Guten Tag allerseits.
Ich habe ein ziemlich großes Problem mit einem Virus und ich hoffe, ihr könnt mir helfen.
Ich bin eig. ein sehr umsichtiger Internetnutzer und hatte dementsprechend nie einen Virus auf meinem PC - zumindest bin ich mir da ziemlich sicher.
Nur hab ich dann einmal etwas runtergeladen und gestartet, bevor ich mir die Quelle näher angeschaut habe, und da wars passiert!
Ich hab erst danach gesehen, dass die Quelle eine komplette fake Seite ist.
Zuerst öffneten sich diverse Virenwarnungen von einem Programm namens Antivirus 2008 (wurde hier im Forum glaubich auch schon angesprochen), welches ich nicht installiert hab und das scheinbar durch den Virus auf den Rechner gelangte.
Als Antivirenprogramm verwende ich Antivir PE Classic, Betriebssystem Windows XP Prof. SP2.
Plötzlich waren überall Verknüpfungen und Favoriten von "Sicherheitsprogrammen", die mich auf Websiten führen wollen.
Nachdem ich auf den Taskmanager zugreifen wollte, war dieser deaktiviert, angeblich durch den Admin (was ich nicht gemacht habe, aber das Problem ist hier ja auch schon bekannt, oder?), gleiches mit regedit und wenn ich auf den desktop rechtsklicke und auf die Eigenschaften zugreifen will.
Als erstes hatte ich die Verbindung zum Internet gekappt und schreibe jetzt auf dem Laptop meines Vaters. Ich hab auch schon ein LogFile "HiJackThis" gemacht, das ich am Ende poste. Tut mir leid, dass ich eventuell typische Schritte noch nicht durchgeführt habe, aber ich bin noch mittendrin im Suchen auf diversen Seiten. Sagt mir bitte einfach, was ich noch tun soll (Informationen usw.). Ich habe hier gepostet, weil ich es für das Sinnvollste halte, das LogFile Foren wie eures zu zeigen. Ich arbeite schon den ganzen Tag daran, also hoffe ich, ihr könnt mir weiterhelfen.
Sry für den langen Text und die darin enthaltenen Rechtschreibfehler, aber ich bin ein bisschen unter Stress, weil ich den PC morgen relativ dringend brauche.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15: VIRUS ALERT!, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: QXK Olive - {443BF8A9-550B-4A88-9993-D4C84B5EBFA6} - D:\WINDOWS\wnlmdakqnqb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: bgrqfetx - {392A638F-8459-4F66-A990-ECA6292B8BFE} - D:\WINDOWS\bgrqfetx.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrayServer] D:\Programme\MAGIX\Video_deluxe_2008_PLUS_e-version\TrayServer.exe
O4 - HKLM\..\Run: [RRT-Auto] D:\Dokumente und Einstellungen\Administrator\Desktop\RRT.exe auto
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206995380663
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: tfnslopk - {567DA844-0FCB-4D97-B322-60B2D66F9EDC} - D:\WINDOWS\tfnslopk.dll
O21 - SSODL: xokvrpwg - {BDD47D23-99B9-49F1-95D7-1907037EFF74} - D:\WINDOWS\xokvrpwg.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 6431 bytes

(Irgendwas davon private Daten? Ich kenn mich nicht so aus mit sowas ... Und bitte bleibt höflich, wenn ihr mich korrigiert, danke ) )

Übrigens, was ich noch vergessen hatte:
- Ich hab ein Remote Restriction Tool zum Entsperren von Taskmgr und Registry verwendet, was auch funktioniert, allerdings nur bis zum nächsten Systemstart. Übliche Methoden dieses Problems wie Deaktivierung in Gruppenrichtlinien funzen leider gar nicht.
- Ich hab einen Systemskan mit AntiVir gemacht, es wurden 2 Viren gefunden, die Erkennungsmuster vom BatchVirus BAT/Fake.Privdanger tragen, hab sie in Quarantäne gestellt. Heißen desktop_background.zip und install-priv-danger.bat.
Danke jetzt schon für eure hoffentlich baldigen Ratschläge.

Spyware!! ganz klar ,diese fake programme geben ein vieren fund an und das du ein kostepflichtige Tool zum entfernen brauchst ,ne??

Du kanst die mit eine seriösen sicherheit tool wie spybot entfernen.

