Hallo vielleicht kann mir ja einer helfen,

CID Popupfenster öffnet sich ständig es nervt man kommt nicht weiter. Ich habe schon einmal einen Hijack logfile erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:25, on 16.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\vsserv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\livecall.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Legacy Device] trass.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Proc Deaf Delete Peak] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file joy proc deaf\pop hide.exe
O4 - HKLM\..\RunServices: [Microsoft Legacy Device] trass.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Online Enc] C:\DOKUME~1\ALICEH~1\ANWEND~1\PROXYW~1\Five wipe noun.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by114fd.bay114.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2518904234
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - c:\programme\softwin\bitdefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8478 bytes

Vorbereitungen
Beende, bevor du fortfährst, die folgenden Programme, sofern sie laufen und vorhanden sind:
- Antivirenprogramme
- Firewall (außer Windows-Firewall)
- Spybot S&D TeaTimer
(In der Regel lassen sich alle über die Symbole rechts in der Taskleiste beenden oder anhalten)

Um sich bei der Verwendung von Onlinescannern oder HijackThis nicht störend auf die Leistung dieser Programme auszuwirken, sollten auch alle anderen Anwendungsprogramme beendet werden.

Ermittlung und Löschung gefährlicher Dateien
Lade File Eraser herunter und installiere das Programm. Lade dir dann die aktuelle Löschliste herunter. Beachte die Anleitung oder drucke sie aus (im abgesicherten Modus wird keine internetverbindung möglich sein). Führe noch keinen Löschvorgang durch!

Lade die folgenden Dateien auf der Website virustotal.com hoch, um sie zu überprüfen:

Code: Alles auswählen

C:\WINDOWS\trass.exe

C:\WINDOWS\system32\trass.exe

C:\DOKUME~1\ALICEH~1\ANWEND~1\PROXYW~1\Five wipe noun.exe

Rufe die Website kaspersky.com/kos/german/...kavwebscan... im Internet Explorer auf; beachte die Hinweise.
Führe eine komplette Überprüfung durch und stelle den Bericht in CODE-Tags ein.

Starte Windows im abgesicherten Modus neu.
Lösche die folgenden Dateien:

Code: Alles auswählen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file joy proc deaf\pop hide.exe

Lösche auch die oben genannten Dateien, falls sie bösartig sind und stelle den Bericht von Virustotal in CODE-Tags ein.

Wende jetzt File Eraser gemäß der Anleitung an.

Unnötige und gefährliche Einträge mit HijackThis beheben
Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Proc Deaf Delete Peak] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file joy proc deaf\pop hide.exe

Klicke dann auf Fix checked, um diese Einträge zu entfernen. Starte Windows neu.

Updates für das Betiebssystem und Programme
Auf deinem Computer ist die Microsoft Antispyware installiert. Dieses Programm ist veraltet und sollte durch Windows Defender ersetzt werden. Die aktuellsten Versionen für alle auf deinem Computer installierten Microsoft-Produkte kannst du der Einfachheit halber hier herunterladen.

Berichte erstellen
Erstelle mit HijackThis einen neuen Bericht und stelle ihn in CODE-Tags in diesem Thread ein, genauso, sofern vorhanden, die Berichte von Kaspersky, Virustotal und Datfindbat/DateilisteX64.

Code: Alles auswählen

Der Text in Code-Tags sieht später so aus und wird zwischen die Tags [code]und[/code] geschrieben.

Code: Alles auswählen

Hijacklog

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:18, on 18.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\WINDOWS\system32\ctfmon.exe
c:\programme\softwin\bitdefender8\vsserv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Legacy Device] trass.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Microsoft Legacy Device] trass.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Online Enc] C:\DOKUME~1\ALICEH~1\ANWEND~1\PROXYW~1\Five wipe noun.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/par ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by114fd.bay114.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2518904234
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - c:\programme\softwin\bitdefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8204 bytes

