Ich habe gar keine Ahnung von Trojanern, habe mir aber doch welche eingefangen. Bitte helft mir bei meinem Problem:

Mein Virenscanner AntiVir brachte mir bei der letzten Suche folgendes Ergebnis:


C:\
x.cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2
C:\WINDOWS\Local Settings\Temporary Internet Files\Content.IE5\0RK3AZCR
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2
C:\WINDOWS\Local Settings\Temporary Internet Files\Content.IE5\U5I9SXMB
2DimensionOfExploitsEnc[2].hta
[FUND!] Ist das Trojanische Pferd TR/Zerolin.VBS
WURDE GELÖSCHT!
C:\RECYCLED
Q330995.exe
[FUND!] Ist das Trojanische Pferd TR/Small.HX
WURDE GELÖSCHT!

- - - - - - - - - - -

bisher festgestellte Änderungen:

Im DFÜ-Netzwerk wird bei allen vorhandenen Verbindungen die voreingestellte Rufnummer in die folgende umgeändert:

004382082018445

Dies passiert nicht immer unmittelbar sondern erst nach gewisser Zeit. Dieses Problem taucht immer wieder auf (Löschen und Neustart bringt nichts)

- - - -
Hier mein hijack:

Logfile of HijackThis v1.98.2
Scan saved at 22:19:09, on 14.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\PROGRAMME\NORTON UTILITIES\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HPBPRO.EXE
C:\WINDOWS\SYSTEM\HPBOID.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMME\TEXTBRIDGE\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAMME\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE
C:\WINDOWS\SYSTEM32\EXPLORER.EXE
C:\WINDOWS\RunDLL.exe
D:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
D:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\TOOLBOX2.0\JAVASOFT\JRE\1.3.1\BIN\JAVAW.EXE
D:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.101.250/sbms/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.65.101.250/sbms/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.101.250/sbms/
O1 - Hosts: 66.40.16.234 auto.search.msn.com
O1 - Hosts: 66.40.16.234 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] d:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NPROTECT] D:\Programme\Norton Utilities\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\TEXTBR~1\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE2] C:\Programme\Browser MOUSE\R2M.EXE
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c46 -w
O4 - HKLM\..\RunServices: [NPROTECT] D:\Programme\Norton Utilities\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [HP Port Resolver] C:\WINDOWS\SYSTEM\hpbpro.exe
O4 - HKLM\..\RunServices: [HP Status Server] C:\WINDOWS\SYSTEM\hpboid.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office 2\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

- - - -

Bitte helft mir.

hallo.

eventuell internetexplorer updaten oder sicheren alternativen browser (z.b. mozilla firefox)) installieren.

folgende einträge fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://216.65.101.250/sbms/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://216.65.101.250/sbms/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://216.65.101.250/sbms/

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c46 -w

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

folgende einträge prüfen und ggf fixen:

D:\PROGRAMME\TEXTBRIDGE\BIN\INSTANTACCESS.EXE

C:\PROGRAMME\GEMEINSAME DATEIEN\ADAPTEC SHARED\CREATECD\CREATECD50.EXE

C:\PROGRAMME\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT
4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE

O1 - Hosts: 66.40.16.234 auto.search.msn.com

O1 - Hosts: 66.40.16.234 auto.search.msn.com

O4 - HKLM\..\Run: [StatusClient]
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat
4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [FLMBROWSEMOUSE2] C:\Programme\Browser MOUSE\R2M.EXE

O4 - HKLM\..\RunServices: [HP Port Resolver] C:\WINDOWS\SYSTEM\hpbpro.exe

danach antivir nochmal durchlaufen lassen und sich überraschen lassen. eventuell auch mal adaware, spybot search & destroy laufen lassen.

Hallo dnick,

überprüfe Dein System mit dem eScan - laut Anleitung. Bitte nicht vergessen: den Scan online updaten und offline im abgesicherten Modus laufen lassen. eScan entfernt keine Malware, das muss von Hand gemacht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Vielen Dank erst mal für die schnelle Hilfe.
Jetzt habe ich aber 2 Empfehlungen bekommen. Sollte ich zuerst mit escan arbeiten oder die Tips von Wattewuschel beachten? Wie gesagt, ich bin Anfänger und brauche eher eine Beschreibungsschritt mehr als andere User.

(in anderen Beiträgen habe ich gelesen, daß bestimmte Aktionen im abgesicherten Modus durchgeführt werden müssen / bzw. Systemwiederherstellung deaktiviert sein muß -> Betrifft mich hier bei meiner Problemlösung sowas auch)

Im Voraus schon mal vielen Dank für die weitere Hilfe,
Daniel

Boote mal in den Abgesicherten Modus, deaktiviere die Systemwiederherstellung, und starte mal escan, nach dem scan wechsele in den normalen modus und aktiviere die aystemwiederherstellung wieder, poste dann das ergebnis.

So würde ich es erstmal machen

Hallo dnick,

Zitat:

Zitat von dnick

Sollte ich zuerst [..] die Tips von Wattewuschel beachten?

ja

Zitat:

Zitat von dnick

(in anderen Beiträgen habe ich gelesen, daß bestimmte Aktionen im abgesicherten Modus durchgeführt werden müssen / bzw. Systemwiederherstellung deaktiviert sein muß -> Betrifft mich hier bei meiner Problemlösung sowas auch)

Du hast windows98, das bedeutet, dass Du die Einträge mit Hijack This im abgesicherten Modus fixen musst. Wie das geht, kannst Du meinem obigen Posting entnehmen. Wenn Du die Einträge mit Hijack This gefixed (Häk'chen setzen und auf Fix checked klicken) hast, führe bitte den eScan entsprechend der Anleitung durch.

