Hey,

mein Kumpel hat mir per ICQ nen Link gegeben wo ich eine so genannte archive.exe runterladen könnte, er hat gesagt es is so nen Scherz Programm, also harmlos.
Ich hab doppelklickt gemacht is nix passiert, naja hab mir nix gedacht.
Auf einmal schreibt mich nen anderer Kumpel an das ich ihm angeblich per MSN nen Trojaner schicken will, weil sein Scanner ausschlägt. Es handelte sich bei ihm um die gleiche archive.exe. Aba ich weiß ned wie wer anders an mein passwort gekommen sein sollte. Hat das mit der Datei zu tun?
Ich hab meinen Virusscanner upgedated und nochmal drüberlaufen lassen und prompt hat er was gefunden. Was er zwei Tage zuvor ned hat.

Ich hab hier mal nen Log und wisst ihr mehr über die archive.exe?

Logfile of HijackThis v1.99.1
Scan saved at 23:59:00, on 14.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP DVD\Umbrella\DVDTray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\tgt86.exe
C:\WINDOWS\dlksr32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Pulse\Pulse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\***\Desktop\Anti Virus\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\msreh323.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet2\BitComet\tools\BitCometBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [xxndiag] C:\WINDOWS\tgt86.exe
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\dlksr32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\dlksr32.exe
O4 - HKCU\..\Run: [Pulse] "C:\Programme\Pulse\Pulse.exe" -splash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Programme\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet2\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet2\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet2\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: wbsys.dll wtsadpvo.dll confxxn.dll risdjv.dll diagisr.dll
O20 - Winlogon Notify: msreh323 - C:\WINDOWS\system32\msreh323.dll
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

Hi,
falls du die Datei "archiv.exe" noch hast, kannst du sie einfach mal bei virustotal hochladen und das Ergebnis mit Größe, MD5 und SHA1 hier angeben.

Folgende Dateien bitte ebenfalls auswerten lassen, die haben Malwarecharakter.

Zitat:

C:\WINDOWS\tgt86.exe
C:\WINDOWS\dlksr32.exe
C:\WINDOWS\system32\msreh323.dll

Melde dich dann wieder hier.

lg myrtille

Also die archive.exe hab ich nimmer aba die C:\WINDOWS\tgt86.exe hab ich hochgeladen und da kommt das raus:

Antivirus Version Update Result
AhnLab-V3 2007.5.15.0 05.14.2007 no virus found
AntiVir 7.4.0.15 05.14.2007 WORM/Stration.Gen
Authentium 4.93.8 05.14.2007 no virus found
Avast 4.7.997.0 05.13.2007 no virus found
AVG 7.5.0.467 05.14.2007 Generic4.KVP
BitDefender 7.2 05.14.2007 no virus found
CAT-QuickHeal 9.00 05.14.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.14.2007 no virus found
DrWeb 4.33 05.14.2007 no virus found
eSafe 7.0.15.0 05.14.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3633 05.14.2007 no virus found
Ewido 4.0 05.14.2007 no virus found
FileAdvisor 1 05.15.2007 no virus found
Fortinet 2.85.0.0 05.14.2007 suspicious
F-Prot 4.3.2.48 05.14.2007 no virus found
F-Secure 6.70.13030.0 05.15.2007 no virus found
Ikarus T3.1.1.7 05.14.2007 Email-Worm.Win32.Warezov.at
Kaspersky 4.0.2.24 05.15.2007 no virus found
McAfee 5030 05.14.2007 New Malware.n
Microsoft 1.2503 05.14.2007 no virus found
NOD32v2 2266 05.14.2007 probably a variant of Win32/Stration
Norman 5.80.02 05.14.2007 no virus found
Panda 9.0.0.4 05.14.2007 Suspicious file

Aditional Information
File size: 83990 bytes
MD5: 9a69fafc2f50ef195631c7a229b21216
SHA1: c2d976928cb44989b0d2293a889a0d354c458795
packers: UPACK
packers: UPack


Die andern zwei Dateien mach ich heut Nachmittag ich geh etz ins Bett, hab Schule.

Mfg und Danke.

Hier noch die Auswertung von C:\WINDOWS\system32\msreh323.dll
Die andere Datei find ich nicht.

