hallo,

Ähm...von Updates hälst du nicht so viel?
Wo hat dein AV-Tool einen Virus entdeckt?
Folgende Punkte bitte abarbeiten:

1) WIN-XP-SP2 aufspielen + alle Updates(siehe sig)
2) Java-Update durchführen
3)* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\System32\MSSTKPSP.DLL

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

hier schonmal das ergebnis von Virustotal. escan kommt nacher nach, muss erst schnell etwas anderes erledigen!

ps: hm, gerade eben beim starten kamen keine meldungen mehr. die dateien waren im windows und dokumente/einstellungen ordner.

Zitat:

Datei MSSTKPSP.DLL empfangen 2007.10.22 13:54:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/32 (65.63%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.22.0 2007.10.22 Win-AppCare/Stud.9728
AntiVir 7.6.0.27 2007.10.22 ADSPY/Stud.D
Authentium 4.93.8 2007.10.22 -
Avast 4.7.1051.0 2007.10.21 Win32:Trojano-3384
AVG 7.5.0.488 2007.10.22 Adware Generic.WNV
BitDefender 7.2 2007.10.22 Adware.Stud.I
CAT-QuickHeal 9.00 2007.10.20 AdWare.Stud.d (Not a Virus)
ClamAV 0.91.2 2007.10.22 Adware.BHO-15
DrWeb 4.44.0.09170 2007.10.22 -
eSafe 7.0.15.0 2007.10.21 -
eTrust-Vet 31.2.5230 2007.10.22 -
Ewido 4.0 2007.10.22 Adware.Stud
FileAdvisor 1 2007.10.22 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.22 W32/Adware.IJT
F-Secure 6.70.13030.0 2007.10.22 -
Ikarus T3.1.1.12 2007.10.22 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.10.22 not-a-virus:AdWare.Win32.Stud.d
McAfee 5145 2007.10.19 -
Microsoft 1.2908 2007.10.22 Trojan:Win32/Webprefix
NOD32v2 2606 2007.10.22 Win32/Adware.BHO.AA
Norman 5.80.02 2007.10.22 W32/Stud.Y
Panda 9.0.0.4 2007.10.21 -
Prevx1 V2 2007.10.22 -
Rising 19.46.02.00 2007.10.22 Adware.Win32.Stud.d
Sophos 4.22.0 2007.10.22 MapKon
Sunbelt 2.2.907.0 2007.10.20 -
Symantec 10 2007.10.22 Adware.Webprefix
TheHacker 6.2.9.104 2007.10.22 Adware/Stud.d
VBA32 3.12.2.4 2007.10.22 AdWare.Win32.Stud.d
VirusBuster 4.3.26:9 2007.10.21 Adware.BHO.EC
Webwasher-Gateway 6.6.1 2007.10.22 Ad-Spyware.Stud.D
weitere Informationen
File size: 39331 bytes
MD5: 20840df3e20a6193f746affae719ebdf
SHA1: 17e170e0414538f17110aafcdaa66a5fdf1d3ddb
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Da haben wir doch schon mal den Anfang:
-> MapKon

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\System32\MSSTKPSP.DLL

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

-> anschließend den Eintrag, wenn noch vorhanden, mit
Hijackthis fixen. Mit dem escan-Protokoll sehen wir weiter,
da kommt bestimmt noch mehr.

mfg Cleriker

was meinst du mit "-> anschließend den Eintrag, wenn noch vorhanden, mit
Hijackthis fixen." ?

* HijackThis - Fix Cecked
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

O2 - BHO: (no name) - {05191F7A-D649-4C14-93FA-F33FFC1A93C3} - C:\WINDOWS\System32\MSSTKPSP.DLL

-> steht wahrscheinlich (file missing) hinter
- Scrolle nach unten und klicke auf "Fix checked"

mfg Cleriker

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
C:\DOKUME~1\p-john\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with h@tkeysh@@k Spyware/Adware (h@tkeysh@@k.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\avenger\backup.zip/avenger/MSSTKPSP.DLL//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\System32\h@tkeysh@@k.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in E\Shell\AutoRun\command: E:\setup.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\p-john\LOKALE~1\Temp\InstallRtc.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\p-john\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\p-john\LOKALE~1\Temp\VSD25.tmp\dotnetfx\dotnetfx.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_465ec276\engine\nt\avpack32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:00:06,73
Batchende: 18:00:07,40

edit: so, hier des ergebnis vom escan

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\slwjnouc

*******************

Script file located at: \??\C:\WINDOWS\qfhgbana.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\MSSTKPSP.DLL deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hijacked hab ich auch, nu mach ich ma den escan

findet keiner mehr was?

also die meldungen am anfang sind weg, aber nic hdass i-wo noc hwas ist!