Wieder ein Problem :-( bitte log prüfen!
 

Guten Tag,
ich habe bereits im August bei euch gepostet und dank eurer Hilfe mein System gereinigt. Doch nun scheint es als hätte ich mir was neues eingefangen, und das trotz Norton Antivirus2003.
Jedesmal wenn ich windows starte öffnet sich ein Fenster mit der Aufforderung eine unbekannte Datei namens igfxtray.exe zu öffnen, nur handelt es sich hier um ein Trojaner, stimmts?
Zusätzlich öffnen sich pausenlos Fenster von ContraVirus mit der Behauptung 22 dangerous infections gefunden zu haben und dass obwohl ich mir ContraVirus nie heruntergeladen habe, und wie gesagt Norton pausenlos rauf und runter läuft und nix findet!!!
Eigentlich funktioniert ansonsten alles normal, auch wenn der internetexplorer ab und zu verlangsamt arbeitet, aber die ganzen Meldungen nerven mit der Zeit!
Ich bitte um Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 12:10:00, on 08.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gadu-Gadu\gg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\ContraVirus\ContraVirusPro.exe
C:\Programme\ContraVirus\ContraVirusPro.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programme\ContraVirus\secieaddin.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe
O4 - HKLM\..\Run: [ContraVirus] C:\Programme\ContraVirus\ContraVirusPro.exe /s
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Nur mal eine Frage: Wird das Prog überhaupt noch geupdatet?
Norton Antivirus hat in letzter Zeit sowieso einige Probleme mit der Erkennung.

Hallo,

Nein, überhaupt nicht :rolleyes:, Der ist nur tief in deinem
System verankert.

Führe bitte einen escan durch, damit sehen wir, ob eine
Bereinigung überhaupt sinnvoll ist.

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

@Cleriker:
So was muss man sich nicht bewusst herunterladen bzw. installieren. Es findet seinen Weg auch so:
Quelle

@all,

danke erstmal für die schnelle Antwort. Ich werde nun den escan durchführen und melde mich dann wieder.
PS: Wenn es um Compter geht, habe ich sogut wie null ahnung und steh dann mal öffters auf der Leitung, darum wird das ganze wohl etwas länger dauern!

@blow-in:
Norton-update läuft bis dato wie geschmiert und auch sonst scheint das Programm normal zu laufen, nur findet/löscht es mir verflixten Viren nicht:-(

HILFE!!!
Laut Anleitung muss ich den escan im abgesicherten Modus starten, stimmts?
Doch irgendwie komme ich nicht in diesen Modus:
Beim Hochfahren drücke ich F8, dann werde ich gefragt, welcher abgesicherter Modus gestartet werden soll, es stehen 3(hab vergessen wie die heisen) zur Auswahl, doch keiner funktioniert! Jedesmal sitze ich dann nur vor einem schwarzen Bildschirm.
Was mache ich falsch???

Eigentlich müsste bei jedem ein farbiger Bildschirm kommen,
(kann auch schwarz sein), wobei an den Rändern
"Abgesicherter Modus" steht und ein Hinweis kommt.
Das sieht dann aus, wie eine abgerüstete Win-Variante.
Solltest du es nicht in den abgesicherten Modus schaffen, führe
den escan im normalen Modus durch.

