Hi Leute habe nen großes Problem.
Ich benutze Kaspersky Anti Virus.
Ich bekomme ständig diese Nachricht:
Fehler beim Verschieben in die Quarantäme.
Potentiell gefährliche SoftWare:
Trojan.generic
Prozess (PID: 508):
D:\Dokumente und Einstellungen\....\3820765.exe

-- > Überspringen (Kann man anklicken)
Die aktion wird dürch geführt
-- > Zur Vertrauens würd. Zone ...
....

Nun da ich es net zu Vertrauenwürdige... machen will muss ihc ja Überspringen drücken.
Nun kommt ein Neues Fenster:
DEr Prozesse wurde zwangsläufig beendet. Es wir empfohlen....
Potentiell gefährliche SoftWare:
Trojan.Generic
Prozess ( PID : 508):
D:\Dokumente und Einstellungen\....\3820765.exe

Dies mal kann ich Rollback, Überspringen und Zu vertrauens... macheen wenn ich Roll Back mache kommt wieder die erste meldung!

Helf mir bitte ich griege das teil net weg vorher stand statts 3820765.exe msgr.exe da da stand aber wenigsten den eintrrag bei regedit da habe ich des dann gelöscht nun kommt der Trojaner

Edit:
Jetzt habe ich wieder diese msgr.exe als Virus und bei Regedit ist die auch wieder.
Wen ihr mehr infos brauhct dann schreibt

Edit:
Fals ihr das noch braucht:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:00, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\Programme\YzShadow\YzShadow.exe
D:\xampp\apache\bin\apache.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\mgrs.exe das sit der eine wen ich es weg mache kommt er wieder
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt1.joymax.com
O1 - Hosts: 121.128.133.28 gwgt1.joymax.com
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVP] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [Autostart] C:\WINDOWS\System32\cfmons.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] D:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ddccbxv - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hack - Unknown owner - c:\WINDOWS\system32\tlntsvr.exe (file missing)
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5802 bytes

Bei Deiner mgrs.exe handelt es sich um diesen Gesellen hier:
CastleCops® MD5: 325da330a02b843096a806aceda20a94 mgrs.exe

Nicht gerade berauschend, aber es gibt schlimmere Logs.
Fixe bitte folgende Einträge mit HJT (Häckchen bei "fixed checked"):
C:\WINDOWS\mgrs.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310
Suche die mgrs.exe unter dem Windows bzw. System 32 Ordner und lösche diese. Solltest Du diese nicht finden, mache die versteckten Ordner sichtbar:
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Lade Dir zusätzlich zu Ad-Aware noch Spybot
Die Seite von Spybot-S&D!
& regseeker Download RegSeeker
sowie Stinger runter :McAfee AVERT Stinger - Download

Wechsel bitte anschliessend in den abgesicherten Modus und deaktiviere die Systemherstellung nach dieser Anleitung:
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)
Lass regseeker (mehrmals) Ad-Aware,Spybot,Stinger und Kaspersky bereinigen und alles löschen was die finden.
Anschliessend normal booten, Systemherstellung aktivieren und wieder mit eben genannten Programmen scannen.

Poste bitte danach ein neues Log (Bitte dabei die HJT.exe in z.B. HJT.com umbenennen)

Zitat:

Zitat von Mobius07

Bei Deiner mgrs.exe handelt es sich um diesen Gesellen hier:
CastleCops® MD5: 325da330a02b843096a806aceda20a94 mgrs.exe

Nicht gerade berauschend, aber es gibt schlimmere Logs.
Fixe bitte folgende Einträge mit HJT (Häckchen bei "fixed checked"):
C:\WINDOWS\mgrs.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310

Wie meinste des? Wie soll des gehn. Mit was soll des fixen also häckchen dran
aber ich finde des shcon mal voll cool für die hilfe

Starte noch einmal Hijackthis. "Do a system scan only" - Button drücken, auf der linken Seite sind Kästchen, such Dir die beiden genannten Einträge heraus, mit Mäuschen anklicken, untere graue Hälfte Button " Fix checked" anklicken! Dann verfährst Du weiter wie beschrieben.

0k danke ich editiere dann hier den post
mal ne frage bei mir war shcon alles deaktiviert
und wie soll ich im abgesicherten modus des cleanen?

Das steht alles in der Anleitung: Geh einfach der Reihe nach, lese Dir die Links gut durch und versuche einfach alles so gut wie möglich abzuarbeiten. Abgesicherter Modus? Rechner neu starten, beim starten einige Male "F8" drücken.
Beim Start in den abges. Modus werden nur die relevanten und benötigten Programme gestartet, erschrecke also nicht, wenn der Mauszeiger etwas größer ist und die Auflösung wie beim Commodore 64 aussieht (Grob), falls Du das Dingen überhaupt kennst.
Es macht also Sinn im abges. Modus zu bereinigen. Die Programme ziehst Du Dir aber bitte jetzt eben aus dem Netz.

ich griege ihn net weg habe alles so gemacht wie du geesagt hast nur als ich den firefox öffnete kamm irgentso ein reinigung meinte der ich habe nein gedrückt und dann waren wieder alles da von den viren in dem Log glaube ich das des mgs.exe net drin steht da ich es eben mit taskmanager beendet habe!

