Fixen bedeutet ungefähr soviel, dass beim nächsten Systemstart die Einträge nicht mehr geladen werden und aus der Registry gelöscht werden.

Das mit dem SP2 kann ich dir nicht sagen ...
Jedoch solltest du wissen, dass mit dem SP2 einige wichtige Sicherheitslöcher gestopft wurden.

Probier's einfach mal aus ... Es gibt ja die Systemwiederherstellung.

Ok, danke für die Antworten. Dann probier das SP2 mal aus. :-)

Hallo, also ich bin ehrlich ich blick hier nicht so durch, ich hab mir escan runter geladen diesen im abgesicherten modus durchgeführt, hab einen Log der komischerweise anders aussieht als die die hier im forum stehen.

Sun Oct 10 22:31:50 2004 => Total Files Scanned: 2396
Sun Oct 10 22:31:50 2004 => Total Virus(es) Found: 1
Sun Oct 10 22:31:50 2004 => Total Disinfected Files: 0
Sun Oct 10 22:31:50 2004 => Total Files Renamed: 0
Sun Oct 10 22:31:50 2004 => Total Deleted Files: 0
Sun Oct 10 22:31:50 2004 => Total Errors: 3
Sun Oct 10 22:31:50 2004 => Time Elapsed: 00:03:46
Sun Oct 10 22:31:50 2004 => Virus Database Date: 2004/10/06
Sun Oct 10 22:31:50 2004 => Virus Database Count: 105210

so und mit fixieren find ich im escan auch nix.

kann mir einer helfen dieser virus geht mir ziemlich auf die nerven

vielen dank

Hallo Jeylove,

Zitat:

Sun Oct 10 22:31:50 2004 => Total Virus(es) Found: 1

Kannst Du uns bitte den Namen dieses Virus nennen?

Und poste dann bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Wo find ich den namen von dem Virus??

und hier der Log
dankee

Logfile of HijackThis v1.98.2
Scan saved at 13:14:06, on 11.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~2\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\apps\ABoard\ABoard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\slserv.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jey\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bi...e=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.endzeitspiel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\Jey\Desktop\11\mwavscan.com" /s
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~2\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~2\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: Fortune Bingo by pogo - http://game4.pogo.com/applet-5.9.5.3...-ob-assets.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Mah Jong Garden by pogo - http://game4.pogo.com/applet-5.9.5.3...-ob-assets.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files...fosFinder2.CAB
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CB23DD2-2C32-4A0B-8E43-938EBD7B2E94}: NameServer = 192.168.123.252,192.168.123.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{30C15C06-0B43-45EF-8E05-24585B37945F}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{59BB03F7-3C44-43E7-A6E3-D968C358C937}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CB23DD2-2C32-4A0B-8E43-938EBD7B2E94}: NameServer = 192.168.123.252,192.168.123.253
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Dies kannst du schonmal fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://format.packardbell.com/cgi-b...se=6&key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://mysearchnow.com/searchbar.html
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame
Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O16 - DPF: Fortune Bingo by pogo - http://game4.pogo.com/applet-5.9.5....o-ob-assets.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/gam...ts/y/blt1_x.cab
O16 - DPF: Mah Jong Garden by pogo - http://game4.pogo.com/applet-5.9.5....g-ob-assets.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab27571.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/file...nfosFinder2.CAB
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...wn.cab28177.cab


SP2 von XP installieren!

[QUOTE=*Christian*]@ mafi123

Ein Backdoor könnte theoretisch den Zugriff auf dein System erlauben.
Dein Log sieht sauber aus - der Backdoor ist nicht mehr drauf.
Dennoch: Man kann nicht feststellen, welche Schaden der Backdoor auf deinen System hinterlassen hat.
Möglicherweise ist es so manipuliert, dass auch noch jetzt ein unbemerkter Zugriff stattfinden kann.

Ja, recht hat Christian, aber festellen kann man das schon, ob ein Rootkit on Board ist!
LG;
Charlie

hallo zusammen, wie ich sehe wird hier fleissig geholfen . es wäre super nett wenn ich mir auch helfen könntet, da ich diesen trojaner auch habe. ich habe mir die meisten fragen und antworten durchgelesen und einen hij scan und escan ausgeführt. ich hoffe die informationen reichen euch aus um mir zu helfen.


dieses ist mein hij.logfile

Logfile of HijackThis v1.98.2
Scan saved at 11:20:30, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RSNet\RSEDNClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.my-r.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Programme\RSNet\RSEDNClient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) -
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.com/Installer/rsinstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: Domain = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: NameServer = 128.176.0.12 128.176.0.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de

mein escan log sieht so aus.

