLL : 7.0.0.42 118824 26.02.2006 15:56:12
LUKERES.DLL : 7.0.0.42 32808 26.02.2006 15:56:12
ANTIVIR0.VDF : 6.35.0.1 7371264 26.02.2006 15:56:12
ANTIVIR1.VDF : 6.35.1.122 1270784 26.02.2006 15:56:12
ANTIVIR2.VDF : 6.35.1.200 237056 26.02.2006 15:56:12
ANTIVIR3.VDF : 6.35.1.210 21504 26.02.2006 15:56:12
AVEWIN32.DLL : 7.1.1.16 1835520 26.02.2006 15:56:12
AVPREF.DLL : 7.0.0.1 53288 26.02.2006 15:56:12
AVREP.DLL : 6.35.1.191 794664 26.02.2006 15:56:12
AVRPBASE.DLL : 7.0.0.0 2162728 08.05.2006 11:10:59
AVPACK32.DLL : 7.1.0.1 335912 26.02.2006 15:56:12
AVREG.DLL : 6.31.0.90 27688 26.02.2006 15:56:12
NETNT.DLL : 6.32.0.0 6696 26.02.2006 15:56:12
NETNW.DLL : 6.32.0.0 9768 26.02.2006 15:56:12
RCIMAGE.DLL : 7.0.0.71 1642536 26.02.2006 15:56:13
RCTEXT.DLL : 7.0.0.75 77864 26.02.2006 15:56:13

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Montag, 11. September 2006 10:58


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 44 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 20 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\American Idol.doc.scr
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\Matrix 3 .mpg.scr
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\arm32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\dbf42.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\Harry Potter all e.book.doc.exe
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Steinberg\Cubase SX 3\Presets\Logical Edit\Britney Spears blowjob.jpg.exe
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Bluetooth\share\WinXP eBook newest.doc.pif
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Netzwerkumgebung\SharedDocs an Picco-6vrfn9h1m\Ringtones.mp3.exe
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Netzwerkumgebung\SharedDocs an Picco-6vrfn9h1m\Smashing the stack full.rtf.scr
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\AAS\Ultra Analog\Matrix 3 .mpg.exe
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\~DF200E.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\~DF20B6.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\~DF20D4.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\~DF20E4.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 11. September 2006 11:33
Benötigte Zeit: 34:43 min

Der Suchlauf wurde vollständig durchgeführt.

4059 Verzeichnisse wurden überprüft
186871 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1009 Archive wurden durchsucht
29 Warnungen
1 Hinweise

Ein Post reicht.....

hier gehts weiter .

Hallo,
deine Probleme kommen daher :

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Seit ca. zwei Jahren gibt es das Service Pack 2 !
Wenn alle Updates eingespielt wären und du dich um die Absicherung auch von Outlock gekümmert hast,bliebe nur noch dein Surf,- und Klickverhalten zu überdenken.Dieses hier :

Zitat:

eminem fucks britney spears.exe

kommt ohne dein Zutun nicht auf den Rechner...
Eine Bereinigung deines Systems ist ohne SP2 völlig sinnfrei,da du dich binnen Minuten wieder infizieren wirst.
Mein Vorschlag für dich wäre eine Neuinstallation nach der Anleitung in der Rubrik "Anleitungen,FAQ,Links".Befolgst du auch die weiterführenden Ratschläge wird dir zukünftig ein verseuchter Rechner erspart bleiben....
Irrlicht