P.S:leg die ne ordentliche firewall zu,den die winFirewall ist in soziemlich in jedem test DURCHGEFALLEN.Nimm am besten die zoneAlarm

mfg

@pyro at tf2

Bitte mache Links und pers. Namen in deinem Logfile unkenntlich (Http => H**p; /Mustermann/ => /XXXX/).

@Big Brain

Zitat:

Du kanst die mit eine seriösen sicherheit tool wie spybot entfernen.

Nicht ganz.

Zitat:

P.S:leg die ne ordentliche firewall zu,den die winFirewall ist in soziemlich in jedem test DURCHGEFALLEN.Nimm am besten die zoneAlarm

Tut mir Leid, das ist Schwachsinn.
Die Vista/XP Firewall ist völlig ausreichend, wenn man einen Router hat, benötigt man garkeine softwarebasierende FW.
ZoneAlarm ist Kindergarten, darüber lachen die Schadprogramme nur.

Bitte Gehe nach dieser Anleitung http://www.trojaner-board.de/51869-a...fakeale-c.html vor!

Fixe danach den eintrag

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2

mit HijackThis nach dieser Anleitunghttp://www.trojaner-board.de/51130-a...ijackthis.html


Die Windowsfirewall reicht vollkommen aus da man jede firewall umgehen kann wenn man das will! Und daher ist die Windowsfirewall besser da sie resoucensparender ist und sich besser ins system integriert! Aber wenn dir resourcen nicht so wichtig sind und du dich mit einer anderen firewall sicherer fühlst kannst du auch jede andere nehmen! Zonealarm,Comodo Firewall etc.
Achte eher darauf das die installierte software aktuell ist besonderst wichtig virenscanner, browser, internetanwendungen!

Edit: Ach mist da war wieder jemand schneller

Danke für eure Antworten.
@ Dark Viruz
Ich werde das unkenntlich machen in kürzester Zeit nachholen.

Also, von ZoneAlarm hab ich jetzt auch nicht gerade das Beste gehört, mir reicht die normale Firewall, wie gesagt, ansonsten bin ich sehr umsichtig beim Surfen (wahrscheinlich jetzt noch ein bisschen mehr xD).

@ Tayk
In der Anleitung steht, man muss die Programme nach dem Installieren updaten, und das kann ich dann ja nur auf dem befallenen PC. Kann ich es denn riskieren, dort (kurz) eine Internetverbindung herzustellen?
Ansonsten, den zu fixenden Eintrag hat mir auch ein LogFile-Analysator genannt. Scheint wohl die Wurzel allen Übels zu sein, ist auch die Webadresse, zu der alle Verknüpfungen führen.
Also vielen Dank für die Anleitung und ich werde mal gucken, ob sie mir hilft.

Ja das kannst du riskieren!

PS: Ich hab auch vergessen den link undeutlich zu machen könnte das ein admin bitte beheben

Ok, hab die Anleitung befolgt. Es wurde auch ne ganze Menge Zeugs von Spybot und Adaware gefunden und gelöscht, und alle Anzeichen des Virus sind auch verschwunden (wie z.B. die Verknüpfungen und Popups).
Ein bisschen was ist aber noch drauf, glaube ich den Logs zu entnehmen. Aber seht selbst.

HijackThis LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:33:30 , on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
E:\steam.exe
E:\ICQ\ICQ6\ICQ.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: bgrqfetx - {392A638F-8459-4F66-A990-ECA6292B8BFE} - D:\WINDOWS\bgrqfetx.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrayServer] D:\Programme\MAGIX\Video_deluxe_2008_PLUS_e-version\TrayServer.exe
O4 - HKLM\..\Run: [RRT-Auto] D:\Dokumente und Einstellungen\xxxx\Desktop\RRT.exe auto
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "E:\ICQ\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Antivirus-2008.exe] D:\Programme\Antivirus 2008\Antivirus-2008.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://***.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206995380663
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: tfnslopk - {567DA844-0FCB-4D97-B322-60B2D66F9EDC} - D:\WINDOWS\tfnslopk.dll (file missing)
O21 - SSODL: xokvrpwg - {BDD47D23-99B9-49F1-95D7-1907037EFF74} - D:\WINDOWS\xokvrpwg.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 6690 bytes

--------------------------------------------------------------------------

Nun das eScan LogFile (Auszug):

