Auch ich hab da einen Verdacht auf Wurm-Befall! Der Windows-Explorer ist zu 100% voll ausgelastet für die verschiedensten Aktivitäten.

Hier die hijackthis.log:

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 17:56:07, on 16.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
D:\Programme\Plaxo\2.1.0.80\InstallStub.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Trillian\trillian.exe
D:\WINDOWS\system32\LVComsX.exe
C:\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [FLMK08KB] D:\Programme\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PlaxoUpdate] D:\Programme\Plaxo\2.1.0.80\InstallStub.exe -a
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101050082765
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{188D0E09-0ACE-461F-8BFD-A42251D85040}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AB873BF-2AA3-4730-987D-AB2A272E6F81}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{188D0E09-0ACE-461F-8BFD-A42251D85040}: NameServer = 192.168.2.1
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe

Kann mir jemand weiterhelfen?
Danke schonmal
Gruß
Morpheus

Hallo@MorpheusHL

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

Sorry hatte etwas länger gedauert.....

also hier kommts:

1. Fri Feb 25 21:35:05 2005 => File D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\STQFSDMN\js[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

2. Fri Feb 25 21:55:36 2005 => File D:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Studium\Importiert\MEDIENTECHNIK\GETRT45C.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

3. Fri Feb 25 22:06:56 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*

4. Fri Feb 25 22:57:29 2005 => File F:\{{{{{[[[[[ 2004 ]]]]]}}}}}\Eigene Dateien\Studium\Importiert\MEDIENTECHNIK\GETRT45C.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

In voller Erwartung weitere Anweisungen abwartend..

Danke bis jetzt
Morph

Ganz einfach:--> loeschen

D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\STQFSDMN\js[1].htm

D:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Studium\Importiert\MEDIENTECHNIK\GETRT45C.EXE
(falls du es nicht unbedingt brauchst--> loeschen, ansonsten lasse es, aber Gator ist Spyware)

F:\{{{{{[[[[[ 2004 ]]]]]}}}}}\Eigene Dateien\Studium\Importiert\MEDIENTECHNIK\GETRT45C.EXE

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

hihihi hätte ich ja auch selbst drauf kommen können
Danke!!!!

Allerdings hab ich mit der ersten Datei ein Problem. Bei mir gibs kein Ordner namens .../Content.IE5/... Haken sind natürlich raus bei "Systemdateien ausblenden" etc. eine Suche war auch ergebnislos...

Natuerlich hast du diesen Ordner /Content.IE5/....das ist das InternetCache.....

Start<Ausfuehren--> schreib rein:

%temp%

guck, ob du den Ordner findest.

...ganz ehrlich, nix da, denke mal das hat auch nix damit zu tun, dass ich bereits die temporären Internetfiles gelöscht habe...

Auf jedenfall erstmal ein riesen Dankeschön, für Dein Hilfe!