so ich hab higjacks ma durchschaun lassen und das kam bei raus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:08:03, on 03.01.2002
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
C:\WINDOWS\System32\load.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\Win15763.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\system07.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\wingate32.exe
C:\Windows\system32\Windirs32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\bvebtfj.exe
C:\WINDOWS\System32\fuyenu.exe
C:\WINDOWS\System32\cmmn.exe
C:\Programme\Gemeinsame Dateien\System\klass.exe
C:\WINDOWS\System32\uinqyln.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\wingfmr.exe
C:\WINDOWS\TEMP\wintqei.exe
C:\WINDOWS\TEMP\qihvx.exe
C:\WINDOWS\TEMP\vpks.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Secure Update] load.exe
O4 - HKLM\..\Run: [Microsoft system07 Service] system07.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [XP HOT Rebild] Win15763.exe
O4 - HKLM\..\Run: [antike] wingate32.exe
O4 - HKLM\..\Run: [MSN] C:\Windows\system32\Windirs32.exe
O4 - HKLM\..\Run: [WinDLL (dasada.exe)] rundll32.exe C:\WINDOWS\System32\dasada.exe,start
O4 - HKLM\..\Run: [Windows Microsoft Services] bvebtfj.exe
O4 - HKLM\..\Run: [Windows Service Agent] fuyenu.exe
O4 - HKLM\..\Run: [Windows nt ] cmmn.exe
O4 - HKLM\..\Run: [Windows Update] C:\Programme\Gemeinsame Dateien\System\klass.exe
O4 - HKLM\..\Run: [Windows LoL Layer] uinqyln.exe
O4 - HKLM\..\RunServices: [Windows Secure Update] load.exe
O4 - HKLM\..\RunServices: [Microsoft system07 Service] system07.exe
O4 - HKLM\..\RunServices: [XP HOT Rebild] Win15763.exe
O4 - HKLM\..\RunServices: [antike] wingate32.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Services] bvebtfj.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] fuyenu.exe
O4 - HKLM\..\RunServices: [Windows nt ] cmmn.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] uinqyln.exe
O4 - HKLM\..\RunOnce: [Windows Secure Update] load.exe
O4 - HKLM\..\RunOnce: [XP HOT Rebild] Win15763.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Secure Update] load.exe
O4 - HKCU\..\Run: [XP HOT Rebild] Win15763.exe
O4 - HKCU\..\Run: [antike] wingate32.exe
O4 - HKCU\..\Run: [Windows Microsoft Services] bvebtfj.exe
O4 - HKCU\..\Run: [Windows nt ] cmmn.exe
O4 - HKCU\..\Run: [Windows Service Agent] fuyenu.exe
O4 - HKCU\..\Run: [Windows LoL Layer] uinqyln.exe
O4 - HKCU\..\RunOnce: [Windows Secure Update] load.exe
O4 - HKCU\..\RunOnce: [XP HOT Rebild] Win15763.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [antike] wingate32.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows Microsoft Services] bvebtfj.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows nt ] cmmn.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows Service Agent] fuyenu.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows LoL Layer] uinqyln.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\RunOnce: [Windows Secure Update] load.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Secure Update] load.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Secure Update] load.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\System32\GPhotos.scr/200
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Advance Service Process - Unknown owner - C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5916 bytes


p.s. wenn ich ein antivirus programm installieren bricht es einfach ohne meldung ab und ausserdem kann ich den abgesicherten modus nicht starten!

da kommt ein blauer hintergrund mit weissem text

so was in der art:

sie sollten auf virus kontrollieren oder alle hardwaretreiber löschen!

HILFE!

ich dreh am rad

Hi,

keine Garantie, dass die Kiste nach der Bereinigung noch läuft, Uraltes System, bis über beide Ohren verseucht...
Umgehend SP3 und IE8 etc. aufspielen...

Dir graut auch vor garnichts, oder?

