Hallo zusammen,

ich erhalte seit ca. 2-3 Tagen durch Antivir Meldungen zu oben genannter Backdoor. Ich lösche die entsprechenden Dateien immer, anschließend findet der Viren-Scanner nichts mehr. Spätestens am nächsten Tag erhalte ich jedoch wieder eine Meldung.

Da ich derzeit meine Diplom-Arbeit schreibe und kurz vor der Abgabe stehe, möchte ich ungern aufgrund des Zeitverlustes das System komplett neuaufsetzten.

Meine Frage ist nun, kann die Backdoor (über die ich leider im Internet und nicht einmal bei Antivir selbst etwas finden konnte) Schaden anrichten? Ich wähle mich nicht direkt ins Internet ein, sondern gehe aufgrund einer geteilten DSL-Flat-Verbindung über einen Linux-Router ins Internet.

Ich vermute, dass sich die Backdoor versucht bei mir einzuklinken, da das System nach dem Löschen der Dateien ja als sauber angezeigt wird. Kommen die Antivir-Meldungen nur zum Zeitpunkt des "Angriffs"?

Die entsprechenden befallenen Dateien befinden sich immer in demselben Ordner (in den gemeinsamen Dateien). Die gelöschten Dateien sind exe-files. In den beiden betroffenen Ordnern verbleiben eine LPF und eine BBR Datei.

Hilft es die entsprechenden Ordner zu löschen - und darf ich diese Ordner löschen oder sind die wichtig fürs System?

Ich hoffe Ihr könnt mir weiterhelfen,
Eure verzweifelte Katinka

Hi Katinka,

wie heisst der Ordner genau?

Erstelle ein Log mit HJT und poste es:

http://www.trojaner-board.de/51130-a...ijackthis.html

Besorge dir E-Scan, update es und lass es im abgesicherten Modus laufen wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo Mountainking,

vielen Dank für die schnelle Antwort, der Ordner/Pfad heißt:
C:\Programme\Gemeinsame Dateien\clanejlp

Darin befinden sich zwei Unterordner:
1. crtrbhhfdl mit der Datei anrlrrllnb.lrf
2. ejlrppcb mit der Datei pbrnrjlhp.bbr

Kann ich die empfohlenen Scans trotz istallierter Antivir-Version laufen lassen oder behindern die sich gegenseitig? (Ich hab mir schon mal ein System zerschossen, weil ich einen Virenscanner installiert habe und noch Signaturen einer zuvor installierten Testversion eines anderen Programms vorhanden waren....)

Antivir zeigt mein System gerade wieder mal als Virenfrei an - fragt sich nur wie lange. Sind die empfohlenen Programme effektiver? Oder muss ich warten, bis ich das nächste mal eine entsprechende Warnung bekomme?

Katinka

Nein, die Programme kannst du ohne Bedenken verwenden, Hijackthis ist kein virenscanner, sondern analysiert das System, durch das Log bekommt man einiges heraus, da ich ja auch nicht an deinem Rechner sitze, brauche ich jede Information. E-Scan ist zwar ein Virenscanner, der wird aber nicht installiert und hat keinen Hintergrundwächter, beißt sich daher auch nicht mit Antivir. Du musst es nur wie beschrieben in diesen Ordner c:\bases entpacken, damit du updaten kannst und dann im abgesicherten Modus durchlaufen lassen. E-Scan verwendet die Engine und Virensignaturen von Kaspersky, das ist eigentlich einer der besten Virenscanner (systembedingte Schwächen haben sie alle).

Der Ordner sieht wie ein zufällig erstellter aus, mir gefällt das alles nicht so richtig, eventuell hat ja schon jemand Zugriff auf deinen PC, ich weiss ja auch nicht, wie euer Router konfiguriert ist, eigentlich sollte das da schon erschwert sein.
Naja, mach einfach mal die beiden Sachen, dann sehen wir weiter.