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_htm.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Nsc\Games\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Nsc\Games\QuakeIII\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Nsc\Irc\mIRC\script\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\Programme\Save\Save.exe infected by "not-a-virus:AdvWare.SaveNow.ae" Virus. Action Taken: No Action Taken.
File C:\Programme\Save\SaveUninst.exe infected by "not-a-virus:AdvWare.SaveNow.af" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\BDE\bdeviewer.exe infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_htm.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Adware\DelFinMediaViewer29j.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Temp\Adware\kazaa_336.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File D:\Backup\Network-Communication\Irc\nnscript365.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\Backup\Network-Communication\iVisit28b5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Tak

ich hoffe ihr könnt mir helfen, denn mein seitenaufbau im inet is so langsam. ansonsten habe ich noch keine veränderungen bemerkt.
dann warte ich mal auf antwort und schonmal danke für die mühe.

mfg kev

Hallo Kevin,

downloade bitte folgendes Programm:LSP-Fix. LSP-Fix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit LSP-Fix kannst Du diese Probleme beheben.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -
C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [PromulGate]
"C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame
Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32
C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [Red Swoosh EDN Client]
C:\Programme\RSNet\RSEDNClient.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) -
http://install.serviceurl.de/StarInstall.ocx

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.my-r.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.games-fusion.net/
O8 - Extra context menu item: Backward Links -
res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page -
res://c:\windows\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages -
res://c:\windows\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) -
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.com/Installer/rsinstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: Domain = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: NameServer = 128.176.0.12 128.176.0.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de

mit LSP-Fix löschen:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Boote in den normalen Modus.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche:

PgMonitr.exe"
CMESys.exe"
RSEDNClient.exe
GMT.exe

Aktiviere die Systemwiederherstellung.

Wie gehst Du ins Netz? Wenn Du über die telefonische Einwahl ins Netz gehst, also nicht über DSL/ADSL, solltest Du die Einträge, die Dialer enthalten, vor dem Löschen auf Diskette sichern, für den Fall der Beweissicherung, wenn sich Deine Telefonrechnung erhöht (www.dialerschutz.de).

Der eScan ab Version 4.5.1 löscht gefundene Malware nicht automatisch. Die Malware muß, - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Danach die Systemwiederherstellung wieder aktivieren.

Lade Dir bitte hier Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner und lass eventuell noch bestehende Probleme beheben.

Und hier noch ein bißchen Lektüre:

- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Vorbeugende Maßnahmen: www.trojaner-info.de

Wenn Du all diese Tätigkeiten erledigt hast, erstelle bitte ein neues Hijack This Logfile und poste es.

SD

erstmal ein riesen dank an dich shadowdancer

ich habe alles getan was du beschrieben hast, bis auf das ich alles mit einer aktiven systemwiederherstellung gemacht habe, wie deaktiviere ich die?

hier ist mein neuer hijlog.

Logfile of HijackThis v1.98.2
Scan saved at 15:25:49, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de

wie ich die rausbekomme musst du mir nochmal sagen
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
du meintest mit LSPfix, aber wo sehe ich da die dateien? sorry ich habe da nicht wirklich viel ahnung von.

du wolltest noch wissen wie ich ins inet gehe. ich gehe über einen router hinein und melde mich dann bei der uni-münster im rechnzentrum an. das ganze ist eine kooperation zwischen telekomm und studentenwerk.
ich war schon sehr überrascht wieviel spybot findet, die sachen die das programm gefunden hat, habe ich alle bereinigt.

meinen escanlog kann ich dir auch nochmal posten. nach kurzem scanen sagt escan, dass er einen virus gefunden hat, aber ich glaube, dass escan zwischen tatsächlich infizierten dateien und angeblich gefährlichen dateien nicht so genau unterscheiden kann.

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Dokumente und Einstellungen\Cyron\Lokale Einstellungen\Temp\BDECache\bde2B.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\backups\backup-20041013-143835-192.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Cyron.TSM17110\Lokale Einstellungen\Temp\BDECache\bdeEC.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.
File C:\Nsc\Games\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Nsc\Games\QuakeIII\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Nsc\Games\QuakeIII\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Nsc\Irc\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Nsc\Irc\mIRC\script\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File D:\Backup\Codecs\DivXPro511Adware.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File D:\Backup\Network-Communication\freecam.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File D:\Backup\Network-Communication\Irc\girc405.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\Backup\Network-Communication\Irc\nnscript365.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\Backup\Network-Communication\Irc\nnskriptmirc\mirc.rar tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\Backup\Network-Communication\Irc\TracerScriptv1.22.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Network-Communication\iVisit28b5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Ftp\Flash-MX\FlashFXP_2_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\After Effects\PLUG-INS\BigFX FilmFX 2.25\ffx225i.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\Swish\cd-key\Swish 2 + Keygen.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\Swish\SetupSwish200DEU.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\Swish\Swish 2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Games backup\Cs\bots\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


so da hast du wieder die aktuellen informationen. ich hoffe wir bekommen den trojaner weg.
aber nochmals besten dank für deine bisherige hilf

mfg kev

Hallo an alle!