Da brauch ich ja alleine für das Script schon eine halbe Stunde...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
C:\WINDOWS\System32\load.exe
C:\WINDOWS\System32\Win15763.exe
C:\WINDOWS\System32\system07.exe
C:\WINDOWS\System32\wingate32.exe
C:\Windows\system32\Windirs32.exe
C:\WINDOWS\System32\bvebtfj.exe
C:\WINDOWS\System32\fuyenu.exe
C:\WINDOWS\System32\cmmn.exe
C:\WINDOWS\System32\uinqyln.exe
C:\WINDOWS\TEMP\wingfmr.exe
C:\WINDOWS\TEMP\wintqei.exe
C:\WINDOWS\TEMP\qihvx.exe
C:\WINDOWS\TEMP\vpks.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Nicht erkannte Files unten rauslöschen (es wird nur keine geben, aber sicher ist sicher )...

Dann lädt du alle Tools (MAM, GMER, Avenger) runter und gehst dann offline!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
MSASP32.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Secure Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft system07 Service]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|XP HOT Rebild
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|antike
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSN
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinDLL (dasada.exe)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Microsoft Services
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Service Agent
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows nt 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows LoL Layer

 
Files to delete:
C:\WINDOWS\System32\load.exe
C:\WINDOWS\System32\Win15763.exe
C:\WINDOWS\System32\system07.exe
C:\WINDOWS\System32\wingate32.exe
C:\Windows\system32\Windirs32.exe
C:\WINDOWS\System32\bvebtfj.exe
C:\WINDOWS\System32\fuyenu.exe
C:\WINDOWS\System32\cmmn.exe
C:\WINDOWS\System32\uinqyln.exe
C:\WINDOWS\TEMP\wingfmr.exe
C:\WINDOWS\TEMP\wintqei.exe
C:\WINDOWS\TEMP\qihvx.exe
C:\WINDOWS\TEMP\vpks.exe
C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\RunServices: [Windows Secure Update] load.exe
O4 - HKLM\..\RunServices: [Microsoft system07 Service] system07.exe
O4 - HKLM\..\RunServices: [XP HOT Rebild] Win15763.exe
O4 - HKLM\..\RunServices: [antike] wingate32.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Services] bvebtfj.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] fuyenu.exe
O4 - HKLM\..\RunServices: [Windows nt ] cmmn.exe
O4 - HKLM\..\RunServices: [Windows LoL Layer] uinqyln.exe
O4 - HKLM\..\RunOnce: [Windows Secure Update] load.exe
O4 - HKLM\..\RunOnce: [XP HOT Rebild] Win15763.exe
O4 - HKCU\..\Run: [Windows Secure Update] load.exe
O4 - HKCU\..\Run: [XP HOT Rebild] Win15763.exe
O4 - HKCU\..\Run: [antike] wingate32.exe
O4 - HKCU\..\Run: [Windows Microsoft Services] bvebtfj.exe
O4 - HKCU\..\Run: [Windows nt ] cmmn.exe
O4 - HKCU\..\Run: [Windows Service Agent] fuyenu.exe
O4 - HKCU\..\Run: [Windows LoL Layer] uinqyln.exe
O4 - HKCU\..\RunOnce: [Windows Secure Update] load.exe
O4 - HKCU\..\RunOnce: [XP HOT Rebild] Win15763.exe
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [antike] wingate32.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows Microsoft Services] bvebtfj.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows nt ] cmmn.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows Service Agent] fuyenu.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\Run: [Windows LoL Layer] uinqyln.exe (User '?')
O4 - HKUS\S-1-5-21-1547161642-1788223648-682003330-1003\..\RunOnce: [Windows Secure Update] load.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Secure Update] load.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Secure Update] load.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Advance Service Process - Unknown owner - C:\Programme\Gemeinsame Dateien\System\MSASP32.exe
         

Danach installierst Du MAM und nennst es bereits im Downloaddialog um auf test.exe...
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Online gehen und alle Logs posten...

Am Rande: Durch den Backdoor der drauf ist, mußt Du Neuaufsetzen, da nicht klar ist, was alles am Rechner geändert wurde.
Weiterhin musst Du SOFORT von einem sauberen Rechner aus alles Passwörter etc. ändern (eBay, Email, Homebanking, Onlinegames etc.)!

Abgesicherter Modus reparieren:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attac...2&d=1187631899
entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.

Chris