Hallo zusammen...
bin durch google auf dieses Forum gekommen... und wollte ma versuchen,ob mir viellleicht hier jmd weiterhelfen kann!?

Also: seit ein paar tagen erstellen sich immer so kommische datein von selbst auf meinem desktop und auch in anderen ordnern! die datein heissen xxx und haben einen frauenkopf als symbol!!!diese datein erstellen sich immer wieder...und das internet wird nach kurzer zeit getrennt!!
desweiteren spinnt mein i-net explorer auch gewaltig rum!!!ich benutze antivir und immer wenn ich den explorer öffne...kommen gleich 10 virusmeldungen (trojanisches pferd oder so)

Ich kenn mich leider nich so gut mit der entfernung von viren aus...
auch nicht mit diesem Hijack This...kann euch aber mal den log geben!
ich hoffe jmd kann mit dieser beschreibung des problems was anfangen...

Logfile of HijackThis v1.97.7
Scan saved at 16:54:40, on 14.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\d3dg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\winhost.exe
C:\WINNT\Lan.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINNT\system32\systime.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINNT\system32\twink64.exe
C:\WINNT\netii32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\d?dplay.exe
C:\Dokumente und Einstellungen\Trabelsi\Anwendungsdaten\usat.exe
C:\DOKUME~1\Trabelsi\LOKALE~1\Temp\mshtm.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\system32\wuauclt.exe
C:\DOKUME~1\Trabelsi\LOKALE~1\Temp\sa1B.tmp.exe
C:\Programme\Opera7\Opera.exe
C:\Programme\ArcorDSL\ArcorDSL.exe
C:\Program Files\Hi Jack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.stepinworld.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://pornsexarchives.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.stepinworld.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.stepinworld.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.stepinworld.com
R1 - HKLM\Software\Microsoft\Internet Explorer,Start Page = http://www.stepinworld.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\qriik.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\qriik.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.stepinworld.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://more-pages.com/search/
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\system32\msacmx.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [Leql] C:\WINNT\system32\d?dplay.exe
O4 - HKCU\..\Run: [Lcoo] C:\Dokumente und Einstellungen\Trabelsi\Anwendungsdaten\usat.exe
O4 - HKCU\..\Run: [Update] C:\DOKUME~1\Trabelsi\LOKALE~1\Temp\mshtm.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: SideFind (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {037DAD0D-991A-3BD5-12B1-4CA826619B27} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {05B31F9A-2AF3-1AD7-3445-40D370DDA08C} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {07CD78E6-B409-48F5-5C27-159C3CE706A7} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.54:80/iex/ofile.exe?url=http://209.8.161.54:80/rdgDE897.exe
O16 - DPF: {155EA661-FB6F-1694-7F94-34A53CAEAD0D} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 30270dab45
5d0e176941480ba0fc85f2978d245429f93809c10f10b815c8a96c9b
a5c54063f7603d4945ab86ee97ff22322f046:375a82d108ec2e9d58
4f880889783bc3
O16 - DPF: {2A08AD7E-2EE3-1C5A-7F49-20382F5329BC} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {2DE8B195-8BB9-36A2-5886-395445DB0C92} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {2E8EA001-8D85-7AB0-EA70-26C84AE04BD8} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {35AD282C-37E8-55A6-90A6-1E0F44805FF0} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {39125343-6079-0F4C-48F9-141758E2593C} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {39EB3E97-0C7B-50E1-D0A5-50AD523A7877} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {46CA1A9B-72F7-4850-8702-43EF500D93DD} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {4C031678-0984-3C6D-E46C-63773BADBE66} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {628D7849-992D-77BB-232D-149E6DCB3D6C} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {68104BA7-CE53-2EBE-E159-2F6331956A04} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx3.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {7691CDDD-EC9D-6398-170E-23EB6A2B55C9} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {778F17FB-F17A-03DC-9577-3BE7349E3686} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/a4/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE905_100.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{07DAB2D5-8B5C-43E0-9D5C-09396CBFDD0B}: NameServer = 145.253.2.196 195.50.140.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{07DAB2D5-8B5C-43E0-9D5C-09396CBFDD0B}: NameServer = 145.253.2.196 195.50.140.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{07DAB2D5-8B5C-43E0-9D5C-09396CBFDD0B}: NameServer = 145.253.2.196 195.50.140.250

Mamamia… damit wird Nikita wohl ne menge Arbeit haben, der ist ja restlos verseucht, kann man ja kaum noch zählen. *g*

Deshalb ist die logfile auch so lang, weil es da fast mehr Viren wie sonstiges gibt!?