Ich habe auch mir auch diesen Backdoor BDS/Agent.AY gefangen!

Hier das HijackThis Logfile!

Für jede Hilfe - vielen Dank im Voraus!

Logfile of HijackThis v1.98.2
Scan saved at 21:36:12, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Juergen\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.skynet.be/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.belgacom.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.belgacom.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TempRemove] "C:\Programme\Crystal Ball\CB Predictor\terminator.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.belgacom.net
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/act...pload_1115.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6C39D34-CF37-4EA2-A4F0-5C6D0F3B35DC}: NameServer = 194.25.2.129,194.25.2.130

---> Hallo Kevin,

ich muss Dir leider mitteilen, dass alle Arbeiten, die Du ausgeführt hast, umsonst waren. Windows XP hat eine Systemwiederherstellung. Wie das Wort sagt, werden alle Einträge, die auf Deinem System sind, nach dem löschen wiederhergestellt. Folglich hast Du alles umsonst gelöscht und darfst nun noch einmal damit anfangen, meine Auswertung Punkt für Punkt nachzuarbeiten.

Alle Einträge, die mit Hijack This gefixt werden müssen, müssen sowohl im angesicherten Modus und offline, bei deaktivierter Systemwiederherstellung, gefixed werden. Wenn Du diese Arbeiten erledigt hast, darfst Du die Systemwiederherstellung wieder aktivieren.

Alle Einträge, die eScan aufgeführt hat unter "not-a-virus" und "virus" müssen von Hand gelöscht werden, bei deaktivierter Systemwiederherstellung.

Zitat:

... aber ich glaube, dass escan zwischen tatsächlich infizierten dateien und angeblich gefährlichen dateien nicht so genau unterscheiden kann.

Doch, eScan kann unterscheiden. eScan führt RiskWare auf, also Dateien, die ein Risiko mit sich bringen, Adware, Jokeviren und richtige Viren. Es empfiehlt sich, alle Dateien, die eScan aufführt, zu löschen, vorallem, wenn man sich nicht mit der Materie auskennt. Du kannst allerdings vorsichtshalber die Dateien in den Browser kopieren und bei google nachsuchen.

Dateien löschen, die eScan angeben hat, geht folgendermaßen: Die Malware muß bei deaktivierter - Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Du kannst die Einträge "O10 - Hijacked Internet access by New.Net" zwar mit Hijack This fixen, es kann aber sein, dass Du dann nicht mehr ins Netz kannst. Bitte lies Dir dazu die Bedienungsanleitung von LSP-Fix durch. Wenn Du damit nicht zurechtkommst, kannst Du auch WinsockFix verwenden.

Die Einträge "File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken." solltest Du vorsichtshalber auf Diskette kopieren und sicher bewahren.

Viel Erfolg beim Reinigen Deines Systems. Wenn Du alles erledigt hast, erstelle bitte ein neues Hijack This Logfile im normalen Modus und poste es.

Shadowdance

hi shadowdancer,
ich habe alles so gemacht wie du gesagt hast und nach einem erneuten escan wurden keine viren gefundnen. mein hijlog wolltest du noch sehen.

Logfile of HijackThis v1.98.2
Scan saved at 18:41:46, on 15.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.my-r.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: Domain = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: NameServer = 128.176.0.12 128.176.0.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de

ich habe aber das gefühl, das das inet immer noch sehr langsam läuft, bitte schau dir den log nochmal an und sag ob ich noch was fixen muss.
besten dank und schönes wochenende wünsche ich euch allen.

@ Kevin,

Dein Logfile sieht jetzt sauber aus. Sieh selbst: http://www.hijackthis.de/index.php
Das letzte rote Fragezeichen ist ein Bug und muss nicht beachtet werden.

Zur Lektüre ersuche ich Dich, dies zu lesen, damit Du in Zukunft sicher surfen kannst:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

Danke Shadowdancer du hast mir sehr viel geholfen.
schönes wochende