So, escan ist jetzt fertig. Hier ist das logfile:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/18/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (C:\WINDOWS\system32\cmd.ftp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\1874_up.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\1874_up.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4110. Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_34.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_80.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_88.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_94.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall5_40.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall5_48.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall5_64.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4110. Keine Aktion vorgenommen.
Datei C:\Programme\RealVNC\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_34.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_80.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_88.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall4_94.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall5_40.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall5_48.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall5_64.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\temp\nst21.tmp\installoptions.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
Offending file found: C:\WINDOWS\system32\cmd.ftp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet\handlers\kazaa !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\gain !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\kazaa media desktop !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{180c5f92-2651-11dc-8528-00085417d69b} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\*****\Eigene Dateien\mustek treiber\Webxp.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 103980
Gefundene Viren: 33
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 198
Dauer des Scans bisher: 01:42:15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:17:40,21
Batchende: 17:18:12,92

Also wie ich schon gedacht habe wäre hier das einzige und sichere dein System neuaufzusetzen.
Aber lass dann in Zukunft Dinge wie Kazaa und Grokster usw weg.

Anleitung zum Neuaufsetzen findest du in meiner Signatur

Zitat:

Zitat von hansilein54

Jetzt sollte ich ja noch die ntos.exe bei Jotti scannen, die ist aber unter C:\WINDOWS\system32\ nicht zu finden...

Ich denke auch das es für dich besser ist dein System komplett neu aufzusetzen.
Ich hatte nahezu den indentischen Fall vor kurzem auf einer Testmaschine.
Die Datei ntos.exe ist übrigens sehr wahrscheinlich da aber ist auch bei komplett richtig eingestellten Ordneroptionen nicht sichtbar.
Sie wurde auf meiner VM nur von einem Rootkitscanner gefunden.

So, hab jetzt meine Festplatte formatiert und XP neu installiert. Hab mich dabei an die Anleitung hier aus dem Forum gehalten und geh jetzt nur noch über ein eingeschränktes Benutzerkonto ins Internet. Noch mal danke für die Hilfe.

mfg hansilein54