Grüße,
xtray

Da kann man wirklich "fast" nur noch zur Neuinstallation deines OS raten.

dann is wohl formatieren die beste lösung...oder???

Hallo@Ferid

Lade zuerst das aktuelle HijackThis (das andere deinstalliere)
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
................................................................................................................
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.stepinworld.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://pornsexarchives.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.stepinworld.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.stepinworld.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.stepinworld.com
R1 - HKLM\Software\Microsoft\Internet Explorer,Start Page = http://www.stepinworld.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\qriik.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\qriik.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.stepinworld.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://more-pages.com/search/
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\system32\msacmx.dll

O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKCU\..\Run: [Leql] C:\WINNT\system32\d?dplay.exe
O4 - HKCU\..\Run: [Lcoo] C:\Dokumente und Einstellungen\Trabelsi\Anwendungsdaten\usat.exe
O4 - HKCU\..\Run: [Update] C:\DOKUME~1\Trabelsi\LOKALE~1\Temp\mshtm.exe
O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {037DAD0D-991A-3BD5-12B1-4CA826619B27} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {05B31F9A-2AF3-1AD7-3445-40D370DDA08C} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {07CD78E6-B409-48F5-5C27-159C3CE706A7} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.54:80/iex/ofile.exe?url=
http://209.8.161.54:80/rdgDE897.exe
O16 - DPF: {155EA661-FB6F-1694-7F94-34A53CAEAD0D} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... &p=230270d
ab455d0e176941480ba0fc85f2978d2
45429f93809c10f10b815c8a96c9ba5c54063f7603d4945ab86
ee97ff22322f046:375a82d108ec2e9d58
4f880889783bc3
O16 - DPF: {2A08AD7E-2EE3-1C5A-7F49-20382F5329BC} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {2DE8B195-8BB9-36A2-5886-395445DB0C92} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {2E8EA001-8D85-7AB0-EA70-26C84AE04BD8} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {35AD282C-37E8-55A6-90A6-1E0F44805FF0} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {39125343-6079-0F4C-48F9-141758E2593C} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {39EB3E97-0C7B-50E1-D0A5-50AD523A7877} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {46CA1A9B-72F7-4850-8702-43EF500D93DD} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {4C031678-0984-3C6D-E46C-63773BADBE66} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {628D7849-992D-77BB-232D-149E6DCB3D6C} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {68104BA7-CE53-2EBE-E159-2F6331956A04} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://ocx3.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {7691CDDD-EC9D-6398-170E-23EB6A2B55C9} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {778F17FB-F17A-03DC-9577-3BE7349E3686} - http://209.8.161.54/1/rdgDE897.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/a4/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE905_100.exe

PC neustarten

#oeffne das HijackThis
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen:
C:\WINNT\system32\msacmx.dll
Du solltest diese Nachricht erhalten: C:\WINNT\system32\msacmx.dlll' will be deleted by Windows when the system restarts....Do you want to restart your computer now?"
"No" klicken.
Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen:

C:\Program Files\Internet Optimizer\actalert.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\d?dplay.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINNT\system32\twink64.exe
C:\WINNT\netii32.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\winhost.exe
C:\WINNT\Lan.exe
C:\WINNT\system32\msupdsrv.exe

und bei der Frage nach dem Restart diesmal "Yes" klicken.
(oder alles einzeln mit dem HijackThis manuell loeschen....immer neubooten oder manuell !)

Loesche manuell:
<C:\DOKUME~1\Trabelsi\LOKALE~1\Temp\sa1B.tmp.exe
<C:\Dokumente und Einstellungen\Trabelsi\Anwendungsdaten\usat.exe
..................................................................................................................
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen

#Windows\Downloaded Programm Files löschen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es . ..im Prinzip solltest du ALLE LOESCHEN !!!!!!!!!!!

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!