LOG:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:34:17, on 05.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\xampp\apache\bin\apache.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Xfire\xfire.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt1.joymax.com
O1 - Hosts: 121.128.133.28 gwgt1.joymax.com
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Autostart] C:\WINDOWS\System32\cfmons.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] D:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ddccbxv - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hack - Unknown owner - c:\WINDOWS\system32\tlntsvr.exe (file missing)
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5573 bytes

Ich musste erst mal durchlesen was Du genau meintest. Was Du mit Zitat: "kamm irgentso ein reinigung meinte der ich habe nein gedrückt" sagen wolltest, versteh ich überhaupt nicht. Versuch Dich bitte ein wenig deutlicher auszudrücken.
Die mgrs.exe ist zumindest nicht mehr vorhanden.
Du spielst auch SilkroadOnline? Ich weiss jetzt nicht inwiefern man jetzt dafür drei hosts braucht. Will Dir jetzt nicht Dein Spiel killen wenn wir Einträge einfach fixen. Denn auch über Online-Spiele kann man sich Schadprogramme einfangen.
Was ich übersehen hatte :
Lass bitte diese Datei bei Virustotal, bzw. Jotti überprüfen:
C:\WINDOWS\System32\cfmons.exe
VirusTotal - Free Online Virus and Malware Scan
Online malware scan
Datei ins weisse Fensterchen kopieren, "send/submit" Button anklicken, gesamte Ergebnis mit SHA1 & MD5 Angaben hier posten.

Dieser Eintrag könnte auf einen Rootkit hinweisen:
O20 - Winlogon Notify: ddccbxv - C:\WINDOWS\
Lass daher Dein System mit Blacklight überprüfen:
F-Secure Blacklight > F-Secure Blacklight
Ergebnis ebenfalls komplett posten.

Schauen wir erst einmal was diese Überprüfung ergibt. Man kann hinterher immer noch einen e-scan machen und schauen, ob eine Bereinigung überhaupt sinnvoll erscheint.

08/05/07 13:56:02 [Info]: BlackLight Engine 1.0.64 initialized
08/05/07 13:56:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/05/07 13:56:02 [Note]: 7019 4
08/05/07 13:56:02 [Note]: 7005 0
08/05/07 13:56:03 [Note]: 7006 0
08/05/07 13:56:03 [Note]: 7011 1940
08/05/07 13:56:04 [Note]: 7026 0
08/05/07 13:56:04 [Note]: 7026 0
08/05/07 13:56:08 [Note]: FSRAW library version 1.7.1022
08/05/07 13:59:15 [Note]: 7007 0
das ist der Scann von BackLight ich weiß zwar net was man darunter lesen kann aber egal.
Diese C:\WINDOWS\System32\cfmons.exe konnte ich nicht Scannen da ich sie nicht finde ich lasse grade meinen pc noch danach suchen naja

Gut, so kommen wir nicht weiter.
Wegen der cfmons.exe: Hast Du auch alle versteckten Dateien sichtbar
gemacht wie gestern beschrieben?

Wir machen jetzt mal einen on-demand scan nach dieser Anleitung:
http://www.trojaner-board.de/38066-e...ightymarc.html
Dieser Vorgang dauert aber seine Zeit, aber der findet auf Jeden etwas. Das Ergebnis dieses scans postest Du mit der sg. "find-bat", steht in der Anleitung beschreiben. Dann schaun wir weiter, ok?

ja ich ahbe alles so gemachtwie du gesagt hats auch mit dme unsichtabren...
naja ich fange dann mal an mit diesem scan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:44, on 06.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Xfire\xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2789 bytes

So das ist der neeue scann ich sehe kin virus mehr. Nur ich hatte plötzlich mmal nen VNC Setup aufn Deskop!

Hast zumindest Deinen Rechner aufgeräumt.Wie gesagt, hat nichts zu bedeuten wenn das Log sauber aussieht.
Zudem hast Du die Hijackthis.exe immer noch nicht umbenannt. Einen e-scan hast Du auch nicht ausgeführt. Also, welchen Ratschlag soll ich Dir jetzt guten gewissens geben?
Was es mit dem VNC Setup auf sich hat? Hört sich an wie ein Fernzugriff (Remotecontrol) auf den Rechner. Hast Du so etwas installiert?