Hilfe Bei Virusbefall TR.Bagle.DO

ApricotX · 09.09.2007, 16:59

Hallo zusammen,
Ich hoffe auf eure Hilfe, obwohl ich schon damit rechne,neu aufsetzen zu müssen. Habe seit einigen Tagen einen Virusbefall.

Äußert sich folgendermaßen:

Kann keine Virusprogs installieren
Spybot.exe nicht mehr vorhanden (auch nach neuinstallation)

Sonst läuft der Rechner eigentlich "normal".
Habe Hijackthis, Bitdefender-onlinescan und F-secure drüberlaufen lassen. Hier die Ergebnisse:

Hier die Bitdefender onlinesuche-LOG:

BitDefender Online Scanner

Scan report generated at: Sun, Sep 09, 2007 - 15:19:53
Scan path: A:\;C:\;D:\;G:\;X:\;Y:\;
Statistics
Time
02:39:26
Files
742849
Folders
10855
Boot Sectors
5
Archives
42689
Packed Files
37215

Results
Identified Viruses
2
Infected Files
3
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
3

Engines Info
Virus Definitions
800226
Engine build
AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
Scan plugins
14
Archive plugins
38
Unpack plugins
7
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\WINDOWS\exefld\14496656.exe
Infected with: Trojan.Bagle.DO
C:\WINDOWS\exefld\14496656.exe
Disinfection failed
C:\WINDOWS\exefld\14496656.exe
Deleted
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\Atomix.Virtual.DJ.v4.1Atomix.Virtual.DJ.v4.1.\patch.exe
Infected with: Trojan.Hacktool.Patch.A
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\Atomix.Virtual.DJ.v4.1.=>Atomix.Virtual.DJ.v4.1\patch.exe
Disinfection failed
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\Atomix.Virtual.DJ.v4.1.Cracked-BAKA.rar=>Atomix.Virtual.DJ.v4.1\patch.exe
Deleted
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\Atomix.Virtual.DJ.v4.1.rar
Update failed
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\virtual.dj.4.1-patch.rar=>virtual.dj.4.1-patch.exe
Infected with: Trojan.Hacktool.Patch.A
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\virtual.dj.4.1-patch.rar=>virtual.dj.4.1-patch.exe
Disinfection failed
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\virtual.dj.4.1-patch.rar=>virtual.dj.4.1-patch.exe
Deleted
D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ.rar
Update failed

Und hier noch F-Secure:

