Ich habe mir irgendwoher vor ein paar Wochen einen Downloader eingefangen, der sofort fleißig Trojaner heruntergeladen hat. Er öffnete einfach Internet Explorer und lud angebliche Antivirenprogramme herunter.

Mit einem neuen Virenscanner habe ich versucht das Problem zu lösen. Erst dachte ich es hätte geklappt, doch heute habe ich festgestellt das einfach nur dem Internet Explorer der Zugriff aufs Internet verwehrt wird.

Mit der neuen Version von HijackThis habe ich bei der Online-Auswertung festgestellt, dass die Datei "C:\WINDOWS\system32\gebyw.dll" anscheinend ein Virus ist. Es war mir bis jetzt aber nicht möglich sie zu entfernen. Auch nicht im abgesicherten Modus. Besonders nervig ist, dass der abgesicherte Modus etwa alle 3 Sekunden den Explorer beendet, und mich fragt ob ich das System wirklich weiterhin so ausführen möchte.

Ich hoffe jemand kann mir helfen und vielleicht erklären was sonst noch an meinem System nicht stimmt.

Danke!!!

Anbei das Log-File

Logfile of HijackThis v1.99.1
Scan saved at 23:28:10, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Hijack\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7EF2C7B3-0B3F-45F2-BDFB-D992AFE4CBB1} - C:\WINDOWS\system32\gebyw.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\otqtmttk.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\ilcseohv.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31602674-FA0B-4C19-AE73-9799D5F20530}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: gebyw - C:\WINDOWS\system32\gebyw.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

lasse diese Datei(en)
C:\WINDOWS\system32\gebyw.dll
C:\WINDOWS\system32\otqtmttk.dll
hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Ergänzend zu nochdigger lade Vundofix.

Führe es wie beschrieben aus, poste das Log und lasse die Dateien entfernen.

Poste dann auch ein neues HJT Log.

Bata

So, ich hoffe ich habe alles richtig gemacht und nichts vergessen:

Datei gebyw.dll empfangen 2007.08.02 23:44:10 (CET)
Status: Beendet
Ergebnis: 17/31 (54.84%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.02 -
AntiVir 7.4.0.57 2007.08.02 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.08.02 -
Avast 4.7.1029.0 2007.08.02 Win32:Vundo-gen47
AVG 7.5.0.476 2007.08.02 -
BitDefender 7.2 2007.08.02 Trojan.Vundo.DMI
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.02 -
DrWeb 4.33 2007.08.02 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5026 2007.08.02 Win32/Vundo!generic
Ewido 4.0 2007.08.02 -
FileAdvisor 1 2007.08.02 -
Fortinet 2.91.0.0 2007.08.02 -
F-Prot 4.3.2.48 2007.08.02 W32/Adware.LRX
F-Secure 6.70.13030.0 2007.08.02 -
Ikarus T3.1.1.8 2007.08.02 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.08.02 not-a-virus:AdWare.Win32.Virtumonde.kx
McAfee 5089 2007.08.02 -
Microsoft 1.2704 2007.08.02 -
NOD32v2 2434 2007.08.02 a variant of Win32/Adware.Virtumonde.FP
Norman 5.80.02 2007.08.02 W32/Vundo.dam
Panda 9.0.0.4 2007.08.02 Suspicious file
Rising 19.34.32.00 2007.08.02 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.02 VIPRE.Suspicious
Symantec 10 2007.08.02 Trojan.Adclicker
TheHacker 6.1.7.160 2007.08.01 Adware/Virtumonde.kx
VBA32 3.12.2.2 2007.08.01 -
VirusBuster 4.3.26:9 2007.08.02 Adware.Vundo.Gen!Pac.15
Webwasher-Gateway 6.0.1 2007.08.02 Trojan.Dldr.ConHook.Gen
weitere Informationen

File size: 228960 bytes

MD5: d16ea5d5795cd96524e120d7e638c54d
SHA1: f2d6be2ea0a36621e492d6338df3756bdfee04b1