So, jetzt geht´s weiter ... (musst zwischendrin kurz in die Uni)

1. Kurze Frage vorab: welche Angaben benötigst Du aus der Log-Datei von E-Scan? Muss ich alle Einträge inklusive der Auflistung der gescannten Dateien hier einstellen? Oder reichen die folgenden Daten:

***
Wed Sep 08 14:24:07 2004 => Total Number of Files Scanned: 67459
Wed Sep 08 14:24:07 2004 => Total Number of Virus(es) Found: 24
Wed Sep 08 14:24:07 2004 => Total Number of Disinfected Files: 0
Wed Sep 08 14:24:07 2004 => Total Number of Files Renamed: 7
Wed Sep 08 14:24:07 2004 => Total Number of Deleted Files: 1
Wed Sep 08 14:24:07 2004 => Total Number of Errors: 11
Wed Sep 08 14:24:07 2004 => Time Elapsed: 01:35:23
Wed Sep 08 14:24:07 2004 => Virus Database Date: 2004/09/08
Wed Sep 08 14:24:07 2004 => Virus Database Count: 103474

Wed Sep 08 14:24:07 2004 => Scan Completed.
***
Oder benötigst Du auch die Auflistung der auffälligen Dateien?



2. Hier die vollständige Log-Datei von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 11:55:20, on 08.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSEC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Antivir\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32
O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75


Gruß Katinka

Nein, du musst nicht alles aufzählen, neben der von dir geposteten Statistik brauche ich aber unbedingt noch die Namen Schädlinge, die in den 24 Dateien entdeckt wurden. Also in erster Linie nicht die Namen der Dateien sondern den des Schädlings (Virus X wurde in Datei Y gefunden, ich brauche X), oder gleich beides.
Wobei mir es nicht gefällt, das er von 24 Datein nur 7 umbenannt und 2 gelöscht hat.

GetRight enthält Adware, nämlich Gator, wenn du die Einträge fixst, kann es sein, dass GetRight nicht mehr geht (aber ich glaube, das ging trotzdem noch), Leechget wäre eine bessere Alternative.

Beende die prozesse mit dem Taskmanager:

GMT.exe
CMESys.exe


Fixe mit HJT (Häkchen und fix checked):

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: SEARCH_PAGE_URL=

Umtieg auf sichereren Browser wie firefox, Mozilla oder opera empfehle ich schon mal präventiv.

Hallo alle...
so sieht es bei mir aus mit hijack, für mich alles griechisch...:

wie kann ich bds.agent.ay überhaupt bekommen haben?!?

danke,
alexo

ps: escan hab ich jetzt auch mal runtergeladen, mach ich als nächstes.



Logfile of HijackThis v1.98.2
Scan saved at 19:01:32, on 22.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\FPDISP3A.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\OFFICEKB.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\MMKEYB.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\TRAYMON.EXE
C:\PROGRAMME\MAILCLEANER.COM\MAILCLEANER\MAILCLEANER.EXE
C:\PROGRAMME\OFFICE KEYBOARD UTILITY\1.1\OSD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\MCEXT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\WUAUCLT.EXE
C:\WINDOWS\DESKTOP\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://www.terafinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.terafinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.terafinder.com/?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.terafinder.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.donots.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.terafinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.terafinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = hxxp://www.terafinder.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = hxxp://www.terafinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: run=hpfsched
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRAMME\GOZILLA\GOIEHLP.DLL
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMME\GOZILLA\GO.EXE" /FIXRAS
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Office keyboard utility\1.1\OFFICEKB.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICONS\AOLMIcon.exe
O4 - HKCU\..\Run: [MailCleaner] C:\PROGRAMME\MAILCLEANER.COM\MAILCLEANER\MAILCLEANER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServeOffice\csim\aim.exe (file missing) (HKCU)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {380D8190-23CB-11D3-B94F-00105A566F76} (Swing Classes) - hxxp://sicher.first-e.com/enba/java/jars/swinginst.cab
O16 - DPF: {380D8192-23CB-11D3-B94F-00105A566F76} (first-e E-Mail Reader) - hxxp://sicher.first-e.com/enba/java/jars/tnbinst.cab
O16 - DPF: {380D8193-23CB-11D3-B94F-00105A566F76} (first-e Utility Classes) - hxxp://sicher.first-e.com/enba/java/jars/firsteinst.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - hxxp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - hxxp://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

