Guten Morgen...

Also ich hab mir da anscheinend was eingefangen, mir kommt da so einiges auf meinem System spanisch vor. Könnte vielleicht jemand mal meim Logfile checken?! Hab ja gesehen, dass ihr hier gut helfen könnt

Logfile of HijackThis v1.98.2
Scan saved at 11:08:49, on 14.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\vpc32.exe
C:\Programme\phonostar\ps_agent.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\-- SYSTEM --\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=fntldr.exe
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {26AED0B8-882B-4BE3-B882-6A41494B6329} - C:\WINDOWS\System32\nakbjd.dll (file missing)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Startup: Trillian Pro.lnk = C:\Programme\Trillian\trillianpro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3872700764
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.rempp.ipactive.de:8081/activ ... ontrol.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.latschenhof-websline.com/ITm ... survid.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D9EF4DB-3343-4210-93E9-2D3D53724F08}: NameServer = 213.191.74.19 213.191.92.86
O18 - Filter: text/html - {A026D3F1-72B1-4B48-935D-1E982A30F9B5} - C:\WINDOWS\System32\nakbjd.dll
O18 - Filter: text/plain - {A026D3F1-72B1-4B48-935D-1E982A30F9B5} - C:\WINDOWS\System32\nakbjd.dll


DANKE!

Hallo@chris2104

Wenn es dir nicht zu schwer faellt, solltest du Windows neuinstallieren.

Reinigungsversuch:

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Start<Ausfuehren<cmd
kopiere rein rein: c:\windows\win.ini
<click o.k.
der MS-DOS Editor oeffnet sich

suche einen Eintrag:
win.ini: run=fntldr.exe
<loesche diese Zeile rechts von run

# Click File > Save.
# Click File > Exit.
....................................................................

Gehe in die Registry
Start<Ausfuehren<regedit
gib oben links in die Suchfunktion der Registry ein.
<Microsoft Update
<vpc32.exe
<nakbjd
<fntldr
und loesche RECHTS in der Registry, alles, was du findest (!)
.................................................................................................
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
"Search"="<WebAddress>"

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Styles
"User Stylesheet"="%Windir%\hh.htt"
"Use My Stylesheet"= dword:00000001-->aendere in "0" [dword:00000000]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
"Search Assistant"="<WebAddress>"
"CustomizeSearch"="<WebAddress>"

<HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
"ReconfLast"=dword:07D30C01

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer
"Search"="<WebAddress>"
"SearchURL"="<WebAddress>"

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
"Start Page"="<WebAddress>"
"Search Page"="<WebAddress>"
"Default_Search"="<WebAddress>"
"Default_Page"="<WebAddress>"
"Use SearchAssistant"= "yes"-->aendere in "no"
"Search Bar"="<WebAddress>"

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Search
"Search Assistant"="<WebAddress>"
"CustomizeSearch"= "<WebAddress>"

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles
"User Stylesheet"="%Windir%\Web\tips.ini"
"Use My Stylesheet"= dword:00000001-->aendere in "0" [dword:00000000]

und loesche RECHTS in der Registry, alles, was du findest (!)

schliesse die Registry.
.................................................................................................................
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=fntldr.exe
O2 - BHO: (no name) - {26AED0B8-882B-4BE3-B882-6A41494B6329} - C:\WINDOWS\System32\nakbjd.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O18 - Filter: text/html - {A026D3F1-72B1-4B48-935D-1E982A30F9B5} - C:\WINDOWS\System32\nakbjd.dll
O18 - Filter: text/plain - {A026D3F1-72B1-4B48-935D-1E982A30F9B5} - C:\WINDOWS\System32\nakbjd.dll
neustarten

#oeffne das HijackThis:
<HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\System32\vpc32.exe
wenn gefragt wird, ob neugebootet werden soll, klicke auf "no" und kopiere rein:
C:\WINDOWS\System32\nakbjd.dll
jetzt klicke auf "yes", damit der PC neubootet.

(wenn es nicht klappt, loesche alles einzeln und boote jedesmal neu)

loesche auch:
<fntldr.exe
<%Windir%\Web\tips.ini
<%Windir%\hh.htt

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
.........................................................................................................
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe (setze alle Haekchen und scanne)

Dann berichte mir, welche Eintraege in der Registry du gefunden und geloescht hast, was der eScan geloescht hat und poste das neue Log vom HijackThis.

mfg
Nikita

Okay, besten dank schonmal!!!
Ich komm allerdings erst heut Abend dazu, werd dir dann berichten, was es gebrach hat!

Also, hier die Sachen, die du nochmal haben wolltest:

<Microsoft Update = jede menge
<vpc32.exe = einige
<nakbjd = nichts
<fntldr = nichts
und loesche RECHTS in der Registry, alles, was du findest (!)
.................................................................................................
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
"Search"="<WebAddress>" JA

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Styles
"User Stylesheet"="%Windir%\hh.htt" JA
"Use My Stylesheet"= dword:00000001-->aendere in "0" [dword:00000000] NEIN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
"Search Assistant"="<WebAddress>" JA
"CustomizeSearch"="<WebAddress>" JA

<HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
"ReconfLast"=dword:07D30C01 NEIN

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer
"Search"="<WebAddress>" NEIN
"SearchURL"="<WebAddress>" NEIN

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main NEIN
"Start Page"="<WebAddress>"
"Search Page"="<WebAddress>"
"Default_Search"="<WebAddress>"
"Default_Page"="<WebAddress>"
"Use SearchAssistant"= "yes"-->aendere in "no"
"Search Bar"="<WebAddress>"

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Search NEIN
"Search Assistant"="<WebAddress>"
"CustomizeSearch"= "<WebAddress>"

<HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles NEIN
"User Stylesheet"="%Windir%\Web\tips.ini"
"Use My Stylesheet"= dword:00000001-->aendere in "0" [dword:00000000]

loesche auch:
<fntldr.exe nicht gefunden
<%Windir%\Web\tips.ini nicht gefunden
<%Windir%\hh.htt nicht gefunden


# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


--> Nur localhost stand drin, ich habs so gelassen!
.........................................................................................................