mfg Cleriker

Sorry, der eScan hat doch länger gedauert als ich dachte, aber ich hab´s geschafft- im abgesicherten Modus, k.a. warum es vorher nicht geklappt hat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "expertantivirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "expertantivirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({99a753c6-e429-46bd-989e-dd4a21cd059d})! Action taken: Keine Aktion vorgenommen.
System found infected with ad-protect rogue antispyware Corrupted Adware/Spyware ({bbbd3e11-d201-46c9-8471-091d33159287})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware (contravirus 2.0.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware (contravirus 2.0.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware (contravirus 2.0.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\User\Anwendungsdaten\microsoft\internet explorer\quick launch\contravirus 2.0.lnk
Offending file found: C:\Dokumente und Einstellungen\User\Desktop\nicht verwendete desktopverknüpfungen\contravirus 2.0.lnk
Offending file found: C:\Dokumente und Einstellungen\User\Startmenü\contravirus 2.0.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\contravirus
Offending Folder found: C:\DOKUME~1\User\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\programme\contravirus
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\Programme\contravirus
Offending Folder found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temp\sw
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\contravirus.exe !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\contravirus !!!
Offending Key found: HKLM\Software\contravirus !!!
Offending Key found: HKCU\software\microsoft\office\outlook\addins\ad-protect.addin.1 !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\contravirus !!!
Offending Key found: HKCU\\ad-protect.addin !!!
Offending Key found: HKCU\\ad-protect.addin.1 !!!
Offending Key found: HKCU\\spamdet.spamdetector !!!
Offending Key found: HKCU\\spamdet.spamdetector.1 !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\User\LOKALE~1\TEMPOR~1\Content.IE5\OHMZ4XYR\hijackthis[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\User\LOKALE~1\TEMPOR~1\Content.IE5\OHMZ4XYR\HiJackThis_v2[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHMZ4XYR\hijackthis[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHMZ4XYR\HiJackThis_v2[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\S-1-5-21-606747145-1580818891-1343024091-1003\Dc91.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 133198
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 88
Dauer des Scans bisher: 01:43:54
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:05:30,52
Batchende: 23:05:55,25

Irgendwie fehlen mir da ein paar
Infected Files, die ich oben in
Vermutung hatte. Kann das sein,
dass der escan abgebrochen wurde,
auch wenn er nach ziemlich lang aussieht.
mfg Cleriker

Also, abgebrochen habe ich nichts, und das Prog lief eigentlich auch ganz normal durch, ohne Meldungen eines Abbruches oder Störung oder sonst was, aber ich kann´s ja nochmal versuchen.
Du hast dich über die länge des Scans gewundert, dauert das ganze normal nicht so lange???

hm, also noch mal von vorn. Bei der eScan Anleitung steht unter Punkt 8(ohne Router): START, ausführen, mwavscan.com! Funktioniert bei mir aber irgendwie nicht, denn es öffnet sich nur ein Fenster mit dem Text: mwavscan.com ist keine zulässige Win 32-Anwendung!
Also starte ich das Prog über den Desktop per Doppelklick.
So ziehmlich zu Beginn des Scans wird der ganze Vorgang kurz unterbrochen, ein neues Fenster öffnet sich mit dem Text: Spyware/ Adware entdeckt!!! Sie müssen die Vollversion haben um den Spyware/Adware zu entfernen. Klicken sie auf eScan erwerben, um zum webshop zu gelangen!
Dannach klicke ich auf ok, und der Scan wird fortgeführt.
@Cleriker: Ist dies für dich ein Abbruch, mache ich irgendwas falsch?:confused:

Ich poste das neu Ergebnis nochmal, k. a. ob es sich vom ersten unterscheidet. Bitte um hilfe, den ich bin echt ratlos, und ich möchte nicht schon wieder das komplette System neu instalieren:(

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "expertantivirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "expertantivirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({99a753c6-e429-46bd-989e-dd4a21cd059d})! Action taken: Keine Aktion vorgenommen.
System found infected with ad-protect rogue antispyware Corrupted Adware/Spyware ({bbbd3e11-d201-46c9-8471-091d33159287})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware (contravirus 2.0.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware (contravirus 2.0.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware (contravirus 2.0.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\User\Anwendungsdaten\microsoft\internet explorer\quick launch\contravirus 2.0.lnk
Offending file found: C:\Dokumente und Einstellungen\User\Desktop\nicht verwendete desktopverknüpfungen\contravirus 2.0.lnk
Offending file found: C:\Dokumente und Einstellungen\User\Startmenü\contravirus 2.0.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\contravirus
Offending Folder found: C:\DOKUME~1\User\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\programme\contravirus
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\Programme\contravirus
Offending Folder found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temp\sw
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\contravirus.exe !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\contravirus !!!
Offending Key found: HKLM\Software\contravirus !!!
Offending Key found: HKCU\software\microsoft\office\outlook\addins\ad-protect.addin.1 !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\contravirus !!!
Offending Key found: HKCU\\ad-protect.addin !!!
Offending Key found: HKCU\\ad-protect.addin.1 !!!
Offending Key found: HKCU\\spamdet.spamdetector !!!
Offending Key found: HKCU\\spamdet.spamdetector.1 !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\User\LOKALE~1\TEMPOR~1\Content.IE5\OHMZ4XYR\hijackthis[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\User\LOKALE~1\TEMPOR~1\Content.IE5\OHMZ4XYR\HiJackThis_v2[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHMZ4XYR\hijackthis[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHMZ4XYR\HiJackThis_v2[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\S-1-5-21-606747145-1580818891-1343024091-1003\Dc91.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 133991
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 88
Dauer des Scans bisher: 01:20:17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:08:55,74
Batchende: 16:10:08,25

Also na dann....