-------------------------------------------------------------------------

Datei otqtmttk.dll empfangen 2007.08.03 00:09:53 (CET)
Status: Beendet
Ergebnis: 11/31 (35.49%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.02 -
AntiVir 7.4.0.57 2007.08.02 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.08.02 -
Avast 4.7.1029.0 2007.08.02 Win32:Vundo-gen48
AVG 7.5.0.476 2007.08.02 -
BitDefender 7.2 2007.08.02 -
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.02 -
DrWeb 4.33 2007.08.02 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5026 2007.08.02 Win32/Darksma!generic
Ewido 4.0 2007.08.02 -
FileAdvisor 1 2007.08.03 -
Fortinet 2.91.0.0 2007.08.02 -
F-Prot 4.3.2.48 2007.08.02 -
F-Secure 6.70.13030.0 2007.08.02 -
Ikarus T3.1.1.8 2007.08.02 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.08.02 -
McAfee 5089 2007.08.02 -
Microsoft 1.2704 2007.08.02 -
NOD32v2 2434 2007.08.02 a variant of Win32/BHO.G
Norman 5.80.02 2007.08.02 W32/Vundo.dam
Panda 9.0.0.4 2007.08.02 Suspicious file
Rising 19.34.32.00 2007.08.02 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.02 VIPRE.Suspicious
Symantec 10 2007.08.02 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.08.01 -
VirusBuster 4.3.26:9 2007.08.02 -
Webwasher-Gateway 6.0.1 2007.08.02 Trojan.Dldr.ConHook.Gen
weitere Informationen

File size: 69184 bytes

MD5: 7b4139be986184e43b0fbe21a2059023
SHA1: c7f3b7b822a9dfd0f503348dcf86342340668c8a

------------------------------------------------------------------------

Programm VundoFix ausgeführt und hier ist das neue Log-File

Logfile of HijackThis v1.99.1
Scan saved at 00:18:12, on 03.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Hijack\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7EF2C7B3-0B3F-45F2-BDFB-D992AFE4CBB1} - C:\WINDOWS\system32\gebyw.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\otqtmttk.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\ilcseohv.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31602674-FA0B-4C19-AE73-9799D5F20530}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Fixe mit HJt folgende Einträge:

O2 - BHO: (no name) - {7EF2C7B3-0B3F-45F2-BDFB-D992AFE4CBB1} - C:\WINDOWS\system32\gebyw.dll (file missing)
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\otqtmttk.dll
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\ilcseohv.dll",forkonce

Poste jetzt die vier Logs der datfind.bat, nachdem Du wie dort beschrieben Cleanup ausgeführt hast.
Wichtig sind nur die Einträge der letzten drei Monate.

Bata

Hier sind die Logs, waren aber 6:
--------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\system32

03.08.2007 16:41 37.469 nvapps.xml
03.08.2007 16:22 1.446.738 vhoescli.ini
02.08.2007 21:51 125.504 ilcseohv.dll
02.08.2007 21:50 1.448.769 fxlpkayj.ini
02.08.2007 20:26 1.531.659 yrjtuyhn.ini
02.08.2007 18:42 318.168 imapi.dll
02.08.2007 15:58 1.484.409 vfeyblpl.ini
02.08.2007 13:42 1.461.247 nxgfaqjm.ini
31.07.2007 16:21 1.177.158 uoecrdww.ini
31.07.2007 11:50 1.177.039 sddjqeql.ini
31.07.2007 10:12 70.271 dyftxgap.ini
31.07.2007 10:11 125.504 pagxtfyd.dll
31.07.2007 10:06 64.855 ahsinvrq.ini
30.07.2007 12:11 2.185 gixxwwgt.ini
29.07.2007 21:30 2.065 dmjdobni.ini
29.07.2007 20:59 1.945 dgkitywo.ini
29.07.2007 20:51 1.826 almoffnt.ini
29.07.2007 00:30 1.586 sjaorsrh.ini
29.07.2007 00:23 219.648 uxtheme.dll
28.07.2007 23:23 2.953 CONFIG.NT
28.07.2007 23:03 1.465 bantqicl.ini
28.07.2007 20:44 1.285 bffybvis.ini
28.07.2007 18:45 1.045 wtenwkjp.ini
28.07.2007 18:39 926 nnssvwjw.ini
28.07.2007 16:55 806 btbdymdp.ini
28.07.2007 16:45 10.340 coh.cache
28.07.2007 16:04 405 oigtlqow.ini
28.07.2007 15:53 48.776 S32EVNT1.DLL
28.07.2007 12:42 69.184 otqtmttk.dll
28.07.2007 11:43 2.864 winsock.dll
27.07.2007 16:14 230.104 finger.dll
25.07.2007 11:41 230.104 wudfhost.dll
23.07.2007 15:25 17.212 SIntf32.dll
23.07.2007 15:25 21.840 SIntfNT.dll
23.07.2007 15:25 12.067 SIntf16.dll
09.07.2007 22:23 2.206 wpa.dbl
21.06.2007 14:42 103.720 AOLDial.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll
--------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\DOKUME~1\Alex\LOKALE~1\Temp