ESCAN hat folgendes gelöscht:

File C:\WINDOWS\wsem216.dll infected by "TrojanDownloader.Win32.Dyfuca.z" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
(Das müsste das WinDSL Tool von meinem ex-provider sein)


-------------------------------------------------------------------------
-------------------------------------------------------------------------
-------------------------------------------------------------------------

HIER DAS NEUE LOG:


Logfile of HijackThis v1.98.2
Scan saved at 18:49:42, on 14.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\phonostar\ps_agent.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\NOTEPAD.EXE
D:\-- SYSTEM --\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame

Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Startup: Trillian Pro.lnk = C:\Programme\Trillian\trillianpro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame

Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} -

C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -

http://messenger.zone.msn.com/binary/ms ... b28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -

http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v ... 3872700764
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -

http://www.rempp.ipactive.de:8081/activ ... ontrol.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) -

http://www.latschenhof-websline.com/ITm ... survid.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab

Hallo@chris2104

Wie kommst du darauf, dass der Thread geloescht wurde ???????

Sowas passiert hier nicht.

Oeffne das HijackThis.

falls es noch da ist.....

HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\wsem216.dll
PC neustarten

Dann deaktiviere die Wiederherstellung , boote und aktiviere sie wieder.

Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

Backdoor
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
<C:\WINDOWS\System32\vpc32.exe [97280 bytes]

die Mutexe vom Wurm heissen:
< JuVeOwnZ
< doom3-keygen
..............................................................................................
* Looks for an Internet connection.
* Connects to "owning.ath.cx" on port 153 (TCP)
Network services ]
* Connects to IRC Server.
[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.
[ Process/window information ]
* Creates a mutex [JuVeOwnZ].
* Will automatically restart after boot (I'll be back...). (34.60 seconds taken)

<Sygate (Deutsch)Firewall laden(!)
http://www.sygate.de/

Das Log ist sauber

mfg
Nikita

Aaach, du hast ihn nur umbenannt Sag das doch ^^
Ich werds jetzt tun...

Sooo, wunderbest. Hab das alles gemacht.

Die Sygate werd ich mal laden, zonealarm scheints wohl net sooo zu tun.

Hast du auch noch ne Empfehlung für Virenscanner? Hab im Mom Antivir laufen...

Hallo@

Der Antivirus (free) ist ein guter Antivirus (nur in letzter Zeit "hinkt" er ein bisschen, denn er kann keine gepackten (zip, usw) Viren loeschen und die zahlreichen Backdoors (Randex), die zur Zeit rumschwirren , erkennt er auch nicht.

Aber dafuer eine gute Nachricht:

Mutmaßlichen Entwickler des Trojaners "Randex" festgenommen.
.......dass Virenschreiber die Adressen von mit Trojanern infizierten
Rechnern gegen Bezahlung an Spammer weitergeben. Diese nutzen
die befallenen Systeme, um -- von den Besitzern der Rechner
unbemerkt -- illegal Werbemails zu verteilen. Außerdem haben die
Virenverbreiter mit ihrem Netzwerk aus Trojanern eine
wirkungsvolle Waffe in der Hand, um etwa verteilte
DoS-Attacken zu fahren........

http://www.heise.de/security/result.xht ... rds=Randex

......................................................................................................................................

#Trial versions of F-Prot Antivirus
http://www.f-prot.com/download/corporate/trial/

#Testversion "F-Secure Internet Security 2005"
http://esd.element5.com/demoreg.html?pr ... e39bc82919

Aktuelle Version der Shareware von F-PROT (DOS-Scanner)
Lade von dieser Seite:
http://www.f-prot.de/down/tools-f.php
FP-315B.ZIP Dateigröße: ca. 2418 kB vom 07.10.2004
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.

#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]

http://www.kaspersky.com/trials
http://www.kaspersky.com/trials?chapter=146481750

#Antivirus (free)
http://www.free-av.de/

#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen.

mfg
Nikita

Echt mega viel Danke (was für ein Deutsch *g*) für die gute Hilfe!!

Eine Frage hab ich aber noch:
Und zwar meldet Sygate öfters mal, dass die Anwendung "NDIS User mode I/O Driver" ne Verbindung haben will. Was isn das? Erlauben oder nicht???

Und noch ne Frage:

c:\hiberfil.sys

Wird beim Virenscan immer gemeldet, dass die nicht gescannt werden kann. Ist das ne Systemdatei die gesperrt ist, oder noch eine, die ich nicht haben will???

Hallo@chris2104

<die Anwendung "NDIS User mode I/O Driver" kannst du durchlassen...das ist dein Modem.

<Datei für den Ruhezustand (PC)ist die hiberfil.sys.
Also kein Problem.

mfg
Nikita

Nochmal besten Dank, es funzt alles wieder so reibungslos. Echt toll