Also ich hab seit ein paar wochen auch den Virus drauf. Ich kenne mich leider nicht sehr gut mit dem Computer aus, ich hoffe ihr könnt mir hier weiterhelfen.
Das hat hijack gefunden :

Logfile of HijackThis v1.98.2
Scan saved at 15:34:37, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
D:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\ScanPanel\ScnPanel.exe
E:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe
O4 - HKLM\..\Run: [InstantAccess] e:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Babylon Translator] E:\Programme\Babylon Translator\Babylon.exe
O4 - HKCU\..\Run: [WindowBlinds] F:\Download\Programme\winblind\2\wbload.exe auto
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: SATARaid.lnk = C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\DOWNLOAD\AIM\aim.exe
O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialer...ecomendada.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/p...LER_loader.exe

Hallo linus1981,

überprüfe diesen Przozess mit dem Online-Scan von Kaspersky:

C:\Programme\FinePixViewer\QuickDCF.exe

Teile uns bitte das Ergebnis der Überprüfung mit.

Wenn Du diese Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local>
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O8 - auf Anraten von *Christian* gelöscht -
O9 - auf Anraten von *Christian* gelöscht -

Erstelle ein neues Logfile mit Hijack This und poste es.

Gruss
Shadowdance

[edit] danke *Christian* [/edit]

Hallo Kleene,

beachte bitte die Postings von *christian* ...

Gruss
Shadowdance

[edit] geändert [/edit]

@Kleene vbmenu_register("postmenu_73603", true);

Du hast einen Dialer auf deinem System.
Bevor du mit eScan scannst, solltest du die Datei evtl. sichern.

Lass einfach mal mit eScan im abgesicherten Modus scannen und dann poste ein neues Log von HijackThis.

@linus1981 vbmenu_register("postmenu_73583", true);

Dein Log schaut nun sauber aus.

erstmal ein riesen dank an dich shadowdancer

ich habe alles getan was du beschrieben hast, bis auf das ich alles mit einer aktiven systemwiederherstellung gemacht habe, wie deaktiviere ich die?

hier ist mein neuer hijlog.

Logfile of HijackThis v1.98.2
Scan saved at 15:25:49, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de

wie ich die rausbekomme musst du mir nochmal sagen
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
du meintest mit LSPfix, aber wo sehe ich da die dateien? sorry ich habe da nicht wirklich viel ahnung von.

du wolltest noch wissen wie ich ins inet gehe. ich gehe über einen router hinein und melde mich dann bei der uni-münster im rechnzentrum an. das ganze ist eine kooperation zwischen telekomm und studentenwerk.
ich war schon sehr überrascht wieviel spybot findet, die sachen die das programm gefunden hat, habe ich alle bereinigt.

meinen escanlog kann ich dir auch nochmal posten. nach kurzem scanen sagt escan, dass er einen virus gefunden hat, aber ich glaube, dass escan zwischen tatsächlich infizierten dateien und angeblich gefährlichen dateien nicht so genau unterscheiden kann.

