hey leute, ich hab seit einigent agen folgendes problem, wenn ich meinen mozilla firefoy browser öffne, öffnen sich alle paar minuten automatisch irgendwelche seiten von wegen kauf dies und lade das. ich hab adaware und spybot schon drüberlaufen lassen der hat aber nicht wirklich was gefunden.
ich hab hier einmal nen hijackthislog gemacht nur ich weis nicht was davon wichtig oder böse ist. Ich hoffe ihr könnt mir helfen!

Logfile of Trend Micro Hijack*This v2.0.2
Scan saved at 14:07:25, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\StudioLine Photo Basic\NMSAccess.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5752 bytes

Mfg

themushroomx

Hallöle themushroomx und

Deinstalliere bitte AdAware. Das taugt nichts mehr..

Führe einen escan durch: MWAV Poste das log!

wie kommich denn genau an diese find.bat datei? naja ich lass den scan ma laufen die nacht, heut mittag hat der bis zu 26 fehler bzw viren etc gefunden musste aber abbrechen und lass jetz nomma laufen, ich meld mich dann!

so hier einmal der log vom escan(hab das gestern noch laufen lassen und heute deshalb 16. und 17.)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
16 Mai 2008 14:49:13 - Datei C:\Dokumente und Einstellungen\brothergang\Desktop\Mukke\download\Infected_Mushroom.mp3 wird gescannt
16 Mai 2008 14:56:22 - System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:22 - System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:55 - System found infected with combo Spyware/Adware (hkcu\software\lanconfig)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:58 - System found infected with combo Spyware/Adware (C:\WINDOWS\server.exe)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:59 - System found infected with combo Spyware/Adware (hklm\system\currentcontrolset\enum\root\legacy_npf\0000\control/activeservice)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:59 - System found infected with combo Spyware/Adware (hklm\system\controlset001\enum\root\legacy_npf\0000\control/activeservice)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:59 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\wget)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:59 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\wget)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:56:59 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\plugin1.dat)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:00 - System found infected with combo Spyware/Adware (hkcr\xttb00001.ietoolbar)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:00 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\uninstall\xttb00001.xttb00001toolbar)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:00 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:00 - System found infected with combo Spyware/Adware (hkcu\software\microsoft\systemcertificates\trustedpublisher\certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcr\xttb00001.ietoolbar.1)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcr\xttb00001.xttb00001.1)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcr\toolband.xttbpos00.1)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcu\software\wget/plg1)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcr\xttb00001.xttb00001)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcu\software\xttb00001)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 14:57:01 - System found infected with combo Spyware/Adware (hkcr\toolband.xttbpos00)! Action taken: Keine Maßnahme ergriffen.
16 Mai 2008 15:19:40 - [Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED wird gescannt]
16 Mai 2008 15:36:04 - Datei C:\Dokumente und Einstellungen\brothergang\Desktop\Mukke\download\Infected_Mushroom.mp3 wird gescannt
17 Mai 2008 01:15:29 - Datei C:\Dokumente und Einstellungen\brothergang\Desktop\Mukke\download\Infected_Mushroom.mp3 wird gescannt
17 Mai 2008 01:22:11 - System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:11 - System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:30 - System found infected with combo Spyware/Adware (hkcu\software\lanconfig)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:31 - System found infected with combo Spyware/Adware (C:\WINDOWS\server.exe)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:31 - System found infected with combo Spyware/Adware (hklm\system\currentcontrolset\enum\root\legacy_npf\0000\control/activeservice)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:31 - System found infected with combo Spyware/Adware (hklm\system\controlset001\enum\root\legacy_npf\0000\control/activeservice)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:31 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\wget)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:31 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\wget)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\plugin1.dat)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (hkcr\xttb00001.ietoolbar)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\uninstall\xttb00001.xttb00001toolbar)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (hkcu\software\microsoft\systemcertificates\trustedpublisher\certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (hkcr\xttb00001.ietoolbar.1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:32 - System found infected with combo Spyware/Adware (hkcr\xttb00001.xttb00001.1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:33 - System found infected with combo Spyware/Adware (hkcr\toolband.xttbpos00.1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:33 - System found infected with combo Spyware/Adware (hkcu\software\wget/plg1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:33 - System found infected with combo Spyware/Adware (hkcr\xttb00001.xttb00001)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:33 - System found infected with combo Spyware/Adware (hkcu\software\xttb00001)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:22:33 - System found infected with combo Spyware/Adware (hkcr\toolband.xttbpos00)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 01:30:37 - [Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED wird gescannt]
