Hallo,

ich sitze hier gerade bei einem Freund der folgendes Problem hat:
Im Internet Explorer und im Firefox öffnen sich Seiten, die sich gar nicht öffnen dürften. (Man klickt auf www.xyz.de und kommt meist auf Seiten wie www.quickwitter.com/....)

Hier mal das Hijack-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:32, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WEB.DE SmartSurfer.lnk = E:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{564FEF95-3385-4E76-AE98-870BAAE2197B}: NameServer = 85.255.115.110 85.255.112.175
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - E:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - E:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
O24 - Desktop Component 0: (no name) - http://www.luister.de/pics/ueber/mitarb.gif
O24 - Desktop Component 1: (no name) - http://www.pluederhausen.de/IMAGES/schnee_kirche_winter06_rdax_592x210.jpg

--
End of file - 5955 bytes

Hoffe uns kann jemand helfen.

Grüsse.

Hallo, ich nochmal,

nach Aktualisierung des Virenprogramms bin ich jetzt bei 24 Würmern und Trojanischen Pferden angelangt.

Was meint denn ihr was schneller geht? Das System neu aufsetzen und die Daten sichern oder versuchen den Schaden zu beheben.

Grüsse.

Hier mal was der Virenscanner auf C: gefunden hat...

C:\Dokumente und Einstellungen\All Users\Dokumente\MSlti64.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/AgoBot.136218
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47930527.qua' verschoben!
C:\Dokumente und Einstellungen\Herbert\Lokale Einstellungen\Temp\adv004.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.OS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479d0696.qua' verschoben!
C:\Dokumente und Einstellungen\Herbert\Lokale Einstellungen\Temp\hqcodec1236.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.dof
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478a06a7.qua' verschoben!
C:\Programme\mailskinner\OESkinner.dll
[FUND] Ist das Trojanische Pferd TR/MailSkinner.DLL.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477a0792.qua' verschoben!
C:\Programme\NewMediaCodec\Uninstall.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.37546
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479007fa.qua' verschoben!
C:\Programme\WinAntiVirus Pro 2006\Activate.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.A.6
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b08b3.qua' verschoben!
C:\Programme\WinAntiVirus Pro 2006\fopn.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.14
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479708c2.qua' verschoben!
C:\Programme\WinAntiVirus Pro 2006\InstHelp.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.BX.9
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479a08c6.qua' verschoben!
C:\Programme\WinAntiVirus Pro 2006\Updater.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.A.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478b08cb.qua' verschoben!
C:\Programme\WinMsg\SWARE.EXE
[FUND] Ist das Trojanische Pferd TR/Fakealert.OS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476808c1.qua' verschoben!
C:\Programme\WinMsg\SYSMONMS.EXE
[FUND] Ist das Trojanische Pferd TR/Dldr.WinFixer.AA
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477a08c5.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP337\A0255002.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908a8.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP337\A0255016.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908aa.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP337\A0257741.exe
[FUND] Ist das Trojanische Pferd TR/Agent.53248.F
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908b6.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257769.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/AgoBot.136218
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908bb.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257771.dll
[FUND] Ist das Trojanische Pferd TR/MailSkinner.DLL.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908bd.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257772.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.37546
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908bf.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257780.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.A.6
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908c1.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257781.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.14
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908c4.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257782.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.BX.9
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908ca.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257783.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.A.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908cc.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257784.EXE
[FUND] Ist das Trojanische Pferd TR/Fakealert.OS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908cd.qua' verschoben!
C:\System Volume Information\_restore{FD4D5198-3BF1-4ABB-9A29-E3939126155D}\RP338\A0257785.EXE
[FUND] Ist das Trojanische Pferd TR/Dldr.WinFixer.AA
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475908cf.qua' verschoben!
C:\WINDOWS\system32\av.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.13
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47550ad7.qua' verschoben!