hallo,
heute beim surfen hat sich plötzlich mein desktop verändert, dort steht nun in etwa "Warning! trojaner thread detected on your pc.", darunter ein link zu der seite total-pc-protection.com. auch öffnen sich unten rechts in der taskleiste immer wieder nachrichtenfelder, die einen spyware befall melden. daraufhin habe ich mit escan und kaspersky im abgesicherten modus gesucht, ich wurde auch fündig, habe diese dateien dann auch gelöscht. jedoch blieb das problem bestehen. mit adaware habe ich mehrere regestry einträge gefunden, die jedoch nach einem neustart noch immer vorhanden waren. nun bin ich mit meinem latain am ende, ich hoffe ihr könnt mir helfen.

hier mein HijackThis log:
(achja den prozess sumsw32.exe habe ich mit kaspersky geblockt, hat jedoch nichts gebracht.)


Logfile of HijackThis v1.99.1
Scan saved at 00:45:37, on 30.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sumsw32.exe
C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe
C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\TRIXX\TRIXX.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\taktloss\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TRIXX] "C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\Run: [kav] "C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\scieplugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\PP\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\PP\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe" -r (file missing)
O23 - Service: WMI-Leistungsadapter (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)


so, schon mal danke,
mfg midian

habe es grade doch geschaft sumsw32.exe manuell zu löschen, danach nochmal alle virenscanner drüber laufen lassen und jetzt scheint wieder alles in ordnung zu sein.
hier noch einmal das neue log:

Logfile of HijackThis v1.99.1
Scan saved at 05:26:02, on 30.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\TRIXX\TRIXX.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\taktloss\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TRIXX] "C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\scieplugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\PP\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\PP\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Dokumente und Einstellungen\taktloss\Eigene Dateien\kasper\avp.exe" -r (file missing)
O23 - Service: WMI-Leistungsadapter (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)

mfg midian

jetzt siehts clean aus. aber was ist denn trixx.exe?
musst du selber wissen was das ist, ich habe keine infos darüber gefunden.
ist es vllt ***villa?

trixx ist nichts schädliches, ist nur ein tool für meine grafikkarte