03.08.2007 16:46 16.384 ~WRF0000.tmp
03.08.2007 16:46 512 ~DF14C0.tmp
03.08.2007 16:43 4 PMShared
01.01.1970 02:00 2.019 laczrxerqankryn.ABI
4 Datei(en) 18.919 Bytes
0 Verzeichnis(se), 21.663.105.024 Bytes frei
-----------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS

03.08.2007 16:42 752 win.ini
03.08.2007 16:42 1.798.506 WindowsUpdate.log
03.08.2007 16:41 0 0.log
03.08.2007 16:41 3.836 ModemLog_Creatix V.92 Data Fax Modem.txt
03.08.2007 16:41 2.048 bootstat.dat
03.08.2007 16:40 32.638 SchedLgU.Txt
02.08.2007 21:43 481.354 ntbtlog.txt
02.08.2007 20:23 464 wiadebug.log
02.08.2007 18:48 9.863 KB892130.log
02.08.2007 18:47 307.771 setupapi.log
02.08.2007 18:42 130.776 temp29.exe
02.08.2007 15:54 50 wiaservc.log
01.08.2007 13:06 74 cookies.ini
31.07.2007 16:19 756 nsw.log
29.07.2007 22:04 157.937 ntdtcsetup.log
29.07.2007 22:04 299.036 tsoc.log
29.07.2007 22:04 120.770 iis6.log
29.07.2007 22:04 261.386 comsetup.log
29.07.2007 22:04 42.038 ocmsn.log
29.07.2007 22:04 1.917 imsins.log
29.07.2007 22:04 375.774 ocgen.log
29.07.2007 22:04 38.241 msgsocm.log
29.07.2007 22:04 766.112 FaxSetup.log
29.07.2007 22:03 232.265 setupact.log
29.07.2007 22:03 0 setuperr.log
29.07.2007 20:52 1.917 imsins.BAK
28.07.2007 23:01 227 system.ini
28.07.2007 15:50 649 GEARInstall.log
27.07.2007 16:21 116 NeroDigital.ini
24.07.2007 00:07 35.087 KB885295.log
20.07.2007 19:57 31.883 DirectX.log
13.07.2007 17:41 220 SIERRA.INI
12.07.2007 00:37 12.624 KB936357.log
11.07.2007 12:24 0 muveeapp.INI
19.06.2007 16:39 1.409 QTFont.for
19.06.2007 16:39 54.156 QTFont.qfn
13.06.2007 15:20 18.957 KB929123.log
13.06.2007 15:20 18.258 KB935840.log
13.06.2007 15:20 17.903 KB935839.log
13.06.2007 15:20 23.320 KB933566-IE7.log
13.06.2007 15:20 75.845 updspapi.log
23.05.2007 16:53 7.726 KB927891.log
09.05.2007 22:46 18.060 KB931768-IE7.log
09.05.2007 22:46 10.811 KB930916.log
05.05.2007 16:41 0 scummvm.ini
--------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\Temp

03.08.2007 16:41 0 T30DebugLogFile.txt
03.08.2007 16:41 0 sqlite_0h4hHvYghwuDTrR
03.08.2007 16:41 0 CLML_AGENT_LOG1.txt
3 Datei(en) 0 Bytes
0 Verzeichnis(se), 21.663.088.640 Bytes frei
--------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
08.10.2005 22:56 65 desktop.ini
26.08.2005 15:57 495 LegitCheckControl.inf
26.05.2005 04:19 291 wuweb.inf
09.02.2005 16:54 1.271 erma.inf
5 Datei(en) 7.141 Bytes
0 Verzeichnis(se), 21.663.080.448 Bytes frei
-------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\

03.08.2007 16:56 0 sys.txt
03.08.2007 16:56 488 down.txt
03.08.2007 16:55 392 tmp.txt
03.08.2007 16:55 12.812 system.txt
03.08.2007 16:54 435 systemtemp.txt
03.08.2007 16:54 109.255 system32.txt
03.08.2007 16:41 1.072.156.672 hiberfil.sys
03.08.2007 16:41 1.610.612.736 pagefile.sys
03.08.2007 00:04 1.042 VundoFix.txt
28.07.2007 23:01 211 boot.ini
16.02.2007 22:44 64.273 mxfilerelatedcache.mxc2

Hallo

bitte lass diese Datei(en) :
C:\WINDOWS\system32\finger.dll
C:\WINDOWS\temp29.exe
hier Virustotal
hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00,Support 25 AntiVirus Engine, Last Update(070722)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch, wenn nichts gefunden wurde.

So etwas hab ich noch nicht gesehen --> im Ordner C:\DOKUME~1\Alex\LOKALE~1\Temp
01.01.1970 02:00 2.019 laczrxerqankryn.ABI <-- versuch bitte diese Datei auch auszuwerten.