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

* CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Anschließend bitte nochmal Hijackthis-/escan und dann
müsste es das gewesen sein, wenn die Ergebnisse stimmen.

mfg Cleriker

Ganz ehrlich, ich versteh nur Bahnhof:confused:, für einen Laien hört sich das ganze aber auch ziemlich kompliziert an, trotzdem, vielen dank für die Anleitung, wenn´s sein muss arbeite ich die Nacht durch:sleepy:

Hier Teil1.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vgkkodxb

*******************

Script file located at: \??\C:\kttguvyx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\ContraVirus\ContraVirusPro.exe deleted successfully.
File C:\Programme\ContraVirus\secieaddin.dll deleted successfully.
File C:\WINDOWS\system32\xpuupdate.exe deleted successfully.
Folder C:\Programme\ContraVirus deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hier Teil2.

Logfile of HijackThis v1.99.1
Scan saved at 23:45:50, on 09.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hmmm, System bereinigen, liest sich so einfach, doch gehts bitte bissl genauer. Ich weiss nämlich nicht so genau wo ich überall links ein Häckchen setzten soll. Ich hab Angst irgendwas wichtiges zu löschen. Ich hab, sagen wir mal mit dem cleaner zum Teil schon angefangen, und die Contravirusmeldungen sind tatsächlich weg. Dieses trojanische Pferd igfxtray.exe meldet sich beim System hochfahren aber immer noch und will geöffnet werden!!! Also war das ganze Vorhaben bis jetzt noch erfolglos, oder?

Der eScan folgt sogleich.

Achja, noch was wichtiges... Besteht für Computer die am selben Netzwerk angeschlossen sind Gefahr, denn ausgerechnet heute ist ein PC mit div. extrem wichtigen Inhalten abgestürzt!?!?

Moin

Die häkchen kannst du lassen wie sie sind und das ein System zerschossen wurde mit dem Ccleaner ist mir nicht bekannt.

"Der" kann so schlimm nicht sein...

Nicht wenn du eine Onboard Grafiklösung von Intel nutzt, das Contravirus Problem ist doch erlegt.
igfxtray.exe - igfxtray - Process Information

MFG

Hier der eScan, es wurde doch noch was gefunden!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\programme\contravirus
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\Programme\contravirus
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\contravirus !!!
Offending Key found: HKCU\software\microsoft\office\outlook\addins\ad-protect.addin.1 !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\contravirus !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\System Volume Information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}\RP82\A0006393.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 56436
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 1
Dauer des Scans bisher: 00:29:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 2:02:39,90
Batchende: 2:04:06,96

Könnte sich bitte, bitte noch einer von euch den letzten eScan anschauen!!!

Hallo,

na das sieht doch ganz gut aus, obwohl ich bei
den Scans nicht wirklich auf eine Übereinstimmung
treffe.

Folgendes noch zur Versvollständigung:

1)Lösche folgenden Ordner:
2)Lösche folgenden Registryeinträge:
(Start > Ausführen > regedit)
3) Leere den Papierkorb

und folgendes zur deiner Absicherung

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

und das noch zur meiner Absicherung bezüglich diesem Eintrag:
* Schädlinge in der Systemwiederherstellung
- Deaktiviere die Systemwiederherstellung und wechsel
in den abgesichteren Modus -> Anleitung
- Überprüfe mit deinem Antivirscanner die localen Festplatten
- Neustart

Melde dich dann nach einem Java-Update mit
einem aktuellen hijackthislog+escanlog

mfg Cleriker

Ich hoffe, das ist das Richtige:

Datei igfxtray.exe_ empfangen 2007.11.13 00:17:39 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 36 und 52 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.13.0 2007.11.12 -
AntiVir 7.6.0.34 2007.11.13 -
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.12 -
AVG 7.5.0.503 2007.11.12 -
BitDefender 7.2 2007.11.12 -
CAT-QuickHeal 9.00 2007.11.12 -
ClamAV 0.91.2 2007.11.12 -
DrWeb 4.44.0.09170 2007.11.12 -
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5290 2007.11.12 -
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.10 -
F-Secure 6.70.13030.0 2007.11.12 -
Ikarus T3.1.1.12 2007.11.12 -
Kaspersky 7.0.0.125 2007.11.12 -
McAfee 5161 2007.11.12 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2653 2007.11.12 -
Norman 5.80.02 2007.11.12 -
Panda 9.0.0.4 2007.11.12 -
Prevx1 V2 2007.11.13 -
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.12 -
Sunbelt 2.2.907.0 2007.11.12 -
Symantec 10 2007.11.12 -
TheHacker 6.2.9.124 2007.11.12 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.12 -
Webwasher-Gateway 6.0.1 2007.11.12 -
weitere Informationen
File size: 155648 bytes
MD5: cc0292a55f4ef107d3502f293170a13c
SHA1: fcd181c8d65b92a36aae1d1eb4733e2451a05cd6

Datei A0006393.exe_ empfangen 2007.11.13 00:30:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.13.0 2007.11.12 -
AntiVir 7.6.0.34 2007.11.13 -
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.12 -
AVG 7.5.0.503 2007.11.12 -
BitDefender 7.2 2007.11.12 -
CAT-QuickHeal 9.00 2007.11.12 -
ClamAV 0.91.2 2007.11.12 -
DrWeb 4.44.0.09170 2007.11.12 -
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5290 2007.11.12 -
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.10 -
F-Secure 6.70.13030.0 2007.11.12 -
Ikarus T3.1.1.12 2007.11.12 -
Kaspersky 7.0.0.125 2007.11.12 -
McAfee 5161 2007.11.12 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2653 2007.11.12 -
Norman 5.80.02 2007.11.12 -
Panda 9.0.0.4 2007.11.12 -
Prevx1 V2 2007.11.13 -
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.12 -
Sunbelt 2.2.907.0 2007.11.12 -
Symantec 10 2007.11.12 -
TheHacker 6.2.9.124 2007.11.12 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.12 -
Webwasher-Gateway 6.0.1 2007.11.12 Win32.Malware.dam (suspicious)
weitere Informationen
File size: 205948 bytes
MD5: 2556f2e29e2967cd83676232ff7c1c57
SHA1: 4a994669290b73a445ba58e16cfa5942bf4e0513
packers: PE_Patch

Logfile of HijackThis v1.99.1
Scan saved at 01:41:39, on 13.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.5.0_12\bin\jucheck.exe
C:\WINDOWS\System32\msiexec.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Ich glaube, ich bin ziemlich dumm,
und laufe nur im Kreis herum!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "contravirus Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\programme\contravirus
Offending Folder found: C:\Dokumente und Einstellungen\User\Startmenü\Programme\contravirus
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\contravirus !!!
Offending Key found: HKCU\software\microsoft\office\outlook\addins\ad-protect.addin.1 !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\contravirus !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 48824
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 0
Dauer des Scans bisher: 00:31:57
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 2:29:22,14
Batchende: 2:29:29,58

Für mich sieht es so aus, als hast du die Punkte
1-3 sowie "Schädlinge in der Systemwiderherstellung" vergessen.
Falls dein AV-Tool im abgesicherten Modus nichts findet:
* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

mfg Cleriker

Ich hab´s ja versucht, nur konnte ich die Ordner und Registryeinträge nicht finden. Bei "Schädlinge in der Systemwiederherstellung" hat der Antivirenscanner auch nix gefunden.
Und so wie es ausschaut existiert die file die du mir angegeben hast auch nicht...es sei denn ich mach wie immer alles falsch:headbang:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fmwlxfpi

*******************

Script file located at: \??\C:\WINDOWS\ebikoqhu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\System Volume Information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}\RP82\A0006393.exe for deletion
Deletion of file C:\System Volume Information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}\RP82\A0006393.exe failed!

Could not process line:
C:\System Volume Information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}\RP82\A0006393.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

Noch ne kurze Frage:

Erinnerst du dich, ich sollte mal mit dem CCleaner das ganze System reinigen, hab ich gemacht, bis alles sauber war, bis auf eine Datei, die immer wieder auftaucht, egal wie oft ich sie lösche:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\689211B7.TMP
Ist das gut oder schlecht oder egal???