09/09/07 17:26:10 [Info]: BlackLight Engine 1.0.64 initialized
09/09/07 17:26:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/09/07 17:26:10 [Note]: 7019 4
09/09/07 17:26:10 [Note]: 7005 0
09/09/07 17:26:12 [Note]: 7006 0
09/09/07 17:26:12 [Note]: 7011 576
09/09/07 17:26:12 [Note]: 7026 0
09/09/07 17:26:12 [Note]: 7026 0
09/09/07 17:26:18 [Note]: FSRAW library version 1.7.1022
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13LDDE.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\CrlWTC114.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13cbe.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13cbede.cbt
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13cbeEN.CBD
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13cbekd.cbt
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13ce.icr
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13ce.sav
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.adv
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.hyd
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.icr
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.mor
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.rul
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.sav
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13de.ths
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13en.hwl
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13en.mor
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13kd.adv
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13kd.hyd
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13kd.mor
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13kd.rul
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13LDEN.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13LDXX.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13LI.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13ND.mor
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13nd.sav
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13oz.icr
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13oz.sav
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13sphs.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13spls.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13SPML.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13sptl.ico
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13sptlDE.exe
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13SPTP.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13SPWP.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WT13uide.dll
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13uk.adv
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13uk.icr
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13uk.rul
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13uk.sav
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13uk.ths
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13us.adv
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13us.icr
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13us.rul
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\Wt13us.sav
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\wt13us.ths
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WTDE.chm
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WTGEDE.chm
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WTGEUK.chm
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WTGEUS.chm
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\13\WTSPUT.chm
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\9.1\Wt9_1de.ths
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\9.1\Wt9_1uk.ths
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Corel\Shared\Writing Tools\9.1\wt9_1us.ths
09/09/07 17:27:12 [Note]: 10002 3
09/09/07 17:27:12 [Note]: 10002 2
09/09/07 17:27:12 [Note]: 10002 2
09/09/07 17:27:14 [Note]: 10002 3
09/09/07 17:27:14 [Note]: 10002 3
09/09/07 17:27:14 [Note]: 10002 3
09/09/07 17:27:14 [Note]: 10002 3
09/09/07 17:27:14 [Note]: 10002 3
09/09/07 17:27:14 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 3
09/09/07 17:27:15 [Note]: 10002 2
09/09/07 17:27:15 [Note]: 10002 2
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
09/09/07 17:31:56 [Note]: 10002 3
09/09/07 17:31:56 [Note]: 10002 2
09/09/07 17:31:56 [Note]: 10002 2
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepaden.hlp
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsm.dll
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsv.exe
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs411.dll
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs412.dll
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll
09/09/07 17:39:11 [Note]: 10002 3
09/09/07 17:39:11 [Note]: 10002 2
09/09/07 17:39:11 [Note]: 10002 2
09/09/07 17:42:06 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/09/07 17:42:06 [Note]: 10002 2
09/09/07 17:42:06 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/09/07 17:42:06 [Note]: 10002 2
09/09/07 17:43:41 [Note]: 2000 1012
09/09/07 17:43:41 [Note]: 2000 1012
09/09/07 17:44:33 [Note]: 7007 0

ApricotX · 09.09.2007, 17:03

Und hier noch HijackthisLOG:

Logfile of HijackThis v1.99.1
Scan saved at 17:25:49, on 09.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\Msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Strokeit\strokeit.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\T-DSL Manager\DslMgr.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
D:\Downloadz\Appz\Virus & Co Progs\Hijackthis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: metaspinner GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [StrokeIt] C:\Programme\Strokeit\strokeit.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: T-DSL Manager.lnk = C:\Programme\T-DSL Manager\DslMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MIFF9C~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188061966265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188061952812
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D3D41DE-1456-4AB2-9F75-95C19A0FD634}: NameServer = 192.168.2.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Wäre über Hilfe sehr Dankbar.
Meinte ihr, es wäre möglich, dass ich eine andere Festplatte mit Betriebssystem nehme, die aktuelle, virusbefallene Platte als 2. Platte nehme (Wechselrahmen für Festplatte vorhanden), von der 1. Starte (die ja ein Virusprogramm drauf hat) und damit dann die 2. auf Viren prüfe und lösche?

Die Virusbefallene Platte kann ich leider auch nicht im abgesicherten Modus starten. Geht schon lange nicht.

System: WIN XP SP2
AMD Athlon XP

Danke schon mal und viele Grüße

cosinus · 09.09.2007, 17:06

Hallo.

Zitat:

D:\Downloadz\Appz\Music Progs\Virtual DJ\Virtual DJ\Atomix.Virtual.DJ.v4.1.Cracked-BAKA.rar

Wer mit "Crackz" und offensichtlicher dubioser Software hantiert, muss sich über Befall nicht wundern.

Zitat:

09/09/07 17:42:06 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/09/07 17:42:06 [Note]: 10002 2
09/09/07 17:42:06 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys

Du hast mit ziemlicher Sicherheit ein Rootkit im System, es ist also kompromittiert und muss neu aufsetzt werden - da führt kein Weg dran vorbei.
Lass in Zukunft auch die Finger von dubioser (gecrackter) Software.

ApricotX · 09.09.2007, 17:30

und ich dachte, ich hätte alle "crack" sachen gelöscht

Ne mal im ernst, das war ne halbe ewigkeit her, das ich diese sachen hab. Der Virus kommt auch 100% nicht von dort, denn die Datei hab ich schon lang drauf. Der Virus ist neu drauf gekommen.

