Hallo, ich bin recht neu hier .. ähm na ja, am besten stell ich mich erstmal vor.

Also ich bin 21, studier seit diesem Wintersemester und hab leider nicht sehr viel tiefgehende Ahnung von PCs, auch wenn ich's gern hätte. Traurig aber wahr, in meinem Studiengang muss ich auch in Informatik meinen Schein holen .. >_>

Nun ja, seit ein paar Tagen dreht mein Internet komplett am Rad; alle 5 bis 10 Minuten loggt es sich aus und zeigt folgendes an: "Fehler 651: Das Modem (oder ein anderes Gerät) hat einen Fehler gemeldet."
Dann zählt es 60 sek ab, versucht sich neu anzumelden, scheitert, zählt weitere 60 sek ab und loggt sich dann wieder ein. Es ist komplett ätzend .. x_x

Natürlich hab ich erstmal alle meine Antiviren Programme gestartet, die fanden auch ein paar Sachen, die gelöscht wurden, das änderte aber nichts an meinem Internet-Problem. (Der Fehler liegt soweit ich das beurteilen kann wirklich nicht an der Hardware.)
Na ja, advertismen fiel mir in der Software-Liste wieder ins Auge, das sich schon vor Ewigkeiten hier eingenistet hatte, ohne dass ich es irgendwie löschen konnte.
Ich hab mal in einem Forum gelesen, dass man in System32 nach pushow oder so suchen, das umbenennen und löschen sollte und dann wärs weg, bei mir gibt's aber keine Datei, die so heißt.
Na ja und mitlerweile weiß ich nicht, was ich noch machen soll, um den PC wieder hinzukriegen ...

Es wäre wirklich unglaublich wundervoll wenn ihr mir da irgendwie weiter helfen würdet!
Vielen Dank schon mal!

Liebste Grüße,
Tamara

Hallo,

am einfachsten wäre es zuerst, etwas übre die Software auf deinem Computer zu erfahren:
Erstelle ein Logfile mit HijackThis gemäß Anleitung und poste es in CODE-Tags in diesem Thread, damit wir sehen können, welche Programme auf deinem Computer laufen und welche Probleme dadurch verursacht werden können. Die aktuellste Version des Programms bekommst du hier ("HijackThis Executable").

Verwendest du ein Modem für eine Analogverbindung oder meintest du ein DSL-Modem mit Router?

Oke hier ist es:

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 21:07:50, on 31.01.2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tomka\LOKALE~1\Temp\Rar$EX00.468\HijackThis.exe

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iowk] C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13B37AAF-2480-4A13-9C7A-8379A01F8D47}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{13B37AAF-2480-4A13-9C7A-8379A01F8D47}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Ach so ja, wir haben ein DSL Modem. Soweit ich weiß.

Vorbereitungen
Beende, bevor du fortfährst, die folgenden Programme, sofern sie laufen und vorhanden sind:
- Antivirenprogramme
- Firewall (außer Windows-Firewall)
- Spybot S&D TeaTimer
(In der Regel lassen sich alle über die Symbole rechts in der Taskleiste beenden oder anhalten)

Um sich bei der Verwendung von Onlinescannern oder HijackThis nicht störend auf die Leistung dieser Programme auszuwirken, sollten auch alle anderen Anwendungsprogramme beendet werden.

Ermittlung und Löschung gefährlicher Dateien
Lade File Eraser herunter und installiere das Programm. Lade dir dann die aktuelle Löschliste herunter. Beachte die Anleitung oder drucke sie aus (im abgesicherten Modus wird keine internetverbindung möglich sein). Führe noch keinen Löschvorgang durch!

Lade die folgenden Dateien auf der Website virustotal.com hoch, um sie zu überprüfen:

Code: Alles auswählen

O4 - HKCU\..\Run: [iowk] C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe

Rufe die Website kaspersky.com/kos/german/...kavwebscan... im Internet Explorer auf; beachte die Hinweise.
Führe eine komplette Überprüfung durch und stelle den Bericht in CODE-Tags ein.

Wende jetzt File Eraser gemäß der Anleitung an.

Unnötige und gefährliche Einträge mit HijackThis beheben
Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

Klicke dann auf Fix checked, um diese Einträge zu entfernen. Starte Windows neu.

Updates für das Betiebssystem und Programme
Deine Installation von Windows ist technisch nicht länger aktuell. Besuche die Website update.microsoft.com, um Windows zu aktualisieren und Sicherheitslücken zu schließen.

Berichte erstellen
Erstelle mit HijackThis einen neuen Bericht und stelle ihn in CODE-Tags in diesem Thread ein, genauso, sofern vorhanden, die Berichte von Kaspersky, Virustotal und Datfindbat/DateilisteX64.

Code: Alles auswählen

Der Text in Code-Tags sieht später so aus und wird zwischen die Tags [code]und[/code] geschrieben.

Mehr ist erst einmal nicht zu sehen.
Falls du noch andere Computer im selben Netzwerk verwendest, solltest du mal darauf achten, ob hier auch eine Meldung erscheint.

