Trojaner-Board - Hilfe bei Trojaner/Hijack-Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe bei Trojaner/Hijack-Log (https://www.trojaner-board.de/12338-hilfe-trojaner-hijack-log.html)

Hilfe bei Trojaner/Hijack-Log

Moin Moin,

nachdem Antvir mir plötzlich verschiedene Trojaner meldet und ich diese nicht mit Hilfe von Virandatenbanken eindeutig identifizieren kann um sie zu entfernen bitte ich um Eure Hilfe.

Logfile of HijackThis v1.99.0
Scan saved at 20:59:35, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\michael\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\winapps\tools\AdobeReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A0832E93-9AEE-40B0-84F8-B3AAB5E9ED8F} - C:\WINDOWS\system32\mcicdb.dll (file missing)
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\winapps\tools\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\winapps\tools\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\winapps\tools\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\winapps\tools\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\winapps\tools\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\winapps\tools\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\winapps\BRO~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{C775359B-F2D6-4293-B1E9-1EDB61E362A9}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\winapps\tools\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\winapps\tools\AntiVir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

Einiges davon kommt mir sehr suspekt vor, aber bevor ich hier wichtige Dinge lösche. :nixda:
Die Systemwiederherstellung ist deaktiviert, muss Hijack grundsätzlich im abgesicherten Modus laufen?

Danke.

@nordlicht
poste bitte ein HJT logfile aus der normalen modus
nachdem Antvir mir plötzlich verschiedene Trojaner meldet
poste bitte auch die pfade und namen
chaosman

Moin,

habe inzwischen weitergelesen, es läuft gerade escan.

Bisher gefunden:
Hack.Tool.Win32.Hidd.c *Virus* als "hdvbv.dll" und als "hdxop.dll"
sowie
"tlntadmnx.exe" und "winmscd.exe", beide *not-avirus*, mit beiden kann ich bisher wenig angfangen finde sie nur in englischsprachigen Foren und damit hapert es bei mir ein wenig. :heulen:

[edit]
Jetzt räumt escan gerade mein Antivir-Infected-verzeichnis auf, darin steckt noch einer der Trojaner "NAJESUU.DLL", soll "Trojan-Downloader.Win32.Agent.gl" sein.
[/edit]

Hat jemand eine Idee was die beiden "tlntadmnx.exe" und "winmscd.exe" sind und ob ich die mit löschen sollte?
Wenn escan zu ende ist werde ich aufräumen und noch einmal scannen, wenn dann noch etwas über ist, komme ich wieder.

Danke euch erstmal bis hier her.

Mist, ich glaube mein Beitrag eben war zu lang.

Der letzte Log von Antivir (vor escan und hijack):

Start des Suchlaufs: Sonntag, 16. Januar 2005 01:58

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK
Bootsektor von Laufwerk F: OK

C:\Dokumente und Einstellungen\anna\Anwendungsdaten\Coder\45700-joke-0-0-
gn.exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301179 (Dialer) und wurde vom Benutzer unterdrückt.
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32
iecust.dll
[FUND!] Ist das Trojanische Pferd TR/Drp.Small.OW.1
WURDE GELÖSCHT!
Q18462109.dll
[FUND!] Ist das Trojanische Pferd TR/Drp.Chsea.A.1
WURDE GELÖSCHT!
wncust.exe
[FUND!] Ist das Trojanische Pferd TR/Drp.Small.OW.3
WURDE GELÖSCHT!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Fehler beim Wechsel in das Verzeichnis System Volume Information

E:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Sonntag, 16. Januar 2005 02:11
Benötigte Zeit: 12:49 min

2123 Verzeichnisse wurden durchsucht
26292 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Viren bzw. unerwünschte Programme wurden gefunden

Log von Escan (alle Funde bis auf die beiden *not-a-virus* habe ich gelöscht):

Mon Jan 17 23:37:46 2005 => ***** Checking for specific ITW Viruses *****
Mon Jan 17 23:37:47 2005 => Checking for Welchia Virus..
Mon Jan 17 23:37:47 2005 => Checking for LovGate Virus...
Mon Jan 17 23:37:47 2005 => Checking for CodeRed Virus...
Mon Jan 17 23:37:47 2005 => Checking for OpaServ Virus..
Mon Jan 17 23:37:47 2005 => Checking for Sobig.e Virus...
Mon Jan 17 23:37:47 2005 => Checking for Winupie Virus...
Mon Jan 17 23:37:47 2005 => Checking for Swen Virus...
Mon Jan 17 23:37:47 2005 => Checking for JS.Fortnight Virus...
Mon Jan 17 23:37:47 2005 => Checking for Novarg Virus...
Mon Jan 17 23:37:47 2005 => Checking for Pagabot Virus...
Mon Jan 17 23:37:47 2005 => Checking for Parite.b Virus...
Mon Jan 17 23:37:47 2005 => Checking for Parite.a Virus...

Mon Jan 17 23:37:47 2005 => ***** Scanning complete. *****
Mon Jan 17 23:37:48 2005 => Total Files Scanned: 28208
Mon Jan 17 23:37:48 2005 => Total Virus(es) Found: 13
Mon Jan 17 23:37:48 2005 => Total Disinfected Files: 0
Mon Jan 17 23:37:48 2005 => Total Files Renamed: 0
Mon Jan 17 23:37:48 2005 => Total Deleted Files: 0
Mon Jan 17 23:37:48 2005 => Total Errors: 14
Mon Jan 17 23:37:48 2005 => Time Elapsed: 01:45:16
Mon Jan 17 23:37:48 2005 => Virus Database Date: 2005/01/17
Mon Jan 17 23:37:48 2005 => Virus Database Count: 115848

Mon Jan 17 23:37:48 2005 => Scan Completed.

Und das Log von hijack im normalen Modus:

Logfile of HijackThis v1.99.0
Scan saved at 00:00:40, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\winapps\tools\AntiVir\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\winapps\tools\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\winapps\tools\DaemonTools\daemon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\hphmon04.exe
C:\winapps\tools\ICQLite\ICQLite.exe
C:\winapps\tools\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\HPHipm11.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\michael\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\winapps\tools\AdobeReader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\winapps\tools\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\winapps\tools\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\winapps\tools\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\winapps\tools\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\winapps\tools\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\winapps\tools\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\winapps\BRO~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{C775359B-F2D6-4293-B1E9-1EDB61E362A9}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\winapps\tools\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\winapps\tools\AntiVir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

Zur Zeit läuft alles ohne Probleme, ist der Spuk vorbei? :heilig:

@ nordlicht

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst/brauchst:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = h**p://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung. Boote neu.

Zitat:

Log von Escan (alle Funde bis auf die beiden *not-a-virus* habe ich gelöscht): Mon Jan 17 23:37:48 2005 => Total Virus(es) Found: 13

--> gib bitte die Namen dieser 13 Viren an: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)