Hab folgendes Problem: auf meinem Desktop steht jetzt
"Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer.
View the list of top spyware removers here"

und ich bekomms nicht weg. Wer kann mir weiterhelfen?

Besten Dank

Mr.Crosby

Oooooo... Das hatte ichauch mal. Wef krigste das glaub ich nicht mehr. Ich konnte dadurch nich mal mehr ins Internet. Ich musste wohl oder übel alles f o r m a t i e r e n .

Also bei mir funktioniert bis jetzt alles ganz normal.

So kommt es mir zumindest vor.

Ok...

Lade:
http://www.merijn.org/files/hijackthis.zip
=======
Entpacke in einen eigenen Ordner ==> Doppelklick auf: "Hijackthis.exe" ==> Haken setzen ==> [Noone of the above Just start the Programm] ==> Button [Scan] ==> Nach dem Scan [Save Logfile] Speichere es ==> Ein Editor öffnet sich: kopiere den Inhalt hierher ins Forum.
Bebilderte Kurzanleitung

So, hab das mal gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 21:35:19, on 25.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\SYSTEM32\GEARSEC.EXE
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\system32\ACTNSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINNT\MXOALDR.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mr.Crosby\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {1EAAB520-B574-75B8-8492-757394BF97F2} - C:\WINNT\system32\sdkaw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ACTNSTA.EXE] ACTNSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINNT\MXOALDR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Mr.Crosby\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2485560045
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 5361575453
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9466957-CBDA-410F-A20C-CA42EC98FA80}: NameServer = 192.168.1.254
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\apipu.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe

Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen ... blank.html

==================


Führe den CrapCleaner aus und hake alles an:
http://virus-protect.net/temp.html

Lade dir Ewido, Scanne, poste den Report und deinstalliere es nach getaener Arbeit (Virenentfernung)
http://virus-protect.net/ewido.html

========================

Arbeite das hier ab ==> Poste alle 4 Logs der letzten 3 Monate:
http://virus-protect.net/datfindbat.html

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------


+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Gesäubert mit Backup
:mozilla.7:C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Phoenix\Profiles\default\0laboddw.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Phoenix\Profiles\default\0laboddw.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.9:C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Phoenix\Profiles\default\0laboddw.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Phoenix\Profiles\default\0laboddw.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Phoenix\Profiles\default\0laboddw.slt\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.7:C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Phoenix\Profiles\default\i64h9nct.slt\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup


::Report Ende





Verzeichnis von C:\WINNT\system32

25.12.2005 18:24 133.791 sdkaw32.dll
25.12.2005 17:09 49.152 GEARSEC.EXE
25.12.2005 17:09 61.440 GEARASPI.DLL
25.12.2005 09:28 23.166 stub3.ini
25.12.2005 09:27 22.711 stub2.ini
25.12.2005 09:27 22.854 stub1.ini
15.12.2005 04:46 68.608 bsljd.dll
09.12.2005 12:21 1.536 TrueSoft.dat
04.12.2005 23:57 11.895 apilj32.exe
03.12.2005 04:17 3.567 bjcgh.txt
01.12.2005 01:49 3.567 dhpsn.log
28.11.2005 23:07 0 logs1.ini
26.09.2005 23:17 16.384 Perflib_Perfdata_2d4.dat
12.09.2005 00:04 16.384 Perflib_Perfdata_274.dat
09.09.2005 04:08 2.006.368 MRT.exe





Verzeichnis bei systemtemp- editor war leer






Verzeichnis von C:\WINNT

26.12.2005 01:12 640.393 WindowsUpdate.log
25.12.2005 21:43 32.636 SchedLgU.Txt
25.12.2005 18:39 1.125 winamp.ini
25.12.2005 18:24 3.584 uninstIU.exe
25.12.2005 14:55 116 NeroDigital.ini
25.12.2005 09:27 13.581 fgndp.dat
23.12.2005 21:26 1.440.054 ACD Wallpaper.bmp
23.12.2005 21:17 1.409 QTFont.for
23.12.2005 21:17 54.156 QTFont.qfn
21.12.2005 09:11 68.608 kfrel.dll
20.12.2005 06:14 5.538 ~TempMui.inf
20.12.2005 06:14 65.954 Pr„riewind.bmp
09.12.2005 12:22 733 ModemLog_HSP56 MR.txt
05.12.2005 00:47 35.447 javaxh.exe
04.12.2005 22:46 35.447 sysoc.exe
01.12.2005 00:09 82.944 clock.avi
29.11.2005 00:56 316.640 WMSysPr9.prx
26.11.2005 17:27 137 RMM.INI
19.11.2005 15:38 45.056 NCUNINST.EXE
30.08.2005 01:40 85 vbaddin.ini