17 Mai 2008 01:38:18 - Datei C:\Dokumente und Einstellungen\brothergang\Desktop\Mukke\download\Infected_Mushroom.mp3 wird gescannt
17 Mai 2008 07:35:45 - Datei C:\Dokumente und Einstellungen\brothergang\Desktop\Mukke\download\Infected_Mushroom.mp3 wird gescannt
17 Mai 2008 07:43:13 - System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:13 - System found infected with uplink Adware (installoptions.dll)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:36 - System found infected with combo Spyware/Adware (hkcu\software\lanconfig)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:39 - System found infected with combo Spyware/Adware (C:\WINDOWS\server.exe)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:39 - System found infected with combo Spyware/Adware (hklm\system\currentcontrolset\enum\root\legacy_npf\0000\control/activeservice)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:39 - System found infected with combo Spyware/Adware (hklm\system\controlset001\enum\root\legacy_npf\0000\control/activeservice)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:40 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\wget)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:40 - System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\wget)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:40 - System found infected with combo Spyware/Adware (C:\WINDOWS\system32\plugin1.dat)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hkcr\xttb00001.ietoolbar)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\uninstall\xttb00001.xttb00001toolbar)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hkcu\software\microsoft\systemcertificates\trustedpublisher\certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hkcr\xttb00001.ietoolbar.1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hkcr\xttb00001.xttb00001.1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hkcr\toolband.xttbpos00.1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:41 - System found infected with combo Spyware/Adware (hkcu\software\wget/plg1)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:42 - System found infected with combo Spyware/Adware (hkcr\xttb00001.xttb00001)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:42 - System found infected with combo Spyware/Adware (hkcu\software\xttb00001)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:43:42 - System found infected with combo Spyware/Adware (hkcr\toolband.xttbpos00)! Action taken: Keine Maßnahme ergriffen.
17 Mai 2008 07:58:49 - [Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED wird gescannt]
17 Mai 2008 08:14:56 - Datei C:\Dokumente und Einstellungen\brothergang\Desktop\Mukke\download\Infected_Mushroom.mp3 wird gescannt
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
16 Mai 2008 14:55:44 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
16 Mai 2008 14:55:58 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
16 Mai 2008 14:56:09 - Offending Folder found: C:\Dokumente und Einstellungen\brothergang\Anwendungsdaten\icq\bart\1024
16 Mai 2008 14:56:22 - Offending file found: C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll
16 Mai 2008 14:56:22 - Offending file found: C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll
16 Mai 2008 14:56:55 - Offending Registry Entry found: hkcu\software\lanconfig
16 Mai 2008 14:56:58 - Offending file found: C:\WINDOWS\server.exe
16 Mai 2008 14:56:59 - Offending Registry Entry found: hklm\system\currentcontrolset\enum\root\legacy_npf\0000\control/activeservice
16 Mai 2008 14:56:59 - Offending Registry Entry found: hklm\system\controlset001\enum\root\legacy_npf\0000\control/activeservice
16 Mai 2008 14:56:59 - Offending Registry Entry found: hklm\software\wget
16 Mai 2008 14:56:59 - Offending Registry Entry found: hkcu\software\wget
16 Mai 2008 14:56:59 - Offending file found: C:\WINDOWS\system32\plugin1.dat
16 Mai 2008 14:57:00 - Offending Registry Entry found: hkcr\xttb00001.ietoolbar
16 Mai 2008 14:57:00 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\uninstall\xttb00001.xttb00001toolbar
16 Mai 2008 14:57:00 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar
16 Mai 2008 14:57:00 - Offending Registry Entry found: hkcu\software\microsoft\systemcertificates\trustedpublisher\certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcr\xttb00001.ietoolbar.1
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcr\xttb00001.xttb00001.1
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcr\toolband.xttbpos00.1
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcu\software\wget/plg1
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcr\xttb00001.xttb00001
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcu\software\xttb00001
16 Mai 2008 14:57:01 - Offending Registry Entry found: hkcr\toolband.xttbpos00
17 Mai 2008 01:21:40 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
17 Mai 2008 01:21:57 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