05 Aug 2008 23:32:32 - [Scanning Folder: C:\ProgramData\AntiVir PersonalEdition Classic\INFECTED]
05 Aug 2008 23:32:32 - [Scanning Folder: C:\ProgramData\AntiVir PersonalEdition Classic\INFECTED]
05 Aug 2008 23:32:32 - Scanning File C:\ProgramData\AntiVir PersonalEdition Classic\INFECTED\483cdd4b.qua
05 Aug 2008 23:32:32 - Scanning File C:\ProgramData\AntiVir PersonalEdition Classic\INFECTED\483cdd71.qua
05 Aug 2008 23:32:32 - Scanning File C:\ProgramData\AntiVir PersonalEdition Classic\INFECTED\483cddf7.qua
05 Aug 2008 23:32:32 - Scanning File C:\ProgramData\AntiVir PersonalEdition Classic\INFECTED\483cde07.qua
06 Aug 2008 00:28:37 - File D:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GLHIB9CH\mwav[1].exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
06 Aug 2008 00:28:37 - File D:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GLHIB9CH\mwav[1].exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
06 Aug 2008 00:28:40 - [Scanning Folder: D:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED]
06 Aug 2008 00:28:40 - Scanning File D:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\47d18187.qua
06 Aug 2008 00:28:40 - Scanning File D:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\48af8622.qua
06 Aug 2008 00:28:40 - Scanning File D:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\48b1861f.qua
06 Aug 2008 00:28:40 - Scanning File D:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\48c7855c.qua
06 Aug 2008 00:28:40 - Scanning File D:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\490a9487.qua
06 Aug 2008 01:13:48 - [Scanning Folder: E:\Alte Platte\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED]
06 Aug 2008 01:33:52 - [Scanning Folder: E:\Alte Platte\JBuilderX\thirdparty\junit3.8\doc\testinfected]
06 Aug 2008 01:33:52 - Scanning File E:\Alte Platte\JBuilderX\thirdparty\junit3.8\doc\testinfected\IMG00001.GIF
06 Aug 2008 01:33:53 - Scanning File E:\Alte Platte\JBuilderX\thirdparty\junit3.8\doc\testinfected\IMG00003.GIF
06 Aug 2008 01:33:53 - Scanning File E:\Alte Platte\JBuilderX\thirdparty\junit3.8\doc\testinfected\logo.gif
06 Aug 2008 01:33:53 - Scanning File E:\Alte Platte\JBuilderX\thirdparty\junit3.8\doc\testinfected\testing.htm

06 Aug 2008 02:10:31 - Total Objects Scanned: 307715
06 Aug 2008 02:10:31 - Total Critical Objects: 3
06 Aug 2008 02:10:31 - Total Disinfected Objects: 0
06 Aug 2008 02:10:31 - Total Objects Renamed: 0
06 Aug 2008 02:10:31 - Total Deleted Objects: 0
06 Aug 2008 02:10:31 - Total Errors: 44
06 Aug 2008 02:10:31 - Time Elapsed: 02:58:08
06 Aug 2008 02:10:31 - Virus Database Date: 02 Aug 2008
06 Aug 2008 02:10:31 - Virus Database Count: 1044877

06 Aug 2008 02:10:31 - Scan Completed.

--------------------------------------------------------------------------

Zum Abschluss noch das Smitrem LogFile:


smitRem © log file
version 3.2

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="7.0000"

