Hallo Leute!

Ich glaub ich hab mir hier einen Virus eingefangen. Seit ein paar Tagen startet Norton Antivirus nicht mehr. Wenn ich mit dem Windows-Explorer in das Norton-Verzeichnis gehe, macht sich das Fenster sofort wieder zu - ich komm da also nicht mehr ran. Wenn ich Internetseiten wie z.B. www.symantec.de (die Norton-Homepage) aufrufen will, wird sogar das blockiert - sprich der IE schließt sich von alleine. Das passiert nur, wenn ich im Netz nach Antiviren suche! Habe mal zur Probe einen neuen Ordner namens "Norton Antivirus" erstellt - der schließt sich nach einem Doppelklick sofort wieder. Wie krieg ich das wieder in Ordnung? Ich werd noch wahnsinnig hier, ich hoffe jemand kann mir helfen. Ich benutze übrigens WIN XP Pro (welches in letzter Zeit immer öfter abstürzt).
Vielen Dank im Voraus!!!

--------------------------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 21:52:24, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AntiVir\AVGNT.EXE
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
D:\Programme\CPUcool\Installation\CooLSrv.exe
D:\Programme\Norton AntiVirus 2004\navapsvc.exe
D:\Programme\Norton AntiVirus 2004\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SCARDS32.EXE
d:\Programme\WinRoute Pro\winroute.exe
D:\Programme\Norton AntiVirus 2004\SAVScan.exe
C:\Dokumente und Einstellungen\Toggle64\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe,sysinit.exe -shell
O1 - Hosts: 127.46.75.205 www.symantec.com
O1 - Hosts: 127.27.119.30 securityresponse.symantec.com
O1 - Hosts: 127.198.172.149 symantec.com
O1 - Hosts: 127.204.114.139 www.mcafee.com
O1 - Hosts: 127.71.96.124 mcafee.com
O1 - Hosts: 127.25.203.138 us.mcafee.com
O1 - Hosts: 127.117.106.109 www.sophos.com
O1 - Hosts: 127.159.89.125 sophos.com
O1 - Hosts: 127.29.119.50 www.viruslist.com
O1 - Hosts: 127.35.82.125 viruslist.com
O1 - Hosts: 127.163.49.49 f-secure.com
O1 - Hosts: 127.176.116.41 www.f-secure.com
O1 - Hosts: 127.110.74.149 kaspersky.com
O1 - Hosts: 127.56.156.237 www.avp.com
O1 - Hosts: 127.214.79.216 www.kaspersky.com
O1 - Hosts: 127.98.94.171 avp.com
O1 - Hosts: 127.163.177.238 www.networkassociates.com
O1 - Hosts: 127.69.64.205 networkassociates.com
O1 - Hosts: 127.62.132.134 www.ca.com
O1 - Hosts: 127.62.164.36 ca.com
O1 - Hosts: 127.29.220.18 my-etrust.com
O1 - Hosts: 127.38.133.42 www.my-etrust.com
O1 - Hosts: 127.31.221.156 secure.nai.com
O1 - Hosts: 127.143.145.117 nai.com
O1 - Hosts: 127.193.207.143 www.nai.com
O1 - Hosts: 127.220.78.136 trendmicro.com
O1 - Hosts: 127.128.213.1 www.trendmicro.com
O1 - Hosts: 127.63.62.61 housecall.trendmicro.com
O1 - Hosts: 127.193.30.27 www.pandasoftware.com
O1 - Hosts: 127.15.74.126 www.bitdefender.com
O1 - Hosts: 127.20.169.177 www.ravantivirus.com
O1 - Hosts: 127.241.218.15 www3.ca.com
O1 - Hosts: 127.172.234.57 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.198.92.143 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.103.251.135 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.95.54.248 windowsupdate.microsoft.com
O1 - Hosts: 127.185.28.44 www.windowsupdate.com
O1 - Hosts: 127.100.72.75 windowsupdate.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0 Pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\aasodi.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0 Pro\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BA8751C0-75EF-DE36-E9CA-E84EE1D88F89} - C:\WINDOWS\System32\pafopez.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus 2004\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0 Pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus 2004\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ngvctqz] C:\WINDOWS\ngvctqz.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [RegScan32] sysinit.exe -services
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegScan32] sysinit.exe -services
O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [seticlient] d:\programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [RegScan32] sysinit.exe -drivers
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
--------------------------------------------------------------------------

Hallo,
die einzig vernünftige Lösung wäre dies: http://www.trojaner-board.de/showpos...28&postcount=2

Es dürfte sich um einen Backdoor Trojaner aus der bot Familie handeln.

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\aasodi.dll
C:\WINDOWS\System32\pafopez.dll
sysinit.exe

alle O1 leiten Seitenanfragen auf AV-Hersteller auf 127.x.x.x. um, fixe zumindest mal alle O1, dann solltest Du auf die AV-Hersteller wieder zugreifen können.
Könnte aber nach einem Reboot wieder da sein.
Das Fixen aller O1 ist nur(!) ein kleiner Versuch ein paar Symptome zu lindern und ist KEIN bekämpfen der Malware!

Es dient wirklich nur dazu, dass Du auf die AV-Hersteller zugreifen kannst.

(Ansonsten sieht auch das weitere Log nicht gut aus, die automatische Auswertung unter www.HiJackthis.de dürfte dir noch einiges aufzeigen.)
R3, diverse O4, u.v.m.

Vielen Dank für eure Hilfe, Cidre und Shadow!

Hier das Ergebnis des Scans (sieht sch**** aus, oder?):

File: sysinit.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this

file's scan results will not be stored in the database)
Packers detected: PE_PATCH, TELOCK

AntiVir No viruses found (1.38 seconds taken)
Avast No viruses found (4.57 seconds taken)
BitDefender Backdoor.SDBot.Gen (12.27 seconds taken)
ClamAV No viruses found (6.91 seconds taken)
Dr.Web BackDoor.IRC.Sdbot.based (7.37 seconds taken)
F-Prot Antivirus No viruses found (0.65 seconds taken)
Kaspersky Anti-Virus No viruses found (6.09 seconds taken)
mks_vir No viruses found (1.61 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (5.69 seconds taken)
Norman Virus Control No viruses found (39.16 seconds taken)


--------------------------------------------------------------------

File: aasodi.dll
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (1.33 seconds taken)
Avast No viruses found (4.55 seconds taken)
BitDefender No viruses found (3.42 seconds taken)
ClamAV No viruses found (7.00 seconds taken)
Dr.Web No viruses found (4.51 seconds taken)
F-Prot Antivirus No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.Small.uw (4.40 seconds taken)
mks_vir Trojan.Startpage.Ix (1.38 seconds taken)
NOD32 No viruses found (3.51 seconds taken)
Norman Virus Control No viruses found (3.37 seconds taken)

--------------------------------------------------------------

File: pafopez.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or

runtime packers were found, this is suspicious. Normally programs aren't packed and

don't force the sandbox into lengthy emulation. Do realize no scanner issued any

warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: UPX

AntiVir No viruses found (1.34 seconds taken)
Avast No viruses found (4.56 seconds taken)
BitDefender No viruses found (4.32 seconds taken)
ClamAV No viruses found (7.47 seconds taken)
Dr.Web No viruses found (5.49 seconds taken)
F-Prot Antivirus No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus No viruses found (4.25 seconds taken)
mks_vir No viruses found (1.73 seconds taken)
NOD32 No viruses found (2.80 seconds taken)
Norman Virus Control No viruses found (1.33 seconds taken)

------------------------------------------------------------

Hab inzwischen übirgens alles verdächtige in HijackThis gefixt, aber auf Antiviren-Homepages komme ich nach wie vor nicht und die RegEdit lässt sich immer noch nicht ausführen ("...wurde durch den Administrator deaktiviert.").

Bist Du Admin?
Schau mal nach welche Rechte Du hast.

Schon mal in der hosts-Datei nachgesehen? => C:\WINDOWS\system32\drivers\etc\hosts
Vielleicht hat die Malware sich abgesichert?
Aber wie geagt, dies bekämft NICHT die Malware

Hab alles formatiert und Windows komplett neu installiert, da war eh nichts mehr zu retten.

Ich wollte mich aber nochmal für eure Hilfe bedanken!!