Gehe in die Registry
Start<Ausfuehren<regedit:
<Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
loesche alles, was unter 015 im HijackThis eingetragen ist.....
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com

schliesse die Registry

#Lade dieses Tool, um die 013-Eintraege im HijackThis zu bereinigen
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.

#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe
und setze alle Haekchen und scanne.

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

Dann stelle unter Internetoptione eine neue Startseite ein und poste das Log vom HijackThis noch mal.

mfg
Nikita

erstmal herzlichen dank für deine hilfe...habe schon mit dem säubern angefangen...

habe aber nun ein kleines Problem!

#Windows\Downloaded Programm Files löschen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es . ..im Prinzip solltest du ALLE LOESCHEN !!!!!!!!!!!

kannst du vielleicht genau erläutern, wie ich das mache und was dieses ActiveX ist...hab keinen schimmer davon!
und...

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

kann es sein,dass dieser vorgang sehr lange dauert...nach 20 min hat sich da nicht viel getan...der "Vorgangsbalken" bewegt sich kein bisschen!
[/quote]

Hallo@Ferid

Die Datentraegerbereinigung kann lange dauern, wenn der PC voll ist.
Versuch es mal mit TuneUp
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

ActiveX ist eine Technologie, die von Microsoft als Konkurrenz zu Java entwickelt und inzwischen in fast alle seine Programme integriert worden ist. ActiveX soll dafür sorgen, dass bestimmte Windows-Eigenschaften von Webseiten genutzt werden können. Dies geschieht über so genannte Controls, die auf den Computer geladen werden und dort ausgeführt werden. Dabei werden sie als Bestandteil von Windows gehandhabt und unterliegen keinen weiteren Beschränkungen. Darin liegt aber die große Gefahr, die von ActiveX ausgeht, denn es ist auf diese Weise ein Leichtes, private oder sicherheitsrelevante Daten auszulesen, zu löschen, zu manipulieren, den Rechner umzukonfigurieren oder einen Virus oder ein Trojanisches Pferd zu installieren.

-->Tipp: Wenn Sie wirklich auf Nummer Sicher gehen wollen, sollten Sie ActiveX im Microsoft Internet Explorer deaktivieren oder einen anderen Browser verwenden.
Alternative Browser wie Mozilla oder Firefox bieten den gleichen Surfkomfort - ohne ActiveX

es sind die 016-Eintraege im HijackThis
und in deinem Fall ausser:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
...alles Trojaner und Dialer !!!!!!!...hab ich noch nie gesehen

mfg
Nikit

Hallo Ferid,

habe ja keine große Ahnung was die Logs v. hijackthis betrifft, bin auch noch nicht lange in diesem Forum…

Aber so was habe ich bisher noch nicht gesehen.
Fast schon lustig, wenn man sich hier so einige Logs betrachtet, ganz abgesehen von irgendwelchen "blödsinnigen Programmen" die hier viele auf Ihrem Rechner laufen haben. (Meine damit jetzt nicht Dich speziell!)

Eigentlich sollte man sich schon darüber im Klaren sein, das man mit einem "Arbeitsrechner" nicht im Internet "kopflos" irgendwo herumsurfen, vielleicht sogar wahllos irgendwelche Programme aus dem Netz herunterladen kann.

Das geht nicht!

Dazu braucht man einen anderen Rechner, sagen wir mal - einen "Funrechner" - nur zum Surfen.
Also, was meine Meinung betrifft: Am besten ein anständiges LAN, mit einem Passwortverplombten Router, aber kein WLAN und "Arbeitsrechner" von "Funrechner" strickt trennen.
So ist das hier zumindest gelöst. (Abgesehen von den Sicherheitseinstellungen die prinzipiell hoch sein sollten)

Aber das hängt natürlich auch immer damit zusammen, wozu man einen Rechner so braucht. Angenommen, den braucht man für nix, kann man ruhig auf jede Seite gehen, jedes "blödsinnige Prgramm" aus dem Netz mal so testen...*g* &
...abgesehen davon natürlich, man scheut keine horrenden Telefonkosten - weil einem irgend so ein "verschissener Dialer" einem so etwas beschert. (Da sind die LAN-DSL-User schon eher auf der sicheren Seite - kann über manchen Dialer nur schmunzeln - der müsste mein Passwort knacken und den Router neu konfigurieren, weil: Alle Wege nach draußen führen ausschließlich über den Router)

Und an dieser Stelle möchte ich es nicht unerwähnt lassen – das hier die Moderatoren großartiges leisten.