Running from
D:\Dokumente und Einstellungen\xxxx\Desktop\Ordner01\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="D:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*isabled:@xpsp3res.dll,-20000"
"D:\\WINDOWS\\system32\\sessmgr.exe"="D:\\WINDOWS\\system32\\sessmgr.exe:*isabled:@xpsp2res.dll,-22019"
"E:\\Steam.exe"="E:\\Steam.exe:*:Enabled:Steam Client"
"E:\\steamapps\\mycs0125\\counter-strike\\hl.exe"="E:\\steamapps\\mycs0125\\counter-strike\\hl.exe:*:Enabled:hl"
"E:\\steamapps\\mycs0125\\team fortress classic\\hl.exe"="E:\\steamapps\\mycs0125\\team fortress classic\\hl.exe:*:Enabled:hl"
"E:\\steamapps\\mycs0125\\ricochet\\hl.exe"="E:\\steamapps\\mycs0125\\ricochet\\hl.exe:*:Enabled:hl"
"E:\\steamapps\\mycs0125\\deathmatch classic\\hl.exe"="E:\\steamapps\\mycs0125\\deathmatch classic\\hl.exe:*:Enabled:hl.exe"
"E:\\steamapps\\mycs0125\\opposing force\\hl.exe"="E:\\steamapps\\mycs0125\\opposing force\\hl.exe:*:Enabled:hl.exe"
"E:\\steamapps\\mycs0125\\half-life\\hl.exe"="E:\\steamapps\\mycs0125\\half-life\\hl.exe:*:Enabled:hl"
"E:\\steamapps\\mycs0125\\day of defeat\\hl.exe"="E:\\steamapps\\mycs0125\\day of defeat\\hl.exe:*:Enabled:hl"
"D:\\Dokumente und Einstellungen\\xxxx\\Desktop\\NetMeeting\\conf.exe"="D:\\Dokumente und Einstellungen\\Daniel\\Desktop\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"
"E:\\ICQ\\ICQ6\\ICQ.exe"="E:\\ICQ\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"E:\\Alte Platte\\Dokumente und Einstellungen\\xxxx\\Desktop\\TMN\\TmNationsESWC.exe"="E:\\Alte Platte\\Dokumente und Einstellungen\\Daniel\\Desktop\\TMN\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"E:\\Counter Strike\\Spezialist\\hl.exe"="E:\\Counter Strike\\Spezialist\\hl.exe:*:Enabled:hl.exe"
"C:\\Users\\xxxx\\Saved Games\\Call of Duty 2 an Timos Computer (Bonker)\\CoD2MP_s.exe"="C:\\Users\\Daniel\\Saved Games\\Call of Duty 2 an Timos Computer (Bonker)\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"E:\\Dawn of War\\Dawn of War - Dark Crusade\\DarkCrusade.exe"="E:\\Dawn of War\\Dawn of War - Dark Crusade\\DarkCrusade.exe:*:EnabledarkCrusade"
"E:\\Alte Platte\\Dokumente und Einstellungen\\xxxx\\Dokumente\\Command and Conquer Generals\\game.dat"="E:\\Alte Platte\\Dokumente und Einstellungen\\All Users\\Dokumente\\Command and Conquer Generals\\game.dat:*:Enabled:game"
"D:\\Programme\\EA Games\\Command and Conquer Generals\\game.dat"="D:\\Programme\\EA Games\\Command and Conquer Generals\\game.dat:*:Enabled:game"
"E:\\steamapps\\mycs0125\\team fortress 2\\hl2.exe"="E:\\steamapps\\mycs0125\\team fortress 2\\hl2.exe:*:Enabled:hl2"
"E:\\Counter Strike\\CS S an Froschgesicht (Furby)\\hl2.exe"="E:\\Counter Strike\\CS S an Froschgesicht (Furby)\\hl2.exe:*:Enabled:hl2.exe"
"D:\\Dokumente und Einstellungen\\xxxx\\Desktop\\Crack\\TmUnited.exe"="D:\\Dokumente und Einstellungen\\Daniel\\Desktop\\Crack\\TmUnited.exe:*:Enabled:TmUnited"
"D:\\Programme\\TrackMania United\\TmUnited.exe"="D:\\Programme\\TrackMania United\\TmUnited.exe:*:Enabled:TmUnited"
"D:\\Programme\\EA Games\\Die Schlacht um Mittelerde(tm)\\game.dat"="D:\\Programme\\EA Games\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabledie Schlacht um Mittelerde (tm)"
"D:\\Programme\\Internet Explorer\\iexplore.exe"="D:\\Programme\\Internet Explorer\\iexplore.exe:*isabled:Internet Explorer"
"E:\\Alte Platte\\Dokumente und Einstellungen\\xxxx\\Desktop\\Warcraft\\Warcraft III.exe"="E:\\Alte Platte\\Dokumente und Einstellungen\\Daniel\\Desktop\\Warcraft\\Warcraft III.exe:*:Enabled:Warcraft III.exe"
"E:\\Alte Platte\\Dokumente und Einstellungen\\xxxx\\Desktop\\Warcraft\\war3.exe"="E:\\Alte Platte\\Dokumente und Einstellungen\\Daniel\\Desktop\\Warcraft\\war3.exe:*:Enabled:war3.exe"
"D:\\Dokumente und Einstellungen\\xxxx\\Desktop\\Warcraft 3\\Warcraft III.exe"="D:\\Dokumente und Einstellungen\\Daniel\\Desktop\\Warcraft 3\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\Programme\\Hamachi\\hamachi.exe"="D:\\Programme\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"D:\\Dokumente und Einstellungen\\xxxx\\Desktop\\Warcraft 3\\war3.exe"="D:\\Dokumente und Einstellungen\\Daniel\\Desktop\\Warcraft 3\\war3.exe:*:Enabled:Warcraft III"
"D:\\Dokumente und Einstellungen\\xxxx\\Dokumente\\Call of Duty 2 an Timos Computer (Bonker)\\CoD2MP_s.exe"="D:\\Dokumente und Einstellungen\\All Users\\Dokumente\\Call of Duty 2 an Timos Computer (Bonker)\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"\\\\Gb-p35\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"="\\\\Gb-p35\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe:*isabled:Soulstorm.exe"
"\\\\Gb-p35\\Spiele\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"="\\\\Gb-p35\\Spiele\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe:*:Enabled:Soulstorm.exe"
"E:\\Spiele\\Warcraft 3\\Warcraft 3 (V. 1.7)\\war3.exe"="E:\\Spiele\\Warcraft 3\\Warcraft 3 (V. 1.7)\\war3.exe:*:Enabled:war3.exe"
"E:\\Spiele\\Warcraft 3\\Warcraft 3 (V. 1.7)\\Warcraft III.exe"="E:\\Spiele\\Warcraft 3\\Warcraft 3 (V. 1.7)\\Warcraft III.exe:*:Enabled:Warcraft III.exe"
"D:\\WINDOWS\\system32\\dpvsetup.exe"="D:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"D:\\WINDOWS\\system32\\rundll32.exe"="D:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausf�hren"
"D:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="D:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"E:\\Spiele\\Die Schlacht um Mittelerde 2\\game.dat"="E:\\Spiele\\Die Schlacht um Mittelerde 2\\game.dat:*:Enabledie Schlacht um MittelerdeT II"
"D:\\Programme\\Valve\\hl.exe"="D:\\Programme\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
"E:\\steamapps\\common\\trackmania nations forever\\TmForever.exe"="E:\\steamapps\\common\\trackmania nations forever\\TmForever.exe:*:Enabled:TmForever"
"D:\\Programme\\EA Games\\Command and Conquer Gener„le\\game.dat"="D:\\Programme\\EA Games\\Command and Conquer Gener„le\\game.dat:*:Enabled:game"
"D:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"="D:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe:*:Enabled:BattlefrontII"
"D:\\Programme\\Skype\\Phone\\Skype.exe"="D:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 932 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~



~~~ Wininet.dll ~~~

CLEAN!


Naja, ich hoffe mal, dass da nichts schwerwiegendes dabei ist, aber mal sehen. Das ICQ und Steam nicht im Programmeordner sind (HiJack) ist Absicht.
gruß pyro at tf2.

Könnte das freundlicherweise nochmal jemand durchsehen?

Ich schau ma.
Wir habe was neues das ist doch shconmal ein fortschritt!

Lade mal die datei

Zitat:

D:\Programme\Antivirus 2008\Antivirus-2008.exe

bei http://www.virustotal.com/de/ hoch und poste das ergebniss und den eintrag

Zitat:

O4 - HKCU\..\Run: [Antivirus-2008.exe] D:\Programme\Antivirus 2008\Antivirus-2008.exe

mit HijackThis fixen!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.7.0 2008.08.06 -
AntiVir 7.8.1.15 2008.08.06 -
Authentium 5.1.0.4 2008.08.05 -
Avast 4.8.1195.0 2008.08.06 Win32:Spyware-gen
AVG 8.0.0.156 2008.08.06 -
BitDefender 7.2 2008.08.06 -
CAT-QuickHeal 9.50 2008.08.06 -
ClamAV 0.93.1 2008.08.06 -
DrWeb 4.44.0.09170 2008.08.06 -
eSafe 7.0.17.0 2008.08.06 -
eTrust-Vet 31.6.6015 2008.08.06 -
Ewido 4.0 2008.08.06 -
F-Prot 4.4.4.56 2008.08.05 -
Fortinet 3.14.0.0 2008.08.06 -
GData 2.0.7306.1023 2008.08.06 Win32:Spyware-gen
Ikarus T3.1.1.34.0 2008.08.06 -
K7AntiVirus 7.10.405 2008.08.06 -
Kaspersky 7.0.0.125 2008.08.06 not-a-virus:FraudTool.Win32.AntiSpyWare2008.m
McAfee 5355 2008.08.06 -
Microsoft 1.3807 2008.08.06 -
NOD32v2 3333 2008.08.06 -
Norman 5.80.02 2008.08.06 -
Panda 9.0.0.4 2008.08.06 -
PCTools 4.4.2.0 2008.08.06 -
Rising 20.56.22.00 2008.08.06 -
Sophos 4.31.0 2008.08.06 -
Sunbelt 3.1.1537.1 2008.08.06 -
Symantec 10 2008.08.06 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.06 -
VBA32 3.12.8.2 2008.08.05 -
ViRobot 2008.8.6.1326 2008.08.06 -
VirusBuster 4.5.11.0 2008.08.06 -
Webwasher-Gateway 6.6.2 2008.08.06 Riskware.Fake.Antiviru.A
weitere Informationen
File size: 1072128 bytes
MD5...: 8120a2cc4fbe4015a25735405896cdca
SHA1..: cc1e926dd573d216e562c72aebccc9f20515dfac
SHA256: 33e8a2d473f486b01078b10f3899287f9cf397798212d7e46f1243c0df150a8b
SHA512: 961df1812cbd2a24c1943ef58f4c5a16f72457369a849b21666d253197fec98c
74cbe771be5a5f3362dc64270cc117d5c177196c824ce95a7c2b295e85d45726
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43d6fa
timedatestamp.....: 0x48971e3b (Mon Aug 04 15:20:27 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x68b7f 0x41400 8.00 f3ff8d8fefd20c3a0ed039ee2037551a
.rdata 0x6a000 0x3ae4e 0x1bc00 8.00 4d09acab5e6313f3867f035f761ebfd1
.data 0xa5000 0x49c5f 0x26800 8.00 9c4c8fefa75ce125ca00c745362b2085
.rsrc 0xef000 0x82000 0x82000 7.48 abaa705c612c863c2aa361831591a2e7

( 3 imports )
> msvcrt.dll: _eof, _chkesp, _ctype, _except_handler2, _CItanh
> advapi32.dll: CloseEventLog, CryptGetHashParam, AdjustTokenGroups, CryptSetHashParam, DeleteAce, DuplicateToken
> kernel32.dll: ExitProcess, TerminateThread, WinExec

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.a...5735405896cdca

--------------------------------------------------------------------------------------------------------------

Hab Hijack gefixt und auch noch einen anderen Teil gefixt, um restrictions aufzuheben:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:25:33 , on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\system32\ctfmon.exe
E:\steam.exe
D:\Programme\Skype\Phone\Skype.exe
E:\ICQ\ICQ6\ICQ.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\explorer.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: bgrqfetx - {392A638F-8459-4F66-A990-ECA6292B8BFE} - D:\WINDOWS\bgrqfetx.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrayServer] D:\Programme\MAGIX\Video_deluxe_2008_PLUS_e-version\TrayServer.exe
O4 - HKLM\..\Run: [RRT-Auto] D:\Dokumente und Einstellungen\Administrator\Desktop\RRT.exe auto
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "E:\ICQ\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://***.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206995380663
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: tfnslopk - {567DA844-0FCB-4D97-B322-60B2D66F9EDC} - D:\WINDOWS\tfnslopk.dll (file missing)
O21 - SSODL: xokvrpwg - {BDD47D23-99B9-49F1-95D7-1907037EFF74} - D:\WINDOWS\xokvrpwg.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 6575 bytes

Mach das

Zitat:

Gehe mal auf den arbeitsplatz dann auf extras dort auf ordneroptionen und Dann die hier gezeigten kästchen makieren!

۞ imgimg.de - Dein Bilderhoster - bild590a6d2cJPG.jpg und versuchs nochmal zu löschen!

Hatte es selbst schon gefunden .

^
|
|
Siehe Edit

OK hast du das Antivirus 08 dings gelöscht?

Ja.
Ich hoffe und denke mal, es ist jetzt soweit alles runter.
Jetzt werde ich erstmal Passwörter ändern und dann kann ich endlich wieder Team Fortress 2 zocken ... xD.
Nochmal danke für deine Hilfe, die Anleitung hat echt geholfen und ich werde in Zukunft wohl auch mit Adaware und Spybot Systemchecks durchführen, die hatten da ja so einiges aufgespürt. Was ist eig. mit den Sachen, die eScan gefunden hat? Ist das unbedenklich?
Ohne Internet wäre ich den Virus nie losgeworden.
Hm, aber ohne Internet hätte ich ihn auch nie bekommen.
Dementsprechend passt der Spruch: Computer lösen Probleme, die wir ohne sie nicht hätten, oder so ähnlich ... ^^ kleiner Scherz am Rande. Gute Nacht.