Verzeichnis von C:\

26.12.2005 02:17 0 sys.txt
26.12.2005 02:16 5.612 system.txt
26.12.2005 02:14 140 systemtemp.txt
26.12.2005 02:13 117.212 system32.txt
26.12.2005 01:11 805.306.368 pagefile.sys
05.06.2005 02:55 157 error.txt

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\Mr.Crosby\Startmenü\Programme\Autostart\ms.exe

C:\WINNT\system32\ACTNSTA.EXE

C:\WINNT\javaxh.exe
C:\WINNT\sysoc.exe

-----------------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\sdkaw32.dll
C:\WINNT\system32\stub3.ini
C:\WINNT\system32\stub2.ini
C:\WINNT\system32\stub1.ini
C:\WINNT\system32\bsljd.dll
C:\WINNT\system32\apilj32.exe
C:\WINNT\system32\bjcgh.txt
C:\WINNT\fgndp.dat
C:\WINNT\kfrel.dll
C:\WINNT\javaxh.exe
C:\WINNT\sysoc.exe

PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {1EAAB520-B574-75B8-8492-757394BF97F2} - C:\WINNT\system32\sdkaw32.dll

O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Mr.Crosby\Startmenü\Programme\Autostart\ms.exe" /m
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\apipu.exe (file missing)

PC neustarten


kopiere hier den scanreport
http://virus-protect.net/artikel/tools/ADSSpy.exe

This is a report processed by VirusTotal on 12/26/2005 at 14:23:54 (CET) after scanning the file "javaxh.exe" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 12.26.2005 TR/Dldr.Agent.TD.65
Avast 4.6.695.0 12.24.2005 no virus found
AVG 718 12.23.2005 no virus found
Avira 6.33.0.70 12.26.2005 TR/Dldr.Agent.TD.65
BitDefender 7.2 12.26.2005 GenPack:Trojan.Downloader.Agent.TD
CAT-QuickHeal 8.00 12.24.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 12.24.2005 no virus found
DrWeb 4.33 12.26.2005 no virus found
eTrust-Iris 7.1.194.0 12.25.2005 no virus found
eTrust-Vet 12.4.1.0 12.25.2005 Win32/Winshow!generic
Fortinet 2.54.0.0 12.24.2005 suspicious
F-Prot 3.16c 12.23.2005 no virus found
Ikarus 0.2.59.0 12.23.2005 no virus found
Kaspersky 4.0.2.24 12.26.2005 Trojan-Downloader.Win32.Agent.td
McAfee 4658 12.23.2005 New Malware.q
NOD32v2 1.1339 12.24.2005 a variant of Win32/TrojanDownloader.Agent.BQ
Norman 5.70.10 12.26.2005 no virus found
Panda 8.02.00 12.25.2005 no virus found
Sophos 4.01.0 12.26.2005 Troj/SpyDldr-C
Symantec 8.0 12.26.2005 no virus found
TheHacker 5.9.1.061 12.25.2005 no virus found
VBA32 3.10.5 12.26.2005 Trojan-Downloader.Win32.Agent.td




This is a report processed by VirusTotal on 12/26/2005 at 14:20:57 (CET) after scanning the file "ACTNSTA.EXE" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 12.26.2005 no virus found
Avast 4.6.695.0 12.24.2005 no virus found
AVG 718 12.23.2005 no virus found
Avira 6.33.0.70 12.26.2005 no virus found
BitDefender 7.2 12.26.2005 no virus found
CAT-QuickHeal 8.00 12.24.2005 no virus found
ClamAV devel-20051108 12.24.2005 no virus found
DrWeb 4.33 12.26.2005 no virus found
eTrust-Iris 7.1.194.0 12.25.2005 no virus found
eTrust-Vet 12.4.1.0 12.25.2005 no virus found
Fortinet 2.54.0.0 12.24.2005 no virus found
F-Prot 3.16c 12.23.2005 no virus found
Ikarus 0.2.59.0 12.23.2005 no virus found
Kaspersky 4.0.2.24 12.26.2005 no virus found
McAfee 4658 12.23.2005 no virus found
NOD32v2 1.1339 12.24.2005 no virus found
Norman 5.70.10 12.26.2005 no virus found
Panda 8.02.00 12.25.2005 no virus found
Sophos 4.01.0 12.26.2005 no virus found
Symantec 8.0 12.26.2005 no virus found
TheHacker 5.9.1.061 12.25.2005 no virus found
VBA32 3.10.5 12.26.2005 no virus found



ms.exe war nicht mehr vorhanden und das Ergebnis von sysoc.exe hab ich vor dem Neustart vergessen zu speichern.


