Also hier nochmals das HJT-File:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:26, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - (no file)
O2 - BHO: (no name) - {30EEF660-B842-41AC-99F1-CA65C68CF018} - (no file)
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\inxahdbs.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - (no file)
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\RunOnce: [NpsUpdate] "C:\DOKUME~1\MARCOD~1\LOKALE~1\Temp\NeroDemo11008\setupx.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Dann die (wie von nochdigga empfohlene) Überprüfung der 41.5 Kb grossen Datei inxahdbs.dll und zwar gleich alles weil ich den Durchblick ned ganz hab:

Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
TR/Juan.A gefunden
ArcaVir
Trojan.Bho.G gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Generic2.LFR gefunden
BitDefender
Trojan.Juan.A gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Juan gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan.Win32.BHO.g gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.BHO.g gefunden
NOD32
a variant of Win32/BHO.G gefunden
Norman Virus Control
W32/Smalltroj.NYQ gefunden
VirusBuster
Trojan.BHO.CC gefunden
VBA32
Trojan.Win32.BHO.g gefunden

Passt das so nochdigga?^^

Hallo

jo so ist es wesentlich besser.

Lade dir mal Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
lade dir auch Smidfraudfix
halte dich an die Anleitung und poste den rapport.txt
von vor und den rapport2.txt nach der Bereinigung
sowie ein neues HijackThis Log.

MFG

Also smitfraudfix hat ned funktioniert. Hab aber blacklight gestartet und hier nun zuerst log VOR scan und NACHHER denke ich:

12/17/06 21:23:06 [Info]: BlackLight Engine 1.0.47 initialized
12/17/06 21:23:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/17/06 21:23:06 [Note]: 7019 4
12/17/06 21:23:06 [Note]: 7005 0
12/17/06 21:23:14 [Note]: 7006 0
12/17/06 21:23:14 [Note]: 7011 1624
12/17/06 21:23:15 [Note]: 7026 0
12/17/06 21:23:15 [Note]: 7026 0
12/17/06 21:23:23 [Note]: FSRAW library version 1.7.1020
12/17/06 21:36:15 [Note]: 2000 1012
12/17/06 21:36:15 [Note]: 2000 1012
12/17/06 21:36:15 [Note]: 2000 1012
12/17/06 21:42:54 [Note]: 7007 0


12/17/06 21:42:58 [Info]: BlackLight Engine 1.0.47 initialized
12/17/06 21:42:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/17/06 21:42:58 [Note]: 7019 4
12/17/06 21:42:58 [Note]: 7005 0
12/17/06 21:43:01 [Note]: 7006 0
12/17/06 21:43:01 [Note]: 7011 1624
12/17/06 21:43:01 [Note]: 7026 0
12/17/06 21:43:02 [Note]: 7026 0
12/17/06 21:43:05 [Note]: FSRAW library version 1.7.1020
12/17/06 21:44:40 [Note]: 7007 0


Dann noch neues HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:38, on 17.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - (no file)
O2 - BHO: (no name) - {30EEF660-B842-41AC-99F1-CA65C68CF018} - (no file)
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\inxahdbs.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - (no file)
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mOIn

Zitat:

Also smitfraudfix hat ned funktioniert.

aber warum?
Hat es eine Fehlermeldung gegeben?
Bist du nicht klargekommen?

MFG

Nene der Link hat ned funktioniert...

Hallo

Du hast Escan installiert oder?
führe mal ein Update durch und lass ihn im abgesichten Modus (beim Start F8 drücken) laufen anschließend öffne das mwav.log --> Bearbeiten --> Suchen --> infected oder tagged eingeben -->
Weitersuchen --> Treffer markieren/kopieren und ins Forum posten.

MFG

Werds heut Nachmittag probieren, wenn ich daheim bin

Hab gestern mal escan laufen lassen, dann jedoch abbrechen müssen, weil der so lange hatte und ich meinen PC runterfahren musste. Der hat schon n paar erwischt, und irgendwie hab ich das Gefühl, auch Critical System Error. Weil das Symbol nicht mehr rechts unten blinkt...