17 Mai 2008 01:22:01 - Offending Folder found: C:\Dokumente und Einstellungen\brothergang\Anwendungsdaten\icq\bart\1024
17 Mai 2008 01:22:11 - Offending file found: C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll
17 Mai 2008 01:22:11 - Offending file found: C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll
17 Mai 2008 01:22:30 - Offending Registry Entry found: hkcu\software\lanconfig
17 Mai 2008 01:22:31 - Offending file found: C:\WINDOWS\server.exe
17 Mai 2008 01:22:31 - Offending Registry Entry found: hklm\system\currentcontrolset\enum\root\legacy_npf\0000\control/activeservice
17 Mai 2008 01:22:31 - Offending Registry Entry found: hklm\system\controlset001\enum\root\legacy_npf\0000\control/activeservice
17 Mai 2008 01:22:31 - Offending Registry Entry found: hklm\software\wget
17 Mai 2008 01:22:31 - Offending Registry Entry found: hkcu\software\wget
17 Mai 2008 01:22:32 - Offending file found: C:\WINDOWS\system32\plugin1.dat
17 Mai 2008 01:22:32 - Offending Registry Entry found: hkcr\xttb00001.ietoolbar
17 Mai 2008 01:22:32 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\uninstall\xttb00001.xttb00001toolbar
17 Mai 2008 01:22:32 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar
17 Mai 2008 01:22:32 - Offending Registry Entry found: hkcu\software\microsoft\systemcertificates\trustedpublisher\certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a
17 Mai 2008 01:22:32 - Offending Registry Entry found: hkcr\xttb00001.ietoolbar.1
17 Mai 2008 01:22:32 - Offending Registry Entry found: hkcr\xttb00001.xttb00001.1
17 Mai 2008 01:22:33 - Offending Registry Entry found: hkcr\toolband.xttbpos00.1
17 Mai 2008 01:22:33 - Offending Registry Entry found: hkcu\software\wget/plg1
17 Mai 2008 01:22:33 - Offending Registry Entry found: hkcr\xttb00001.xttb00001
17 Mai 2008 01:22:33 - Offending Registry Entry found: hkcu\software\xttb00001
17 Mai 2008 01:22:33 - Offending Registry Entry found: hkcr\toolband.xttbpos00
17 Mai 2008 07:43:05 - Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
17 Mai 2008 07:43:07 - Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
17 Mai 2008 07:43:11 - Offending Folder found: C:\Dokumente und Einstellungen\brothergang\Anwendungsdaten\icq\bart\1024
17 Mai 2008 07:43:13 - Offending file found: C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll
17 Mai 2008 07:43:13 - Offending file found: C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll
17 Mai 2008 07:43:36 - Offending Registry Entry found: hkcu\software\lanconfig
17 Mai 2008 07:43:39 - Offending file found: C:\WINDOWS\server.exe
17 Mai 2008 07:43:39 - Offending Registry Entry found: hklm\system\currentcontrolset\enum\root\legacy_npf\0000\control/activeservice
17 Mai 2008 07:43:39 - Offending Registry Entry found: hklm\system\controlset001\enum\root\legacy_npf\0000\control/activeservice
17 Mai 2008 07:43:40 - Offending Registry Entry found: hklm\software\wget
17 Mai 2008 07:43:40 - Offending Registry Entry found: hkcu\software\wget
17 Mai 2008 07:43:40 - Offending file found: C:\WINDOWS\system32\plugin1.dat
17 Mai 2008 07:43:41 - Offending Registry Entry found: hkcr\xttb00001.ietoolbar
17 Mai 2008 07:43:41 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\uninstall\xttb00001.xttb00001toolbar
17 Mai 2008 07:43:41 - Offending Registry Entry found: hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar
17 Mai 2008 07:43:41 - Offending Registry Entry found: hkcu\software\microsoft\systemcertificates\trustedpublisher\certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a
17 Mai 2008 07:43:41 - Offending Registry Entry found: hkcr\xttb00001.ietoolbar.1
17 Mai 2008 07:43:41 - Offending Registry Entry found: hkcr\xttb00001.xttb00001.1
17 Mai 2008 07:43:41 - Offending Registry Entry found: hkcr\toolband.xttbpos00.1
17 Mai 2008 07:43:41 - Offending Registry Entry found: hkcu\software\wget/plg1
17 Mai 2008 07:43:42 - Offending Registry Entry found: hkcr\xttb00001.xttb00001
17 Mai 2008 07:43:42 - Offending Registry Entry found: hkcu\software\xttb00001
17 Mai 2008 07:43:42 - Offending Registry Entry found: hkcr\toolband.xttbpos00
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
16 Mai 2008 14:35:09 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
16 Mai 2008 14:45:11 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
16 Mai 2008 14:45:27 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
17 Mai 2008 01:09:52 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
17 Mai 2008 01:10:45 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
17 Mai 2008 01:11:16 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
17 Mai 2008 07:31:09 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
17 Mai 2008 07:31:36 - OS: Windows XP [OS Install Date: 08 Dec 2006 20:48:23]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history\gator.com
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history\gator.com
hkcu\software\lanconfig
hkcr\xttb00001.ietoolbar
hklm\software\microsoft\windows\currentversion\uni nstall\xttb00001.xttb00001toolbar
hklm\software\microsoft\windows\currentversion\app management\arpcache\xttb00001.xttb00001toolbar
hkcu\software\microsoft\systemcertificates\trusted publisher\certificates\62119ef862c6b3a0d853419b87e b3e2f6c78640a
hkcr\xttb00001.ietoolbar.1
hkcr\xttb00001.xttb00001.1
hkcr\toolband.xttbpos00.1
hkcu\software\wget/plg1
hkcr\xttb00001.xttb00001
hkcu\software\xttb00001
hkcr\toolband.xttbpos00
C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll
C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll
hklm\software\wget
hkcu\software\wget
hkcu\software\wget/plg1