Antivirus Version Update Result
AhnLab-V3 2007.5.15.1 05.15.2007 Win32/Stration.worm.Gen
AntiVir 7.4.0.15 05.15.2007 WORM/Stration.Gen
Authentium 4.93.8 05.14.2007 W32/Warezov.gen4
Avast 4.7.997.0 05.15.2007 no virus found
AVG 7.5.0.467 05.14.2007 no virus found
BitDefender 7.2 05.15.2007 DeepScan:Generic.Stration.26EB8131
CAT-QuickHeal 9.00 05.14.2007 no virus found
ClamAV devel-20070416 05.15.2007 Worm.Stration.AEA-5
DrWeb 4.33 05.15.2007 Win32.HLLM.Limar
eSafe 7.0.15.0 05.15.2007 no virus found
eTrust-Vet 30.7.3634 05.15.2007 Win32/Stration!generic
Ewido 4.0 05.15.2007 no virus found
FileAdvisor 1 05.15.2007 no virus found
Fortinet 2.85.0.0 05.15.2007 W32/STRAT.IP!worm
F-Prot 4.3.2.48 05.14.2007 W32/Warezov.gen4
F-Secure 6.70.13030.0 05.15.2007 Email-Worm.Win32.Warezov.nk
Ikarus T3.1.1.7 05.15.2007 Email-Worm.Win32.Warezov.nk
Kaspersky 4.0.2.24 05.15.2007 Email-Worm.Win32.Warezov.nk
McAfee 5030 05.14.2007 no virus found
Microsoft 1.2503 05.15.2007 Trojan:Win32/Stration.F!dll
NOD32v2 2267 05.15.2007 Win32/Stration.ZD
Norman 5.80.02 05.14.2007 no virus found
Panda 9.0.0.4 05.15.2007 W32/Spamta.XI.worm
Prevx1 V2 05.15.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.15.2007 W32.Stration@mm
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.14.2007 suspected of MalwareScope.Worm.Warezov.6 (paranoid heuristics)
VirusBuster 4.3.7:9 05.14.2007 no virus found
Webwasher-Gateway 6.0.1 05.15.2007 Worm.Stration.Gen

Aditional Information
File size: 98304 bytes
MD5: b0da2525836ac121b2c3064be5be2bcc
SHA1: e7e218b41f11e4e2b41a545f9f45a523133c6ad8

Könt ihr mir was dazu sagen?

Zitat:

Könt ihr mir was dazu sagen?

Die Suchfunktion des boards ist bei warezov sehr auskunftsfreudig!

Ich kann nur zum Neuafsetzen raten. Der Wurm lädt fleißig irgendeinen Schund nach, macht Hintertürchen auf, spioniert Passwörter aus, verbreitet sich per mail weiter und k.A. was noch alles. Mittlerweile gibt es zig Verianten von warezov/stration. Sicher bist du nur nach dem Neuaufsetzen.

Schlechtere Alternative ist folgender Bereinigungsversuch:

1. Deaktiviere die Systemwiederherstellung (Arbeitsplatz Rechtsklick, Eigenschaften, Systemwiederherstellung).
2. Lade dir Avenger runter.
3. Input script manually -> kopiere folgendes hinein:

Zitat:

files to delete:
%windir%\tgt86.exe
%windir%\dlksr32.exe
%windir%\System32\msreh323.exe
%windir%\System32\wbsys.dll
%windir%\System32\wtsadpvo.dll
%windir%\System32\confxxn.dll
%windir%\System32\risdjv.dll
%windir%\System32\diagisr.dll

registry keys to delete:
HKLM\SOFTWARE\Microsoft\msreh32.exe
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\msreh32.exe
(muss auf eine Zeile im Editor)

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tgt86.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dlksr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dlksr32.exe -s

registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Klicke auf grüne Ampel. Computer startet neu -> poste das avenger-log

4. Bereinige mit ccleaner das System
5. Mache einen escan und poste das log der find.bat -> Anleitung
6. Scanne mit Blacklight -> poste das log
7. Poste ein neues HJT-log

Aufwand: hoch
Erfolgsaussichten: ungewiss

Gruß

Hey, danke schon mal für die Hilfe ich werds versuchen.
Hier das Avanger Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\haemuiky

*******************

Script file located at: \??\C:\qvcjieya.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\tgt86.exe not found!
Deletion of file C:\WINDOWS\tgt86.exe failed!