MFG

Hier die Ergebnisse:

Datei finger.dll empfangen 2007.08.04 13:03:01 (CET)
Status: Beendet
Ergebnis: 21/31 (67.75%)



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.03 Win-Trojan/Bzub.230104
AntiVir 7.4.0.57 2007.08.03 TR/Spy.BZub.BM.10
Authentium 4.93.8 2007.08.03 W32/Goldun.gen1
Avast 4.7.1029.0 2007.08.03 Win32:BZub-GY
AVG 7.5.0.476 2007.08.03 Generic5.PUL
BitDefender 7.2 2007.08.04 Trojan.Spy.BZub.NFF
CAT-QuickHeal 9.00 2007.08.03 -
ClamAV 0.91 2007.08.04 Trojan.Bzub-59
DrWeb 4.33 2007.08.04 Trojan.PWS.Tanspy
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.04 -
Fortinet 2.91.0.0 2007.08.04 -
F-Prot 4.3.2.48 2007.08.03 W32/Goldun.gen1
F-Secure 6.70.13030.0 2007.08.03 Trojan-Spy.Win32.BZub.bm
Ikarus T3.1.1.8 2007.08.04 Trojan-Spy.Win32.BZub.bm
Kaspersky 4.0.2.24 2007.08.04 Trojan-Spy.Win32.BZub.bm
McAfee 5090 2007.08.03 -
Microsoft 1.2704 2007.08.04 PWS:Win32/Cimuz.gen
NOD32v2 2437 2007.08.03 probably a variant of Win32/Genetik
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.04 Suspicious file
Rising 19.34.40.00 2007.08.03 Trojan.Spy.Win32.BZub.d
Sophos 4.19.0 2007.08.01 Mal/Behav-102
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.04 -
TheHacker 6.1.7.162 2007.08.04 Trojan/Spy.BZub.bm
VBA32 3.12.2.2 2007.08.04 Trojan-Spy.Win32.BZub.bm
VirusBuster 4.3.26:9 2007.08.03 TrojanSpy.BZub.AGI
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Spy.BZub.BM.10
weitere Informationen
File size: 230104 bytes
MD5: 918546bae1dc5801aa79a9886703ff4e
SHA1: dc6e90c659233ad746d6686128e8ad0f2bd4ba01

------------------------------------------------------------------------

Datei temp29.exe empfangen 2007.08.04 13:03:33 (CET)
Status: Beendet
Ergebnis: 19/31 (61.3%)



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 TR/Spy.BZub.BM.6
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.03 Win32:BZub-FJ
AVG 7.5.0.476 2007.08.03 PSW.Generic4.XDY
BitDefender 7.2 2007.08.04 -
CAT-QuickHeal 9.00 2007.08.03 -
ClamAV 0.91 2007.08.04 Trojan.Dropper-1381
DrWeb 4.33 2007.08.04 Trojan.PWS.Tanspy
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 Win32/Brospy.GB
Ewido 4.0 2007.08.03 Logger.BZub.bm
FileAdvisor 1 2007.08.04 -
Fortinet 2.91.0.0 2007.08.04 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 Trojan-Spy.Win32.BZub.bm
Ikarus T3.1.1.8 2007.08.04 -
Kaspersky 4.0.2.24 2007.08.04 Trojan-Spy.Win32.BZub.bm
McAfee 5090 2007.08.03 Generic PWS.q
Microsoft 1.2704 2007.08.04 PWS:Win32/Cimuz.gen
NOD32v2 2437 2007.08.03 probably a variant of Win32/Genetik
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.04 Trj/Nabload.BSD
Rising 19.34.40.00 2007.08.03 Trojan.Spy.Win32.Bzub.jw
Sophos 4.19.0 2007.08.01 Mal/Behav-102
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.04 -
TheHacker 6.1.7.162 2007.08.04 Trojan/Spy.BZub.bm
VBA32 3.12.2.2 2007.08.04 Trojan-Spy.Win32.BZub.bm
VirusBuster 4.3.26:9 2007.08.03 -
Webwasher-Gateway 6.0.1 2007.08.03 Trojan.Spy.BZub.BM.6
weitere Informationen
File size: 130776 bytes
MD5: 38fc08c11969567c9cff3e2bc53b0d50
SHA1: 219d778cde0b9dcc72b74546e060a35be83355d9
packers: ASPack
packers: ASPACK
packers: Aspack

--------------------------------------------------------------------

Diese seltsame Datei hab ich auch gefunden und überprüfen lassen, aber wie kann es sein das sie angeblich 1970 geändert wurde???
Wurde aber nichts gefunden:


Datei laczrxerqankryn.ABI empfangen 2007.08.04 13:07:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/31 (0%)
.
.
.
weitere Informationen
File size: 2019 bytes
MD5: b91c824cac2045b48b77147c3c740753
SHA1: 492f56de15fe3777b258e1ffa166c09c714ecffd

Hallo

sehr suspekt die ganze Angelegenheit, es ist bekannt, dass es einige Schädlinge sich einen alten Datumsstempel verpassen um nach ganz hinten zu rutschen, wenn man nach kürzlich veränderten Dateien sucht.