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Dokumente und Einstellungen\Cyron\Lokale Einstellungen\Temp\BDECache\bde2B.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\backups\backup-20041013-143835-192.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Cyron.TSM17110\Lokale Einstellungen\Temp\BDECache\bdeEC.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.
File C:\Nsc\Games\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Nsc\Games\QuakeIII\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Nsc\Games\QuakeIII\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Nsc\Irc\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Nsc\Irc\mIRC\script\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File D:\Backup\Codecs\DivXPro511Adware.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File D:\Backup\Network-Communication\freecam.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.
File D:\Backup\Network-Communication\Irc\girc405.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\Backup\Network-Communication\Irc\nnscript365.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\Backup\Network-Communication\Irc\nnskriptmirc\mirc.rar tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\Backup\Network-Communication\Irc\TracerScriptv1.22.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Network-Communication\iVisit28b5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Ftp\Flash-MX\FlashFXP_2_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\After Effects\PLUG-INS\BigFX FilmFX 2.25\ffx225i.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\Swish\cd-key\Swish 2 + Keygen.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\Swish\SetupSwish200DEU.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Backup\Programs-Music.Videotools\Swish\Swish 2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Games backup\Cs\bots\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


so da hast du wieder die aktuellen informationen. ich hoffe wir bekommen den trojaner weg.
aber nochmals besten dank für deine bisherige hilf

mfg kev

---> Hallo Kevin,

ich muss Dir leider mitteilen, dass alle Arbeiten, die Du ausgeführt hast, umsonst waren. Windows XP hat eine Systemwiederherstellung. Wie das Wort sagt, werden alle Einträge, die auf Deinem System sind, nach dem löschen wiederhergestellt. Folglich hast Du alles umsonst gelöscht und darfst nun noch einmal damit anfangen, meine Auswertung Punkt für Punkt nachzuarbeiten.

Alle Einträge, die mit Hijack This gefixt werden müssen, müssen sowohl im angesicherten Modus und offline, bei deaktivierter Systemwiederherstellung, gefixed werden. Wenn Du diese Arbeiten erledigt hast, darfst Du die Systemwiederherstellung wieder aktivieren.

Alle Einträge, die eScan aufgeführt hat unter "not-a-virus" und "virus" müssen von Hand gelöscht werden, bei deaktivierter Systemwiederherstellung.

Zitat:

... aber ich glaube, dass escan zwischen tatsächlich infizierten dateien und angeblich gefährlichen dateien nicht so genau unterscheiden kann.

Doch, eScan kann unterscheiden. eScan führt RiskWare auf, also Dateien, die ein Risiko mit sich bringen, Adware, Jokeviren und richtige Viren. Es empfiehlt sich, alle Dateien, die eScan aufführt, zu löschen, vorallem, wenn man sich nicht mit der Materie auskennt. Du kannst allerdings vorsichtshalber die Dateien in den Browser kopieren und bei google nachsuchen.

Dateien löschen, die eScan angeben hat, geht folgendermaßen: Die Malware muß bei deaktivierter - Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Du kannst die Einträge "O10 - Hijacked Internet access by New.Net" zwar mit Hijack This fixen, es kann aber sein, dass Du dann nicht mehr ins Netz kannst. Bitte lies Dir dazu die Bedienungsanleitung von LSP-Fix durch. Wenn Du damit nicht zurechtkommst, kannst Du auch WinsockFix verwenden.

Die Einträge "File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken." solltest Du vorsichtshalber auf Diskette kopieren und sicher bewahren.

Viel Erfolg beim Reinigen Deines Systems. Wenn Du alles erledigt hast, erstelle bitte ein neues Hijack This Logfile im normalen Modus und poste es.

Shadowdance

hi shadowdancer,
ich habe alles so gemacht wie du gesagt hast und nach einem erneuten escan wurden keine viren gefundnen. mein hijlog wolltest du noch sehen.

Logfile of HijackThis v1.98.2
Scan saved at 18:41:46, on 15.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.my-r.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: Domain = uni-muenster.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: NameServer = 128.176.0.12 128.176.0.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de

ich habe aber das gefühl, das das inet immer noch sehr langsam läuft, bitte schau dir den log nochmal an und sag ob ich noch was fixen muss.
besten dank und schönes wochenende wünsche ich euch allen.