SD

@ Tobal ... machst Du mir das bitte vor?
Systemwiederherstellung bei win98? Man lernt nie aus

Oh sorry, das hab ich übersehen:-( also war der beitrag mal wieder überflüssig

@ Tobal,

mach Dir nichts draus und guck nicht so böse. Lachen ist gesund, irren ist menschlich, aus Fehlern kann man hervorragend lernen und ... mach einfach mit. Wenn Du was falsch machst, sagen wir Dir das schon. Ich werde auch immer mal wieder verbessert ... das heißt, ich werde immer besser ..

... und lerne auch noch.

Lieben Gruss
SD

Hallo,

So, da bin ich wieder. Aufgrund meines langsamen Computers und dem Telefon-Anloganschluß hat die ganze Aktion etwas gedauert.

Ich habe jetzt folgendes gemacht:
1. ich habe die angegebenen Einträge gefixt (im abgesicherten Modus). Bei den Einträgen, die ich zunächst prüfen sollte, habe ich festgestellt, dass dies Dateien waren, die seit Jahren nicht mehr geändert wurden. Die habe ich also nicht gefixt (Ausnahme die msn-Einträge)
2. dann Neustart, eScan installiert und aktualisiert, dann Neustart im abgesicherten Modus und Scannung aller Dateien. Löschungen habe ich bisher nicht vorgenommen!
3. Neustart, danach neue HijackLog-Datei erstellt
- - - - - -

Hier die Ergebnisse (zunächst eScan)


eScan bemängelte folgende Dateien:


file C:\windows\system\ied.exe infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: Bo Action Taken
file C:\windows\system\mstmp.html infected by "TrojanDownloader.VBS.Psyme.based" Virus. Action Taken: Bo Action Taken
file C:\windows\system\ied.exe infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: Bo Action Taken
file C:\windows\system\mstmp.html infected by "TrojanDownloader.VBS.Psyme.based" Virus. Action Taken: Bo Action Taken
file c:\windows\temp\Babylon-update.exe infected by "not-a-virus: AdvWare.Cydoor" Virus. Action Taken: Bo Action Taken
file c:\programme\iomega\driveicons\imghr.exe tagged as not-a-virus:Tool.win32.reboot. No action taken.
file f:\treiber\driver\modem\usrobot\manager\italian\modemmgr.exe tagged as not-a-virus:tool.win32.Reboot.No action taken
file f:\treiber\driver\modem\usrobot\manager\german\modemmgr.exe tagged as not-a-virus:tool.win32.Reboot.No action taken
file f:\treiber\driver\modem\usrobot\manager\french\modemmgr.exe tagged as not-a-virus:tool.win32.Reboot.No action taken
file f:\treiber\driver\modem\usrobot\manager\english\modemmgr.exe tagged as not-a-virus:tool.win32.Reboot.No action taken
file f:\treiber\driver\modem\usrobot\manager\dutch\modemmgr.exe tagged as not-a-virus:tool.win32.Reboot.No action taken
file f:\programme\nortonutilities 2001\nu2001ge\offers\att_win\wnsetup.exe tagged as not-a-virus:tool.win32.Reboot.No action taken

……….

Hier das aktualisierte Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 12:17:01, on 15.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\PROGRAMME\NORTON UTILITIES\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HPBPRO.EXE
C:\WINDOWS\SYSTEM\HPBOID.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMME\TEXTBRIDGE\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAMME\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE
C:\WINDOWS\RunDLL.exe
D:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
D:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\TOOLBOX2.0\JAVASOFT\JRE\1.3.1\BIN\JAVAW.EXE
D:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] d:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NPROTECT] D:\Programme\Norton Utilities\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\TEXTBR~1\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\RunServices: [NPROTECT] D:\Programme\Norton Utilities\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [HP Port Resolver] C:\WINDOWS\SYSTEM\hpbpro.exe
O4 - HKLM\..\RunServices: [HP Status Server] C:\WINDOWS\SYSTEM\hpboid.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office 2\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll


Wie geht es jetzt weiter (ich muß doch jetzt bestimmt was löschen)? Vielen Dank natürlich für die weitere Hilfe. Ihr hab ja echt was drauf!

P.S. Antivir habe ich auch noch mal durchlaufen lassen. Das Programm findet die beiden Trojaner, die eScan gescannt hat gar nicht. Ich dachte bisher immer, AntiVir ist einer der zuverlässigsten Scanner.

Fixe dies noch mit HijackThis:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Lösche diese Dateien manuell im abgesicherten Modus:

file C:\windows\system\ied.exe infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: Bo Action Taken
file C:\windows\system\mstmp.html infected by "TrojanDownloader.VBS.Psyme.based" Virus. Action Taken: Bo Action Taken
file C:\windows\system\ied.exe infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: Bo Action Taken
file C:\windows\system\mstmp.html infected by "TrojanDownloader.VBS.Psyme.based" Virus. Action Taken: Bo Action Taken
file c:\windows\temp\Babylon-update.exe infected by "not-a-virus: AdvWare.Cydoor" Virus. Action Taken: Bo Action Taken