HijackThisLog: Wie lösche ich jetzt die fiese Datei [VirusProtector Problem]

brasilerinho

Guten Tag

Nachdem ich mich etwas im Forum umgeschaut habe, beschloss ich mich hier anzumelden und glaube auch, dass dieses Forum mich in Zukunft noch viel geleiten wird.

Mein Problem?

Virus Protector

Habe schon andere Threads mit den Problemlösungen angeschaut.

Was geschah:
Es begann am 25.03.2010.
Ich furh mein PC hoch und war erstmal überrascht das mein Browser Icon auf dem Desktop (Google Chrome) einen anderen Namen hatte.
Ich erinner mich nicht mehr wie aber es war ungefähr so: "ghdffg sdhdfz".
Da hab ich mir schon Gedanken gemacht.
Ich surfte bisschen im Internet und es kam eine Meldung: Ihr Browser ist Infiziert und so lala... Das alles im namen von Microsoft (unverschämt oO)
Ich lud es mir runter, da ich schon davor komisch drauf war, als ich die Sache mit dem Namen vom Browser sah.
Dann hatte ich Virus Protector auf dem PC.Kamen die natürlichen Symtome und ich dachte "Mein gott ich hab ja viele Viren aufm PC" Weil die Zahl der infizierten Dateien im Scan immer mehr zu nahm. Nach ner Zeit waren mir die dauernden Meldungen komisch und ich informierte mich nach Virus Protector. Kam so auf dieses Forum und musste feststellen das das Ding, der eigtl. Übeltäter ist.
Ich folgte den Schritten in einem Lösungsthread von hier und startete den PC neu im Abgesicherten Modus.
Doch mein Task unten war weg und durch den Administrator wurde der TaskManager deaktiviert.VirusProtector furh immer mit hoch egal in welchem MOdus. Ich konnte nichts machen und haute vor Verzweiflung auf die Tastatur. Dann öffnete sich (durch windowstaste+U, was ich nicht kannte) die Bildschirmlupe, durch den Pfad Info , hab ich auf deren Hinweis "Mehr Infos auf Microsoft" geklickt wodurch sich IE öffnete. Damit konnte ich also Arbeitsplatz und co. Hab mir im internet Malware runtergeladen laufen lassen und paar dateien gelöscht. Dann auch CC Cleaner. Hab jetzt zu guter letzt nun Taskmanager wieder öffnen können und VirusProtector beenden können.
HijackThis grad drüber laufen lassen und er zeigt mir einige Dateien an die schlecht sind. Auch mit IP Adressen aus Ukraine anscheinend (zeigt er auf hijackthis.de an)

Meine Frage nun: Wie lösche ich jetzt diese schlechte Dateien? Und ist die angezeigte IP auf hijackthis.de bei den schlechten Dateien die IP vom übeltäter??? Steht sogar Adresse hausnummer und PLZ.

Hier der LógFile. Solang ich nicht sicher bin, dass das Teil nicht vom PC ist starte ich den PC nicht neu, da ich keine Lust hab hier wieder diese ständigen werbungen zu haben. Hoffe das, falls er weg ist. Mein Taskleiste unten von selbst wiederkommt...Weil auf dem Desktop sind keine Programme.Komme immer per windowstaste+U ins Internet oder Arbeitsplatz und co.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:38:51, on 27.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\utilman.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-com.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=806
F2 - REG:system.ini: Shell=C:\WINDOWS\system32\ah04h8gqo.exe
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\\HomeCinema\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\bizarrus\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.t-com.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - hxxp://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://cellaflor.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - hxxp://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120728824250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120733127593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

Die werden als schlecht angezeigt. Bei hijackthis.de kann man mit der Maus auf die IP fahren und da steht dann eine Adresse...Bin hier ratlos.Wie lösche ich diese Dateien nun.Wollte manuell aber weiß nicht wo ich diese finde.

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B6BC737-8524-4CD8-9C28-9E2370B000CB}: NameServer = 93.188.163.170,93.188.166.58
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.170,93.188.166.58
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.170,93.188.166.58
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.170,93.188.166.58


O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: aOFLYYKjA.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7086 bytes


Danke vielmals fürs durchlesen und vlt. eine kleine Hilfe!