Ist schon der "Hammer", ständig in fremden Systemen "herumzugeistern" - den Leuten Ihre Rechner wieder "geradezubiegen". Ich würde dazu Stunden benötigen… und mir fehlt es an Erfahrung im Bezug auf diese spezielle Geschichte, wie diese hier.
Es ist was anderes, ob man vor der "Kiste" hockt, oder ob man alles per eMail, oder wie hier, in einer schriftlichen Form erledigt.

Das müssen hier alles irgendwelche Idealisten sein! Oder? *g* &


Grüße,

xtray ...oder wie auch immer ich heißen mag *zunikitaschiel*

P.S.: Noch was, fast vergessen – mal eine allgemeine Anmerkung von mir... habe nämlich heute Urlaub, etwas Zeit um Euch zu ärgern )

Wenn ich manchmal bei anderen Leuten vor deren Rechnern sitze, kann ich u. a. über deren Taskleiste (unten rechts) nur noch schmunzeln. Da laufen fast schon 100 "blödsinnige Programme". Die wird dadurch immer länger und länger…die Programme machen sich nämlich bei jedem Systemstart aktiv.

Aber wozu?

Ich brauch den realplayer eigentlich überhaupt nicht. Ich kann den nicht ausstehen. *g*
Den winamp nur dann, wenn ich ihn auch brauche. MSN schon gar nicht, genauso wenig wie ICQ & Co.… USW!!!

Die "fressen" einem nur den teuren Arbeitsspeicher weg, verbrauchen einem völlig unnötig die Ressourcen - verlangsamen schließlich das System enorm, (nicht nur beim Booten) gehen alleine ins Netz, um irgendwas in der Gegend herumzusenden…

Und wenn man Pech hat, bleibt einem nichts mehr vom Arbeitsspeicher übrig, sodass die "Mühle" nur noch auslagert, fast schon stehen bleibt.

"Fressen" sich in die Registry, in den Ordner run – oder nisten sich an anderen Stellen ein, sodass man sie manchmal kaum noch finden kann.

Aber wozu??? *G*

Nebenbei sei bemerkt, das jedes Programm im System spuren hinterlässt, auch wenn man sie angeblich sauber löschen / deinstallieren kann, verlangsamen / ruinieren sie einem das gesamte System, überschreiben einem womöglich noch aktuelle Steuerdateien gegen uralte, etc. Also, bei jedem Programm genau überlegen - ob man es auch wirklich braucht.

In die Taskleiste gehört meiner Ansicht nach fast nichts hinein, außer ein aktuelles, gutes Antivirenprogramm, dann eine firewall - und was sonst noch? *g* Die Uhr? *fg* &

Hallo*@xtrayinst.exe*

Der Tag Urlaub bekommt dir gut

Ich kann dir in allen Punkten 100%ig zustimmen, vor allem beim letzten Satz !!!!!!!!!!!!!!
Aber ich bin immer sehr vorsichtig, wenn es darum geht anderes als Viren aus dem Autostart nehmen zu lassen (ich habe da so meine Erfahrungen gemacht ....) , wenn dann der unbedarfte User verzweifelt nach seiner Musikbox ruft, die "verschwunden" ist und er nicht weiss, wie wieder aktivieren......

Da ich nicht vor den jeweiligen total ueberfrachteten PCs sitze , lasse ich nur die Viren fixen und fertig.

mfg
Nikita

lol...hab fast alles gemacht, was du gesagt hast...aber ich glaub ich geh lieber auf nummer sicher und formatiere die partition "c"!!

hab auch bei nem kumpel um rat gefragt...er meinte auch, es sei am sinnvollsten!

aber wie kann ich denn vorbeugen...habe antivir gehabt...das hat aber nix gebracht...
könnt ihr nicht mal n paar proggis vorschlagen???
Thx im Voraus!

Hallo@Ferid

Der beste Schutz ist, nicht auf alles zu klicken, was dazu auffordert....
...................................................................................................

