Hi, habe mir hier schon des öfteren Anregungen zur Problemlösung geholt, aber nu weiß ich auch nicht mehr weiter! Wäre schön, wenn ihr die Log-File mal durchschauen könnt!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:04, on 05.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jotuvgzq\donodsla.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\SuperAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ezanwpyp.exe
D:\Programme\Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
D:\Programme\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\VeohTV\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SuperAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [asrvfoke] C:\WINDOWS\system32\ezanwpyp.exe
O4 - HKLM\..\Policies\Explorer\Run: [jb03RXmsTZ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jotuvgzq\donodsla.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SuperAntiSpyware\SASWINLO.dll
O21 - SSODL: tdomgafw - {8F38CDFE-0C90-4A42-9CB6-E6F4C6D81C7A} - C:\WINDOWS\tdomgafw.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 3456 bytes

Hi,

ich kopiere dir mal zusammen, was in deinem Log alles schlecht ist:

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jotuvgzq\donodsla.exe
C:\WINDOWS\system32\ezanwpyp.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKCU\..\Run: [asrvfoke] C:\WINDOWS\system32\ezanwpyp.exe
O4 - HKLM\..\Policies\Explorer\Run: [jb03RXmsTZ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jotuvgzq\donodsla.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O21 - SSODL: tdomgafw - {8F38CDFE-0C90-4A42-9CB6-E6F4C6D81C7A} - C:\WINDOWS\tdomgafw.dll

Die Javazeilen, weil die Version veraltet ist. Außerdem fehlen Einträge eines Virenscanners, der vielleicht einiges verhindert hätte. Das Ende deines Systems ist mindestens die mit F2 anfangende Zeile: ntos.exe ist bekannt und erfordert Formatieren und Neuinstallation des Systems. Ebenso müssen alle Passwörter und sonstigen Zugangsdaten von einem garantiert unverseuchten Computer aus geändert werden.

Gruß, Karl

Erstmal danke für die Antwort! Habe in der Zwischenzeit mal Cookies, Temp etc. gelöscht, ein bißchen hier und da gelöscht mit Smitfraud, Superantispyware, Ewido, per Hand, regedit etc. und dies ist nun meine neue Log-File..


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:48, on 05.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\SuperAntiSpyware\SUPERAntiSpyware.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\HijackThis\HijackThis.exe
D:\Programme\Xfire\xfire.exe
D:\Programme\Teamspeak2_RC2 Server\server_windows.exe
D:\Programme\ICQLite\ICQLite.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\VeohTV\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SuperAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SuperAntiSpyware\SASWINLO.dll
O21 - SSODL: tdomgafw - {C9FC8FE3-DF32-4847-8EA0-460F5E0901CB} - C:\WINDOWS\tdomgafw.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 3194 bytes



Dies bleibt:
O21 - SSODL: tdomgafw - {C9FC8FE3-DF32-4847-8EA0-460F5E0901CB} - C:\WINDOWS\tdomgafw.dll

Java ist ja kein Problem...

Einen Z-Bot bekommst Du mit Smitfraudfix, Regedit etc nicht weg. Bzw. dessen Auswirkungen. Dritte hatten vollzugriff auf Dein System, kennen Deine Passwörter, Deine Bankverbindung und alles was Du auf dem Rechner gemacht hast.
Befolge Kalrs Rat und hier ist eine Anleitung zum neu installieren.

Hm, das ist nicht gut... 150 gig irgendwo sichern...
Aber was mich interessieren würde: Dritte HATTEN oder haben immernoch Vollzugriff? Und wodurch vor allem?

Ein Backup sollte man auch ohne Viren immer haben.

Hier eine Beschreibung von Avira zu einer Art des Z-Bots.

Zitat:

Auswirkungen:
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Google Suche nach Z-Bot, hat nichts mit Counterstike zu tun.

Na dann dürfte ja eigentlich nur meine Sys-Partition betroffen sein, oder?