Langsam wirds für mich komisch. Arbeite
die Punkte jetzt genau so ab. Wenn ein
Punkt nicht klappt, frage sofort nach und
führe nicht die anderen Punkte durch:

1. Du bist im normalen Modus auf deinem Desktop
2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
- Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
- Geschützte Systemdateien ausblenden -> Haken weg
- Inhalte von Systemordnern anzeigen -> Haken setzen
- Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
3. Wechsel in den folgenden Pfad:
(Falls du User für einen anderen Namen eingesetzt hast, denke daran)
4. Lösche hier den Ordner contravirus (falls vorhanden)
5. Deaktiviere nun die Systemwiderherstellung -> Anleitung
6. Wechsel in den abgesicherten Modus: Neustart+F8 drücken
7. Wechsel nun in den folgenden Ordner:
8. Lösche hier die Datei A0006393.exe (wenn vorhanden)
9. Wechsel in die Regestry 10. Switche in den folgenden Pfad innerhalb der Registry:
sowie
11. Lösche hier den Ordner contravirus
12. Leer den Papierkorb und starte den Rechner neu

Edit: Deine Temp-Datei scheint harmlos zu sein,
sie kam in keinem Scan vor

mfg Cleriker

Ersteinmal DANKE, dass du soviel Gedult mit mir hast.
Also, bis Punkt 6 hat alles geklappt, doch dann
Antwort: Auf C:\System Volume Information kann nicht zugegriffen werden. Zugriff verweigert.
Also konnte ich die Datei A0006393.exe nicht löschen und habe auch die nachfolgenden Punkte nicht durchgeführt.

Ich hoffe damit gehts:

Hab alles so gemacht wie angegeben, und konnte tatsächlich C:\System Volume Information öffnen, allesdings steht da, dass der Ordner C:\System Volume Information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}\RP82 nicht gefunden werden konnte und ich prüfen soll ob der Pfad richtig ist!
Was nun?

Wenn du durch die Pfade klickst...
Bis wohin kommst du:
1) C:\System Volume Information
2) C:\System Volume information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}
3) C:\System Volume Information\_restore{64C4447B-D398-4729-964A-E14057DB04C0}\RP82

Wenn du die dritte Möglichkeit nicht mehr realisieren kannst, bedeutet
dass der schadhafte Ordner und die darin enthaltenen Datei schon
gelöscht ist. In dem Falls führe die darauffolgenden Punkte aus.

mfg Cleriker

So! Nun bin ich mit Punkt 1 bis 12 durch!
Nur ganz nebenbei, dieses igfxtray.exe-Fenster öffnet sich immer noch...

Also . . .

igfxtray.exe ist der Prozess für den einen Intel Grafik Treiber.

a) Hast du keinen Intel, müssen wir den nochmal unter die Lupe nehmen.

b) Hast du einen und willst einfach bloß diesen automatischen Start
unterdrücken, mach folgendes:
* HijackThis - Fix Cecked
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
- Scrolle nach unten und klicke auf "Fix checked"

Wird der Vorgang gesperrt, führe die Operation
im abgesicherten Modus durch.

mfg Cleriker

Wow, ich glaub, das war´s. Hier zur Sicherheit noch eScan/Hijackthis.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\office\outlook\addins\ad-protect.addin.1 !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 51396
Gefundene Viren: 10
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 1
Dauer des Scans bisher: 00:21:17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:29:12,16
Batchende: 13:29:29,01

PS: Danke für alles:aplaus:

Logfile of HijackThis v1.99.1
Scan saved at 13:31:50, on 14.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

jep, sieht alles sauber aus.
Bis hoffentlich nicht so bald :)

Viel spaß beim Surfen
mfg Cleriker

Es ist mir fast schon unangenehm, aber eine Frage hab ich noch:
Die ganzen Einstellungen, die ich geändert habe, z. B. die Ordneroptionen im Explorer, oder das Zeug von sollte ich wieder zurücksetzen, oder?

Ja gut dass du das fragst,

-die Systemwiderherstellung wieder aktivieren,
falls du sie wirklich mal benötigst.
-Die Einstellungen bez. der angezeigten Ordner
und Dateien kannst / solltest du auch wieder
zurück setzen. Ist sicherer für dich :)