Und hier der Scanreport von ADSSpy:

C:\WINNT\~TempMui.inf : rmkfv (35447 bytes)
C:\WINNT\~TempMui.inf : wdxwyw (13581 bytes)
C:\WINNT\clock.avi : aftuot (197761 bytes)
C:\WINNT\Präriewind.bmp : lhwnl (133791 bytes)
C:\WINNT\RMM.INI : wihxhs (133791 bytes)
C:\WINNT\SchedLgU.Txt : obsljd (11895 bytes)

Kann ich die alle auswählen und löschen?

Kann ich die alle auswählen und löschen?

ja, loesche die Streams.
-------------------------------------------------------------------------------

scanne mit Kaspersky und poste den scanreport
http://virus-protect.net/onlinescan.html

Scan Statistics:
Total number of scanned objects: 114589
Number of viruses found: 12
Number of infected objects: 16
Number of suspicious objects: 0
Duration of the scan process: 4508 sec

Infected Object Name - Virus Name
C:\!KillBox\apilj32.exe Infected: Trojan.Win32.Agent.bi
C:\!KillBox\javaxh.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\!KillBox\sdkaw32.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\!KillBox\sysoc.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-32d570e5-44502242.zip/BlackBox.class Infected: Exploit.Java.ByteVerify
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-32d570e5-44502242.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-32d570e5-44502242.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-32d570e5-44502242.zip Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\goatse.jar-2073dc2d-7e13d883.zip/GetAccess.class Infected: Trojan.Java.ClassLoader.c
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\goatse.jar-2073dc2d-7e13d883.zip/InsecureClassLoader.class Infected: Exploit.Java.Bytverify
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\goatse.jar-2073dc2d-7e13d883.zip/Dummy.class Infected: Trojan.Java.ClassLoader.Dummy.a
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\goatse.jar-2073dc2d-7e13d883.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.v
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\goatse.jar-2073dc2d-7e13d883.zip Infected: Trojan-Downloader.Java.OpenConnection.v
C:\Programme\AVPersonal\INFECTED\ms.VIR Infected: Trojan-Downloader.Win32.Small.cci
C:\WINNT\system32\oleext.dll Infected: Trojan.Win32.Small.ev
C:\WINNT\system32\wininet.dll Infected: Virus.Win32.Nsag.b

Scan process completed.

SmitRem2.8
http://noahdfear.geekstogo.com/click%20 ... k.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread

--------------------------------------------------------------------------------------------
leere das Java-Cache
C:\Dokumente und Einstellungen\Mr.Crosby\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar


C:\!KillBox\apilj32.exe <---loesche
C:\!KillBox\javaxh.exe <---loesche
C:\!KillBox\sdkaw32.dll <---loesche

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key

WinHound.com key present!



Running WinHound.com fix!



WinHound.com key was successfully removed!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

Winhound


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 404 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! Starting replacement procedure.


~~~~ Looking for C:\WINNT\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINNT\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~



~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll not present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINNT\system32\wininet.dll for infection ~~~~


~~~~ C:\WINNT\system32\wininet.dll Clean! ~~~~

Counterspy
http://virus-protect.net/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

Logfile of HijackThis v1.99.1
Scan saved at 18:18:57, on 24.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\System32\lphcerfj0ej4a.exe
C:\WINDOWS\wksvcsc.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\powerpanel\Program\PcfMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\waldao\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voipkosovasite.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Windows UDP Control Services] wksvcsc.exe
O4 - HKLM\..\Run: [lphcerfj0ej4a] C:\WINDOWS\System32\lphcerfj0ej4a.exe
O4 - HKLM\..\Run: [SMrhcarfj0ej4a] C:\Programme\rhcarfj0ej4a\rhcarfj0ej4a.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: PowerPanel.lnk = C:\Programme\powerpanel\Program\PcfMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: o4mdl - http://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe