Hallo,
also folgendes Problem:
Seit gestern komm ich beim Versuch eine bestimmte Seite zu öffnen immer auf eine gewisse hitpointer.com mit folgendem Text:
"Vorsicht! Sie sind dabei sich eine Erotik-Seite im Internet anzusehen!"
Hab mich zwar etwas schlau gemacht, aber über google ned wirklich viel gefunden, alles was ich bisher gemacht hab, war Java neu zu installieren, sowie Adaware, spybot search&destroy laufen zu lassen, ohne Erfolg. Die große Ahnung hab ich von PCs leider auch nicht, drum bräucht ich hilfe beim Auswerten des Logs und eine kleine Anleitung was ich dann tun muss. Ihr schlauen Leute hier seid ehrlich meine letzte Hoffnung.
Schon mal Danke im Vorraus für die Mühe [img]smile.gif[/img]
Hier das Log:

Logfile of HijackThis v1.97.7
Scan saved at 09:19:31, on 26.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\windows\system32\audcntr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe
C:\windows\system32\sncntr.exe
C:\windows\system32\mpcrfhfe.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\Rar$EX00.855\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sms.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
F1 - win.ini: run=c:\windows\system32\audcntr.exe
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LiveSexCam_at] C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe /dontdial
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Audcntr] c:\windows\system32\audcntr.exe
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [MPCRFHFE] c:\windows\system32\mpcrfhfe.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - HKCU\..\Run: [Audcntr] c:\windows\system32\audcntr.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binarie...1014_EN_XP.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream1000.babenet.com/cabs/videox.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binarie...ia32_EN_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binarie...EGDHTML_XP.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {768D513A-C75B-4FAA-8452-E906CDAB6545} (FVLiteLoad Class) - http://digitalflip.net/fvlite/fvliteY.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7938.222662037
O16 - DPF: {AB185B93-22C8-43A1-AABE-3738EC7D2B6C} - http://64.49.245.114/missworld2003/mw2003.dll
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} - http://akamai.downloadv3.com/binarie...1011_EN_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E3F7205F-2AE0-4BF0-816B-2D24A5F20EC7} - http://fr4-download.strip-player.com...up_minsize.cab
O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - http://secure.goodthinxx.com/select/...x/vcloadgt.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab

Hallo!

Erstmal diese vier Dateien prüfen:
C:\windows\system32\audcntr.exe
C:\windows\system32\sncntr.exe
C:\windows\system32\mpcrfhfe.exe
C:\WINDOWS\mslagent\mslagent.exe

-> http://www.kaspersky.com/de/scanforvirus


Wegen der folgenden Einträge dies Frage:
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess
O4 - HKLM\..\Run: [LiveSexCam_at] C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe /dontdial

Wie gehst du ins Netz? ISDN? Analog? Oder DSL? In den ersten beiden Fällen müsste ein etwaiger Dialer erstmal gesichert werden, also nicht einfach drauflos löschen!

Also ich geh mit nem Kabelmodem ins Netz.
Hab die ersten 4 Dateien überprüft, diese hier:
C:\windows\system32\audcntr.exe
war damit:
TrojanDownloader.Win32.Crypt
infiziert und so hab ich sie dann gelöscht, die zweite war scheinbar ok, Nr.3 & 4:
C:\windows\system32\mpcrfhfe.exe
C:\WINDOWS\mslagent\mslagent.exe

können weder von dem Online-Virenscanner noch von meinem Norton gefunden werden

Soweit funktioniert mein I-net auch wieder, nach dem ich die eine Datei gelöscht habe ist nix mehr passiert. [img]graemlins/huepp.gif[/img]
Vielen vielen Dank für die schnelle Hilfe Markus [img]graemlins/bussi.gif[/img]

Soweit, so gut. Aber noch laaaange nicht fertig.

</font><blockquote>Zitat:</font><hr />Original erstellt von Bibiane:
Hab die ersten 4 Dateien überprüft, diese hier:
C:\windows\system32\audcntr.exe
war damit:
TrojanDownloader.Win32.Crypt
infiziert und so hab ich sie dann gelöscht,</font>[/QUOTE]OK!

</font><blockquote>Zitat:</font><hr />die zweite war scheinbar ok,</font>[/QUOTE]Nö, isse nicht, sag ich mal ganz frech. Der Virenscanner kennt sie nur noch nicht als Malware. Kannst du mir die Datei bitte zusenden (Mailadresse siehe Signatur)? Danke!


</font><blockquote>Zitat:</font><hr />Nr.3 & 4:
C:\windows\system32\mpcrfhfe.exe
C:\WINDOWS\mslagent\mslagent.exe

können weder von dem Online-Virenscanner noch von meinem Norton gefunden werden </font>[/QUOTE]Geh in &gt;Systemsteuerung &gt;Ordneroptionen. Stell sicher, dass dort die Anzeige aller Dateien und Ordner, auch versteckter und Systemdateien (!) aktiviert ist. Such dann bitte nochmal nach diesen beiden Dateien. Wenn du sie findest, bei Kaspersky überprüfst und sie dort als *nicht* infiziert gemeldet werden, sende sie bitte ebenfalls zu - Danke!

Vergiss Norton in diesem Zusammenhang, er ist sehr trojanerschwach.