Danach lasse cCleaner dein System bereinigen. Die Registry (blaues Bauklotz-Symbol links) musst du merhmals durchsuchen und bereinigen lassen bis nichts mehr gefunden wird.



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. (Natürlich nicht das "Input script here"-Textfeld abschreiben!

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Files to delete:
C:\WINDOWS\server.exe
C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll
C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll
C:\WINDOWS\system32\plugin1.dat

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Dann startest du den Rechner im normalen Modus neu.

ich bin mir nicht sicher ob ich das mit dem avenger richtig gemacht habe abe rich postes mal!

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\server.exe" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll" not found!
Deletion of file "C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsg8a.tmp\installoptions.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll" not found!
Deletion of file "C:\Dokumente und Einstellungen\brothergang\Lokale Einstellungen\temp\nsi87.tmp\installoptions.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\plugin1.dat" deleted successfully.

Error: file "c:\windows\badfile.dll" not found!
Deletion of file "c:\windows\badfile.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SomeBadDriver" not found!
Deletion of driver "SomeBadDriver" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\LegitimateKey|BadValue"
Deletion of registry value "HKLM\Software\LegitimateKey|BadValue" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Zitat:

Error: file "c:\windows\badfile.dll" not found!
Deletion of file "c:\windows\badfile.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Servic es\SomeBadDriver" not found!
Deletion of driver "SomeBadDriver" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\LegitimateKey|BadValue"
Deletion of registry value "HKLM\Software\LegitimateKey|BadValue" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

Was hab' ich denn hier extra geschrieben?

Zitat:

(Natürlich nicht das "Input script here"-Textfeld abschreiben!

^^ ist abe rnicht so schlimm!

Alles wichtige wurde gelöscht. Hast du die Reg Einträge ebenfalls löschen können?

Hast du noch Probleme?

ja die reg einträge ließen sich alle löschen und es öffnet sich auch nichts mehr von automatisch oder sonstwas...bin seit vorhin "clean" würdich mal behaupten^^

vielen dank für eure(deine) hilfe!!

aber was ich noch anmerken dürfte...ich weis nicht ob ichs mir einbilde, aber seitdem bzw seit heute ist mein intrnetbrowser laaaaahhhm wie sonstwas manchmal gehts normal und ab und zu dauerts jahre ne seite zu öffnen (selbst ne goggle seite )

Poste bitte nochmal ein frisches HJT log.

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Fixe bitte mit HJT folgende Einträge:

Zitat:

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

Danach führe bitte einen Speedtest durch und poste das Ergebnis sowie Angaben darüber wie schnell deine Verbindung eigentlich sein sollte.

6362 (download)
718 (upload)

laut arcor sollten wir bzw ich 16tausend haben und nicht nur 6000

Zitat:

laut arcor sollten wir bzw ich 16tausend haben und nicht nur 6000

bist du dir da ganz sicher??? Zahlst du für 'ne 16ner?

Die Werte stimmen nämlich exakt mit denen einer 6000ner Leitung überein..

ya und zwar ziemlich, denn wenn wir die rechnung enthalten stehts sogar dahinter (16000blabla undso) mein bruder war vllt der meinung das das was mit dem router zutun hat oder die einfach uns verarschen. :/