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

Reinigen:
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

ab und zu durchfuehren:
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

ActiveX ist eine Technologie, die von Microsoft als Konkurrenz zu Java entwickelt und inzwischen in fast alle seine Programme integriert worden ist. ActiveX soll dafür sorgen, dass bestimmte Windows-Eigenschaften von Webseiten genutzt werden können. Dies geschieht über so genannte Controls, die auf den Computer geladen werden und dort ausgeführt werden. Dabei werden sie als Bestandteil von Windows gehandhabt und unterliegen keinen weiteren Beschränkungen. Darin liegt aber die große Gefahr, die von ActiveX ausgeht, denn es ist auf diese Weise ein Leichtes, private oder sicherheitsrelevante Daten auszulesen, zu löschen, zu manipulieren, den Rechner umzukonfigurieren oder einen Virus oder ein Trojanisches Pferd zu installieren.

-->Tipp: Wenn Sie wirklich auf Nummer Sicher gehen wollen, sollten Sie ActiveX im Microsoft Internet Explorer deaktivieren oder einen anderen Browser verwenden.
Alternative Browser wie Mozilla oder Firefox bieten den gleichen Surfkomfort - ohne ActiveX

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html

#Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html
ab und updaten und immer aktivieren.

mfg
Nikita

vielen dank für deine hilfe nikita!!!
hab jetzt tune up utilities besorgt...sogar die vollversion!!!

hab jetzt formatiert und es läuft wieder alles wunderbar>!!!
bis denn!!!

Hallo Nikita,
ich habe das selbe Problem wie Ferrid bei mir sieht es so aus:

Logfile of HijackThis v1.98.2
Scan saved at 15:20:50, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\enbiei.exe
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\systime.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Jobst\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\dzqxl.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\svchost.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\ADOBE\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\ADOBE\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\corel\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll (file missing)
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - http://www.izb-hb.de/dkb/SBrokerageinstV21.cab

Muß aber hinzufügen, daß ich schon ein paar gelöscht habe, weil ich Deine Anleitung für Ferrid versucht habe anzuwenden.
Hijack, AdAware und CWShredder - danach war es erst mal weg - jetzt wieder in alter Friasche zurück. Der Internetexplorer will sich auch immer auf 213.159.117.134 einwählen - das verhindert allerdings Freenet, das ja immer Startseite ist ...(und natürlich mein mittelalterliches Modem : )

Was soll ich tun? Gruß riga2

Hallo@riga2

VOELLIG VERSEUCHTER PC !!!!!!!!!
aendere UNBEDINGT alle deine Passworte und kontaktiere die Bank( falls du OnlineBanking machst !!!!!!!!!!!)

Trojan.Ecure.B ist ein Trojanisches Pferd ->modifiziert die Hosts file und Internet Explorer Startseite

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe [Trojan.Ecure.B]

-------------------------------------------------------------------------------------------

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

xphidden< und oeffne sie,Doppelklick und
"yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

Removaltool: korgo-Wurm:
Removaltool:
http://www.bitdefender.com/html/virusin ... 1&v_id=270


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe [Trojan.Ecure.B]
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\dzqxl.exe [Korgo-Wurm]
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\svchost.exe

neustarten

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\questmod.dll

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein

C:\WINDOWS\svchost.exe
C:\WINDOWS\questmod.dll
C:\WINDOWS\System32\enbiei.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\dzqxl.exe [wenn es noch da ist..ist der Korgo-Wurm)

Erst beim letzten klickst du "Yes" und startest den PC neu.

Suchen und loeschen:
C:\WINDOWS\Secure.html

#oeffne das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

Deinstalliere deinen jetzigen Virenscanner...das ist wichtig...sonst "geht dein PC in die Knie " und lade:
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]

wenn es zu PerformanceProblemen kommen sollte, deinstalliere ihn wieder und schreibe mir.
------------------------------------------------------------------------------------
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Scanne mit Kaspersky
------------------------------------------------------------------------------------

MRU-Clear XP 1.2
Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat.
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html

Gehe in die Registry
Start\Ausfuehren<regedit
gib in die Suchfunktion der Registry ein: (reinkopieren)
<http://213.159.117.134
<Secure.html
<www.hidro.4t.com
<questmod.dll

und loesche alles, was du findest.
-------------------------------------------------------------------------------------
Dann poste das neue Log noch mal (stelle vorher unter Internetoption eine neue Startseite ein.

mfg
Nikita