Could not process line:
C:\WINDOWS\tgt86.exe
Status: 0xc0000034



File C:\WINDOWS\dlksr32.exe not found!
Deletion of file C:\WINDOWS\dlksr32.exe failed!

Could not process line:
C:\WINDOWS\dlksr32.exe
Status: 0xc0000034

File C:\WINDOWS\System32\msreh323.exe deleted successfully.
File C:\WINDOWS\System32\wbsys.dll deleted successfully.


File C:\WINDOWS\System32\wtsadpvo.dll not found!
Deletion of file C:\WINDOWS\System32\wtsadpvo.dll failed!

Could not process line:
C:\WINDOWS\System32\wtsadpvo.dll
Status: 0xc0000034

File C:\WINDOWS\System32\confxxn.dll deleted successfully.


File C:\WINDOWS\System32\risdjv.dll not found!
Deletion of file C:\WINDOWS\System32\risdjv.dll failed!

Could not process line:
C:\WINDOWS\System32\risdjv.dll
Status: 0xc0000034



File C:\WINDOWS\System32\diagisr.dll not found!
Deletion of file C:\WINDOWS\System32\diagisr.dll failed!

Could not process line:
C:\WINDOWS\System32\diagisr.dll
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\msreh32.exe not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\msreh32.exe failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify\msreh32.exe not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify\msreh32.exe failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tgt86.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tgt86.exe failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dlksr32.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dlksr32.exe failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dlksr32.exe -s
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dlksr32.exe -s failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich schaff es garned eScan vollständig laufen zu lassen weil nach einer Zeit immer wieder nen Fenster kommt das mir sagt das der PC in 1 Minute heruntergefahren wird weil eine service.exe irgend nen Fehler verursacht.

Hier mal die 4 Viren die er immer findet:

escan läuft nicht im abgesicherten Modus? Höchste Zeit fürs Neuaufsetzen. Dein screenshot stimmt nicht besonders hoffnungsvoll. Kannst ja mal spaßeshalber in der Registry schauen, auf welche shells die beiden Einträge (oberer Bildrand) verweisen. Eine "Bereinigung" halte ich für sinnlos, weil Zeitverschwendung. Gruß

doch lief im abgesicherten modus und hat auch vier oder 5 dateien entfernt. hab auch sämtliche spyware scanner laufen lassen.

Ein Problem daraus ist aba das mein Internet nicht mehr funzt obwohl ich zum Router verbunden bin.
Ich hab was von LSPFIX und Winsockfix gehört.
Muss ich die einsetzten und soll ich nochmal ein HijackThis Log posten?

was ich noch fragen wollte. meine festplatte hat zwei partitionen. kann ich alle wichtigen sachen, sprich bilder, musik etc. auf die andere partition kopieren und dann die partition mit dem systemdaten und dem virus platt machen?

mfg

Zitat:

kann ich alle wichtigen sachen, sprich bilder, musik etc. auf die andere partition kopieren und dann die partition mit dem systemdaten und dem virus platt machen?

Solange die "wichtigen Sachen" keinen ausführbaren Code enthalten, ja, kannst du. Gruß

ok danke, wie lös ich das problem mit dem internet?

EDIT:
ist es normal wenn ich im normalen modus bei den prozessen im tast manager 7-8 svchost.exe habe?

Mein letztes Posting in der Sache:

- mach endlich die Partition platt
- google nach svchost, schon der erste Treffer genügt

ok ich formatier jetzt dann die partition aba ihr müsst mir dann helfen mein internet wieder einzurichten. ich hab w-lan, das ist n bisschen kompliziert.

Formatierung abgeschlossen. Windows XP neu installiert, Anti-Virus und Firewall installiert, Service Pack 2 installiert, eingeschränkten Benutzer angelegt.
Jetzt fehlt nur noch Internet und da brauch ich eure Hilfe.

Zitat:

Zitat von steveman

...Jetzt fehlt nur noch Internet und da brauch ich eure Hilfe.

dann verschiebe ich mal ins andere forum

GUA