Zitat:

Zitat von blackbird

Hab gestern mal escan laufen lassen, dann jedoch abbrechen müssen, weil der so lange hatte und ich meinen PC runterfahren musste. Der hat schon n paar erwischt, und irgendwie hab ich das Gefühl, auch Critical System Error. Weil das Symbol nicht mehr rechts unten blinkt...

Könntest du doch bitte mal das tun was dir die Helfer hier im Forum schreiben?
Wo sind die gefundenen Treffer (infected oder tagged eingegeben?) von eScan?

Abgesehen davon das das Symbol "critical system error" weg ist, hast du im System immer noch Malware:

Lass daher folgende Dateien bei Virustotal auswerten:

Zitat:

C:\WINDOWS\system32\inxahdbs.dll
C:\WINDOWS\system32\jbtazy.dll

Diese sollten mit VirusBusters in Verbindung stehen.
Aber erst die Dateien nacheinander auswerten lassen, danach den Bildschirmtext kopieren und hier in einen Beitrag einfügen.
Wie man VirusBusters löscht, erkläre ich dir danach..

Gruß
Sunny

Ja ich würde sogar sehr gerne das machen, was mir die Helfer sagen. Doch für Noobs ist das manchmal schwierig, denn ich habe überhaupt keine Ahnung, wo ich infected oder tagged eingeben soll in Escan. Das ist mein Problem.

mOIn

Zitat:

Ja ich würde sogar sehr gerne das machen, was mir die Helfer sagen. Doch für Noobs ist das manchmal schwierig

bleib gans ruhig

bitte versuche den escan nochmal ganz durchlaufen zu lassen, nach Beendigung des scans schaust du in den Ordner von escan dort sollte es ein mwav.log geben, öffne dieses Log, unter -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> klicke auf Weitersuchen -> Funde makieren und hierher posten.

MFG

Aaalso, im Ordner finde ich keine Datei mit genauem Namen mwav.log. Jedoch kann ich nach nun beendigtem Scan das Protokoll direkt öffnen. Ist dieses damit gemeint, weil dann kann ich auch dieses bearbeiten. Habs schon versucht mit eingeben, ich muss ja wohl nicht den Begriff "infected oder tagged" eingeben, sondern zuerst "infected" und alles suchen und posten, und dann "tagged" und das gleiche?

Gruss und fröhliche Weihnachten

mOIn

wenn du escan öffnest und auf - view log - klickst öffnet sich (bei mir zumindest) das letzte erstellte logfile.
Unter -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> klicke auf Weitersuchen -> Funde makieren und hierher posten.

Zitat:

Habs schon versucht mit eingeben, ich muss ja wohl nicht den Begriff "infected oder tagged" eingeben, sondern zuerst "infected" und alles suchen und posten, und dann "tagged" und das gleiche?

Ja, aber ausprobieren hätte auch nicht geschadet

MFG

Edit und dir auch ein frohes Fest

Ja ich habs ja versucht, wollte nur sicher gehen^^ Aaalso, hier mal n Versuch:

So Dez 24 14:58:36 2006 => C:\Dokumente und Einstellungen\Marco Duss\Eigene Dateien\Eigene Musik\Placebo - The Singles (1996 - 2004) Ltd Edition\CD2 - 03 - Every You Every Me (Infected by the Scourge of the Earth Mix).mp3 ***** Datei hat Grössenbeschränkung *****

So Dez 24 15:47:37 2006 => Datei wird gescannt C:\Programme\eScan\infected.wav

Das erste ist ja wohl ein Lied, dat kann ja nix schlimmes sein oda?^^
Und Tagged kann er ned finden meint er...

Gruss

mOIn

sind das wirklich alle Funde?
Also das erste sollte tatsächlich nur ein Song von Placebo sein und das zwote ist der Benachrichtigungssound bei einem Virenfund vom escan denk ich.

Lade dir mal dies --> datFind.bat, entpacke es nach C:\ , es werden 6 logs entstehen fasse sie zusammen und nach dem Scan kopiere nur die Einträge der letzten 30 Tage ab und poste sie.
Ich schlage auch vor, dass du mal einen Onlinescan bei Panda machst (mit dem Internet Explorer), deaktiviere dazu den Guard deines Antivirenprograms.

MFG