Also führt kein Weg dran vorbei?
Verdammt.

Ich kann aber schon die Festplatte (einige Dateien) Sichern (auf ext. Festplatte) und nach Neuinstallation wieder drauf machen oder? Natürlich vorher noch Virenscan. Findet der Virenscanner dann auf der ext. Platte auch die Dateien, die befallen sind? Nicht dass ich mir dann wenn ich die Dateien von der ext. Platte wieder zurückspiele wieder den Virus mit rübernehme.

Gruß

cosinus · 09.09.2007, 17:45

Wenn ein Virenscanner nichts findet, bedeutet das nicht, dass die Datei auch sauber ist.
Du solltest optimalerweise nur reine Datendateien sichern und wieder zurückspielen. Sichern solltest du am besten mit einem Fremdsystem wie Knoppix oder BartPE, sodass kein Schädling da was beeinträchtigen könnte.

ApricotX · 09.09.2007, 17:53

was sind knoppix und co???

Beim Sichern dachte ich eher an meine mp3 Sammlung, Filme, Bilder, Eigene Dateien. Sonst werde ich wohl nichts sichern.

cosinus · 09.09.2007, 17:58

Knoppix und BartPE sind Rettungssysteme (live-CDs), d.h. du kannst damit den Recher booten und hast ein garantiert sauberes System - ohne es installieren zu müssen.

Knoppix basiert auf Linux, BartPE auf Windows XP - du musst solche Rettungs-CDs aber auf einem sauberen PC erstellen, sonst macht das ganze nat. keinen Sinn.

ApricotX · 09.09.2007, 18:06

ok, ich verstehe.
Ich hab nen Laptop. Ich würde jetzt dort mit BartPE eine CD erstellen und mit der könnte ich dann den anderen Rechner starten und anschließend von Virenbefall säubern oder dient das dazu, damit ich die Daten sichern kann?

Man man man, ich hab weder Zeit noch Lust mein System neu zu installieren. Das dauert wieder ewig bis alles so ist wie ich es brauch...

Verdammter Virus.

cosinus · 09.09.2007, 18:13

Zitat:

anschließend von Virenbefall säubern oder dient das dazu, damit ich die Daten sichern kann?

Von der Bereinigung würde ich dir abraten. Ist zwar mit BartPE besser möglich, als mit dem kompromittierten System selber, aber niemand weiß, was noch alles manipuliert wurde. Sichere also von dort aus nur die Daten z.B. auf eine externe Festplatte.

Wenn die eigenen Dateien auf einer Extrapartition liegen, musst du nicht unbedingt die Daten sichern, da es beim Neuaufsetzen reicht, nur die Systempartition zu formatieren. Geht aber irgendwas schief, hast du die Pappnase auf und die Daten sind futsch.

ApricotX · 09.09.2007, 18:29

So wie es aussieht, geht meine 2. Festplatte eh nicht. Daher werde ich jetzt folgendes tun:

ich kauf mir ne neue Festplatte und installiere dort alles neu. Dann werde ich die alte auch mit als slave dranmachen und die dateien, die ich von dort brauche auf die neue übertragen. Vorher natürlich auf Viren prüfen.

Dann formatiere ich die alte Platte und nutze sie als 2. Festplatte in meinem Rechner.

Ich denke dass ist der schnellste Weg um wieder ein lauffähiges System zu haben.

Gruß

cosinus · 09.09.2007, 18:35

So gehts auch!

Festplatten kosten heute auch nicht mehr soviel - du könntest die zweite (also alte) Platte als zusätzliches Backupmedium benutzen. Und vllt. in gescheite Software wie Acronis investieren, um Systemimages anzufertigen. Manchmal findet sich Acronis auch auf Heft-CDs von Fachzeitschriften.

Hilfe Bei Virusbefall TR.Bagle.DO

Plagegeister aller Art und deren Bekämpfung: Hilfe Bei Virusbefall TR.Bagle.DO