Ein freundliches Hallo in die Runde,
wie sollte es sein.... mich hat es ebenfalls erwischt.
Bin noch mit ein etwas antiquitarischem System (ME, IE 5.5) unterwegs und habe mir Trojaner eingefangen (siehe Scan Antivir).

Versuche im abgesichertem Modus, die inf. Dateien zu löschen.... - Fehlanzeige... Deswegen benötige ich Eure Hilfe...
Anbei meine Scans.
Da ich weiss wieviele Arbeit dies bereitet, schon jetzt meine Anerkennugn demjenigen der sich damit auseinadersetzt, mir zu helfen.

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 21. Oktober 2006 23:56

Es wird nach 414117 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows Me
Windowsversion: (plain) [4.90.3000]
Benutzername: wolf
Computername: WOLF

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 376872 13.10.2006 22:57:21
AVSCAN.DLL : 7.0.0.42 57384 13.10.2006 22:57:21
LUKE.DLL : 7.0.0.42 110632 13.10.2006 22:57:28
LUKERES.DLL : 7.0.0.42 32808 13.10.2006 22:57:28
ANTIVIR0.VDF : 6.35.0.1 7371264 13.10.2006 22:57:14
ANTIVIR1.VDF : 6.35.0.5 2048 13.10.2006 22:57:14
ANTIVIR2.VDF : 6.35.0.62 208384 13.10.2006 22:57:14
ANTIVIR3.VDF : 6.35.0.69 54784 13.10.2006 22:57:14
AVEWIN32.DLL : 7.1.0.16 1540608 13.10.2006 22:57:15
AVPREF.DLL : 7.0.0.1 33320 13.10.2006 22:57:20
AVREP.DLL : 6.35.0.47 466984 13.10.2006 22:57:20
AVRPBASE.DLL : 7.0.0.0 1544232 13.10.2006 22:57:20
AVPACK32.DLL : 7.1.0.1 331816 13.10.2006 22:57:20
AVREG.DLL : 6.31.0.90 25128 13.10.2006 22:57:20
NETNW.DLL : 6.32.0.0 9768 13.10.2006 22:57:29
RCIMAGE.DLL : 7.0.0.71 1642536 13.10.2006 22:57:33
RCTEXT.DLL : 7.0.0.75 77864 13.10.2006 22:57:34

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\alldrives.avp
Bootsektoren..................: C,D,A,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Samstag, 21. Oktober 2006 23:56


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 23 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 29 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\_RESTORE\TEMP\A0126093.CPY
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.cnh.14
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\_RESTORE\TEMP\A0126100.CPY
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.cnh.14
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\_RESTORE\TEMP\A0150163.CPY
[FUND] Ist das Trojanische Pferd TR/Drop.Small.XL
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\_RESTORE\ARCHIVE\FS8.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0102465.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS13.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0102500.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS33.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0107715.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS65.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0109962.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS66.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0110452.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS68.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0110562.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS69.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0110608.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS71.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0111607.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS85.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0113119.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS89.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0113212.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS98.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0114240.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS99.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0114251.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS107.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0115329.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS111.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0116355.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\_RESTORE\ARCHIVE\FS117.CAB
[0] Archivtyp: CAB (Microsoft)
--> A0116402.CPY
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\WIN386.SWP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temporary Internet Files\Content.IE5\WHMZ85IZ\0169[1].jpg
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.cnh.14
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'a073d631.qua' verschoben!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 22. Oktober 2006 00:51
Benötigte Zeit: 55:21 min

Der Suchlauf wurde vollständig durchgeführt.

4055 Verzeichnisse wurden überprüft
117482 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1810 Archive wurden durchsucht
19 Warnungen
1 Hinweise

Logfile of HijackThis v1.99.1
Scan saved at 23:15:56, on 22.10.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\0900 WARNER\WARN0900.EXE
C:\PROGRAMME\BILLP STUDIOS\WINPATROL\WINPATROL.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\STEGANOS SECURITY SUITE 4\STEGANOS4.EXE
C:\PROGRAMME\TRAXEX\TRAXEX.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wolfsburg.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=12345
F1 - win.ini: run=hpfsched
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0900WA~1\WHELPER1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRAMME\BILLP STUDIOS\WINPATROL\winpatrol.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [SSS] C:/PROGRAMME/STEGANOS SECURITY SUITE 4/steganos4.exe /booting
O4 - Startup: TraXEx 2.1.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O15 - Trusted Zone: *.p0rt2.com
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: baseapplet - https://online-banking.vwbank.de/pkk/java/baseapplet.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.58,85.255.112.196

Was hat mich da befallen, wer weiss wie man das wieder los wird??
Ratiopharm hilft hier nicht!

Gruß Andree

Das sieht ziemlich bedenklich aus, denn es hat den Anschein, dass Du auf einer sehr unsicheren ME-Maschine aus Online-Banking betreibst:

Zitat:

O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB

Unsicher deswegen, weil ME noch aus der alten Windows-9x-Schiene stammt und keine Rechteverwaltung hat wie Windows aus der NT-Reihe (NT4, 2000, XP).
Zum allem Überfluss ist auch noch der IE bei Dir uralt und deswegen löchriger als ein Schweizer Käse (als er ohnehin schon ist )

Zitat:

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Das eigentlich Perfide ist aber, dass Dein NameServer aus der Ukraine stammt:

Zitat:

Zitat von http://whois.domaintools.com/85.255.112.196

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Ganz ehrlich, mit der unsicheren Kiste würde ich kein Online-Banking betreiben.