Code: Alles auswählen

virustotal.com

Datei Five_wipe_noun.exe empfangen 2008.01.17 16:51:58 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
Filter
Drucken der Ergebnisse
Email:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.17.11 2008.01.17 -
AntiVir 7.6.0.48 2008.01.17 -
Authentium 4.93.8 2008.01.17 -
Avast 4.7.1098.0 2008.01.16 -
AVG 7.5.0.516 2008.01.17 -
BitDefender 7.2 2008.01.17 -
CAT-QuickHeal 9.00 2008.01.16 -
ClamAV 0.91.2 2008.01.17 -
DrWeb 4.44.0.09170 2008.01.17 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5465 2008.01.17 -
Ewido 4.0 2008.01.17 -
FileAdvisor 1 2008.01.17 -
Fortinet 3.14.0.0 2008.01.17 -
F-Prot 4.4.2.54 2008.01.16 -
F-Secure 6.70.13260.0 2008.01.17 -
Ikarus T3.1.1.20 2008.01.17 -
Kaspersky 7.0.0.125 2008.01.17 -
McAfee 5210 2008.01.17 -
Microsoft 1.3109 2008.01.17 -
NOD32v2 2802 2008.01.17 -
Norman 5.80.02 2008.01.17 -
Panda 9.0.0.4 2008.01.17 -
Prevx1 V2 2008.01.17 -
Rising 20.27.31.00 2008.01.17 -
Sophos 4.24.0 2008.01.17 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.17 -
TheHacker 6.2.9.189 2008.01.17 -
VBA32 3.12.2.5 2008.01.15 -
VirusBuster 4.3.26:9 2008.01.17 -
Webwasher-Gateway 6.6.2 2008.01.17 -
weitere Informationen
File size: 440320 bytes
MD5: bccb10b9ac85424ad7e6a86e998c7d52
SHA1: ed04d41d23edbccb0914398fc7349864ff782389
PEiD: -

Code: Alles auswählen

kaspersky online scanner

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 17. Januar 2008 19:10:43
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 17/01/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 515845

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\ALICEH~1\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 25859
Viren gefunden 1
Infizierte Objekte gefunden 1
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:56:19

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\$NtUninstallKB824141$\user32.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\hh.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\itircl.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\itss.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\locator.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\osk.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\shell32.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\srv.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\user32.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\win32k.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB826942$\xpsp2res.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallQ828026$\wmp.dll Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{8BAD9A9E-90F3-4BA0-A8C5-A0026E3E4780}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\drivers\atapi.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\f3PSSavr.scr Infizierte Objekte: not-a-virus:AdTool.Win32.MyWebSearch übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_4d8.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\T30DebugLogFile.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\tmp00000435\tmp00000000 Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

C:\DOKUME~1\ALICEH~1\LOKALE~1\Temp\Perflib_Perfdata_a90.dat Das Objekt ist gesperrt übersprungen

C:\DOKUME~1\ALICEH~1\LOKALE~1\Temp\~DF3793.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Code: Alles auswählen

fileeraser

konnte leider das protokoll nicht ausdrucken hat aber 2MB gelöscht und vieles davon war von myWebsearch oder so...

Code: Alles auswählen

Ccleaner

ist ausgeführt.

Soweit in Ordnung.
Das hier solltest du noch löschen, notfalls aus dem abgesicherten Modus heraus:
C:\WINDOWS\system32\f3PSSavr.scr

Was macht CiD?

eben war wieder ein CID Fenster...

Ja, eindeutig. Das hab ich vorhin übersehen.

Fixe mit HijackTHis:
O4 - HKCU\..\Run: [Online Enc] C:\DOKUME~1\ALICEH~1\ANWEND~1\PROXYW~1\Five wipe noun.exe

Lösche im abgesicherten Modus:
C:\DOKUME~1\ALICEH~1\ANWEND~1\PROXYW~1\Five wipe noun.exe

C:\WINDOWS\system32\f3PSSavr.scr <--- das ist ein Virus!! ich bekomm den nicht gelöscht...

Auch nicht im abgesicherten Modus? Sonst mal mit dem Antivirenprogramm versuchen oder mit Unlocker löschen.

so im abgesichertem Modus ging das jetzt zu löschen. Aber ich finde diese Dateien nicht:

C:\WINDOWS\trass.exe

C:\WINDOWS\system32\trass.exe

C:\DOKUME~1\ALICEH~1\ANWEND~1\PROXYW~1\Five wipe noun.exe

Dazu musst du unter deinem normalen Benutzerkonto angemeldet sein. Wenn nach der Anmeldung noch keine CiD-Popups eingeblendet wurden, müsstest du die Datei löschen können. Notfalls geht's mit Unlocker.

Die anderen Beiden Dateien (bzw. die eine, ich habe zur Sicherheit zwei Pfade angegeben) sind in Ordnung, und dürfen da bleiben.