Du hast für meinen Geschmack zu viele unterschiedliche Schädlinge laufen, dazu noch einer der im verdacht steht mit Rootkittechniken zu arbeiten.
Ich rate dir das System nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung!
neu aufzusetzen, ändere unbedingt nach der Neuinstallation alle deine Pass/Kennwörter die alten dürften keineswegs mehr sicher sein,

Zitat:

Zitat von F-Prot

It was detected generically prior to signature detection as W32/Goldun.gen1. It tries to steal the users passwords to Ebay, E-gold and Paypal accounts.

Pass/Kennwortänderung gilt besonders solltest du Ebay, E-gold oder Paypal nutzen.

MFG

Bleibt mir ja wahrscheinlich nichts anderes übrig, aber könntest du mir ein gutes kostenloses Virenprogramm empfehlen, dass ich danach aufspielen kann? Ich war schockiert, wie viele Programme die Viren die ich hab überprüfen lassen nicht gefunden haben.
Zurzeit habe ich Norton 360° aber das Programm erzählt mir immer noch mein System wäre absolut Virenfrei und in Ordnung.

Hallo

zu Norton sag ich jetzt mal nix...

Ich nutze AntiVir seit ca. 3 Jahren und absolut zufrieden hat allerdings als Freeware den Nachteil keine E-Mail zu scannen als freie Version.
Dazu benutze ich Spybot S&D sowie AdAware und mein Hirn.
Auch dir möchte ich raten nicht jeden E-Mailanhang zu öffnen gerade nicht wenn Fremde oder Dateien unaufgefordert in deinem Postfach landen.

Zitat:

aber könntest du mir ein gutes kostenloses Virenprogramm empfehlen

Wichtiger als ein (das Beste) Antivirenprogramm ist sich mit Hirn im Internet zu bewegen.
Einige gute und freie Programme findest du hier --> AV-Comparatives

MFG

So, ich hab den ganzen Rechner platt gemacht und den Auslieferungszustand wiederhergestellt. Meine Sorge ist aber nun, dass sich vielleicht in den anderen Partitionen, die den Ausgangszustand wiederherstellen etwas eingenistet hat, habe also nochmal ein Logfile erstellt und überprüfen lassen. Bei der folgenden Datei wurde mir gesagt das sie okay ist und daneben, dass sie schädlich ist: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Daher hier nochmal alles komplett. Wäre sehr dankbar wenn sich jemand die Zeit nehmen würde einmal drüberzuschauen.

Logfile of HijackThis v1.99.1
Scan saved at 23:19:59, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\Alex\Desktop\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Antivir hat beim Durchsuchen aber keine Viren gefunden. Das gleiche gilt für eTrust und VundoFix. Hoffe ich hab die Sache endlich abgeschlossen.

Hallo

Zitat:

Meine Sorge ist aber nun, dass sich vielleicht in den anderen Partitionen, die den Ausgangszustand wiederherstellen etwas eingenistet hat

Führe besser noch keine Dateien/Programme von diesen Partitionen aus, überprüfe doch erstmal die anderen Partitionen von der nun sauberen aus mit Antivir oder führe mal einen Onlinescan durch z.B. hier
Free Virus Scan - Kaspersky Lab
der Onlinescan sollte mit dem Internet Explorer und aktiviertem ActivX durchgeführt werden

Zitat:

Zitat von Kaspersky

The Kaspersky Online Virus Scanner uses Microsoft ActiveX technologies to scan your computer for malicious code...

Zitat:

Bei der folgenden Datei wurde mir gesagt das sie okay ist und daneben, dass sie schädlich ist: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Die Datei gehört zu deiner Soundkarte (Realtek) und soll Daten über dein Surfverhalten sammeln

Fixe den Eintrag mit Hijackthis, wenn du den Eintrag loswerden möchtest, lösche aber den Backupordner von Hijackthis nicht, falls Schwierigkeiten auftreten kannst du den Eintrag zurückspielen.

MFG