also soll ich jetze diesen smitfraudfix scan machen?
im normalen oder abgesicherten modus? wie gelange ich in den abgesicherten modus?

danke für deine hilfe

@sfranzl
mach genau das, was im Thread steht.
BTW: Wenn du dich den Nub gehalten hättest, würdest du keinen neuen Thread öffnen.

Zitat:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

ich habe über google danach gesucht, nur leider sind die anweisungen für mich immer ein wenig unübersichtilich...
ich werde jetzt im abgesicherten modus ein hijack und das andere logfile ausführen und dann hier die ergebnisse posten !?

ich hab im abgesicherten modus mit smitfraud diese clean aktiion durchgeführt und dann folgendes logfile erhalten:


SmitFraudFix v2.204

Scan done at 14:57:58,32, 17.07.2007
Run from C:\Programme\hijack\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{33b8d257-07f6-4c06-8605-94bc21728635}"="discommodiousness"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\Video ActiveX Access\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{71B8CA05-7925-453D-9C2F-546EC7F1FBEF}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71B8CA05-7925-453D-9C2F-546EC7F1FBEF}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





hijack logfile habe ich auch im abgesicherten modus erstellt:


Logfile of HijackThis v1.99.1
Scan saved at 15:01:29, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\hijack\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



ich hoffe ich habe bis jetzt alles richtig gemacht, wie soll ich nun fortfahren?
danke schon mal für deine hilfe / geduld mit mir...
PS: das gelbe system alert dreick is nach dem neustart aus dem abgesicherten modus aus der taskleiste verschwunden ~>hoffnung

Starte HijackThis mit "Do a System Scan only".
Markiere sodann diese beiden Zeilen mittels Setzens eines Häkchens:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll
         

Wähle, "Fix checked", bestätige die nachfolgende Abfrage mit "Ja".
Starte das System neu.

Erstell anschließend mit Datfind sechs LogFiles wie dort beschrieben, und poste sie hier (bitte nur jeweils die Einträge der letzten dreißig Tage).

hier die 6 logs der reihe nach:

system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS\system32

17.07.2007 15:31 13.646 wpa.dbl
17.07.2007 15:30 25.065 wmpscheme.xml
17.07.2007 14:58 0 tmp.txt
17.07.2007 14:58 2.686 tmp.reg
11.07.2007 16:38 8.704 onljweo.dll
28.06.2007 09:57 16.256.984 MRT.exe
28.05.2007 12:08 191.384 FNTCACHE.DAT

systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\DOKUME~1\Paule\LOKALE~1\Temp

windows.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS

17.07.2007 15:31 0 0.log
17.07.2007 15:31 1.591.495 WindowsUpdate.log
17.07.2007 15:31 159 wiadebug.log
17.07.2007 15:31 50 wiaservc.log
17.07.2007 15:30 2.048 bootstat.dat
17.07.2007 15:29 32.622 SchedLgU.Txt
17.07.2007 14:58 176.891 setupact.log
17.07.2007 14:55 100.136 ntbtlog.txt
17.07.2007 13:01 1.409 QTFont.for
17.07.2007 13:01 54.156 QTFont.qfn
12.07.2007 18:21 86.762 wmsetup.log
12.07.2007 18:21 951.860 setupapi.log
11.07.2007 16:42 124.962 iis6.log
11.07.2007 16:42 274.880 comsetup.log
11.07.2007 16:42 166.660 ntdtcsetup.log
11.07.2007 16:42 1.374 imsins.log
11.07.2007 16:42 311.840 tsoc.log
11.07.2007 16:42 44.739 ocmsn.log
11.07.2007 16:42 12.391 KB936357.log
11.07.2007 16:42 399.640 ocgen.log
11.07.2007 16:42 40.426 msgsocm.log
11.07.2007 16:42 791.052 FaxSetup.log
12.06.2007 21:33 1.374 imsins.BAK
12.06.2007 21:33 18.274 KB933566.log
12.06.2007 21:33 51.291 updspapi.log
12.06.2007 21:32 11.792 KB929123.log
12.06.2007 21:32 11.152 KB935840.log
12.06.2007 21:29 11.102 KB935839.log

temp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS\Temp

17.07.2007 15:31 409 WGANotify.settings
17.07.2007 15:30 255 WGAErrLog.txt
16.07.2007 22:09 0 Upd50.tmp
15.07.2007 19:24 0 Upd4F.tmp
14.07.2007 16:23 0 Upd4E.tmp
13.07.2007 16:21 0 Upd4D.tmp
12.07.2007 16:21 0 Upd4C.tmp
11.07.2007 16:42 6.907 NetFxUpdate_v1.1.4322.log
11.07.2007 16:39 25.852 netfxsl.log
11.07.2007 16:20 0 Upd4B.tmp
10.07.2007 16:20 0 Upd4A.tmp
09.07.2007 16:20 0 Upd48.tmp
08.07.2007 12:56 0 Upd47.tmp
06.07.2007 17:50 0 Upd46.tmp
05.07.2007 17:50 0 Upd45.tmp
04.07.2007 16:19 0 Upd44.tmp
03.07.2007 16:19 0 Upd43.tmp
02.07.2007 15:24 0 Upd42.tmp
01.07.2007 15:16 0 Upd41.tmp
30.06.2007 15:16 0 Upd40.tmp
29.06.2007 14:34 0 Upd3E.tmp
24.06.2007 23:58 0 Upd3D.tmp
23.06.2007 23:19 0 Upd3C.tmp
22.06.2007 18:56 0 Upd3F.tmp
21.06.2007 18:56 0 Upd3A.tmp
20.06.2007 18:56 0 Upd39.tmp
19.06.2007 18:56 0 Upd38.tmp
18.06.2007 18:56 0 Upd37.tmp
17.06.2007 16:05 0 Upd36.tmp
16.06.2007 12:02 0 Upd35.tmp
15.06.2007 12:02 0 Upd34.tmp
14.06.2007 00:00 0 Upd32.tmp
13.06.2007 00:00 0 Upd2F.tmp
12.06.2007 00:00 0 Upd3B.tmp

down.txt
02.08.2005 als letztes datum also nicht relevant !?

c.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\

17.07.2007 15:38 0 sys.txt
17.07.2007 15:38 938 down.txt
17.07.2007 15:37 12.589 temp.txt
17.07.2007 15:37 12.164 windows.txt
17.07.2007 15:36 133 systemtemp.txt
17.07.2007 15:35 96.514 system32.txt
17.07.2007 15:30 267.964.416 hiberfil.sys
17.07.2007 15:30 2.097.152.000 pagefile.sys
17.07.2007 15:27 145 Verkn�pfung mit CD-Laufwerk.lnk
17.07.2007 15:00 2.781 rapport1.txt
17.07.2007 14:59 1.958 rapport.txt



danke für deine bemühungen

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\onljweo.dll
         

Prüf bitte diese Datei bei Virustotal, und poste hier dann die vollständige Ergebnisliste.

nach 4h 50 minuten hat sich dieser suchlauf komplett aufgehangen...98% aller daten waren zu diesem zeitpunkt durchsucht
2 viren gefunden
7 infizierte dateien gefunden
danach bewegte sich 30minuten überhaupt nichts mehr am pc (sogar die uhr hing )
sodass ich jetze völlig frustriert die reset taste gedrückt habe...
wie soll ich nun fortfahren?