Ein Router sollte nur in Ausnahmefällen per USB, besser per Ethernet angeschlossen werden, dann braucht das Betriebssystem keinen speziellen Treiber/keine Software für den Router.

... Hm, die Hälfte hab ich irgendwie nicht hingekriegt. ._.

Bei Datfindbat hatte ich jetzt nur die Reports von System32, den temporären Dateien, Windows und C waren das glaub ich ... ich weiß jetzt leider nicht, wie ich einen Bericht von Datfindbat/DateilisteX64 machen soll..

Jaa, mit dem FileEraser und das Beheben mit Hijackthis hab ich alles gemacht, bei virustotal ließ sich die angezeigte Datei leider nicht hochladen...
Kann ich das irgendwie mit einem anderen Programm machen?

Vielen Dank für die Hilfe!


So, und hier erstmal der Kaspersky Report:

Code: Alles auswählen

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 31. Januar 2008 23:16:17
Betriebssystem: Microsoft Windows XP Professional,  (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/01/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 504208
-------------------------------------------------------------------------------

Scan-Einstellungen:
   Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
   Archive untersuchen: ja
   Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
   C:\WINDOWS
   C:\DOKUME~1\Tomka\LOKALE~1\Temp\

Untersuchungsergebnisse:
   Untersuchte Objekte insgesamt: 19882
   Viren gefunden: 0
   Infizierte Objekte gefunden: 0
   Verdächtige Objekte gefunden: 0
   Untersuchungszeit: 00:18:40

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\oakley.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Debug\PASSWD.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Sti_Trace.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\default   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\default.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SAM   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SAM.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SECURITY   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\software   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\software.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\system   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\system.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\h323log.txt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\wiadebug.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\wiaservc.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\WindowsUpdate.log   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF28F3.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF2909.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF2D85.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4370.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4D31.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4D4D.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4D65.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4D7A.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4D88.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4D9E.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4DAC.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF4DC7.tmp   Das Objekt ist gesperrt   übersprungen
C:\DOKUME~1\Tomka\LOKALE~1\Temp\~DF60A4.tmp   Das Objekt ist gesperrt   übersprungen

Die Untersuchung wurde abgeschlossen.


Und das Hijackthis Logfile:

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 01:36:12, on 01.02.2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tomka\LOKALE~1\Temp\Rar$EX09.344\HijackThis.exe

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iowk] C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe


Statt die Datei bei Virustotal hochzuladen, kannst du sich auch mit dem installierten Antivirenprogramm prüfen.

Wie ist das Modem mit dem Computer verbunden?

Hallo

da tummlen sich so manche Viren
wende bitte Combofix an + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html

Also soweit ich weiß, ist der PC ganz normal durch ein Netzwerkkabel mit dem Router verbunden und dieses mit dem DSL Modem.

So, hier das Combofix Log. Vielen Dank für eure Hilfe! ^^

Code: Alles auswählen

ComboFix 08-02.01.6 - Tomka 2008-02-01 16:10:53.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.0.1252.1.1031.18.317 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tomka\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\WinAntiVirus Pro 2006\Logs\update.log
C:\sys.txt

----- BITS: Possible infected sites -----

hxxp://au.download.windowsupdate.com

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CMDSERVICE
-------\cmdService
-------\vspf
-------\vspf_hk


(((((((((((((((((((((((   Dateien erstellt von 2008-01-01 bis 2008-02-01  ))))))))))))))))))))))))))))))
.

2008-01-31 22:26 . 2008-01-31 22:26   <DIR>   d--------   C:\WINDOWS\system32\Kaspersky Lab
2008-01-31 22:26 . 2008-01-31 22:26   <DIR>   d--------   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-31 22:18 . 2008-01-31 22:18   <DIR>   d--------   C:\Programme\Made on a PC

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-31 19:05   ---------   d-----w   C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\MSN6
2008-01-29 18:33   ---------   d-----w   C:\Programme\DivX
2008-01-21 18:14   ---------   d-----w   C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\Canon
2007-12-08 01:38   ---------   d-----w   C:\Programme\Sun
2007-12-08 01:38   ---------   d-----w   C:\Programme\Java
2007-04-10 14:13   87,552   --sha-w   C:\Programme\Thumbs.db
2007-03-05 02:45   54,048   ----a-w   C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-18 12:04   5,572   ----a-w   C:\Programme\hijackthis.log
2006-08-17 09:16   212,849   ----a-w   C:\Programme\hijackthis.zip
2006-04-25 14:56   774,144   ----a-w   C:\Programme\RngInterstitial.dll
2005-02-16 09:06   218,112   ----a-w   C:\Programme\HijackThis.exe
2005-07-29 14:24   472   --sha-r   C:\WINDOWS\VG9tYQ\p36Qsk.vbs
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 13:00 13312]
"iowk"="C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10 339968]
"SoundMan"="SOUNDMAN.EXE" [2003-10-08 10:41 57344 C:\WINDOWS\SOUNDMAN.EXE]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 10:38 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-18 23:59 185784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00 13312]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-09-12 13:30]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-09-12 13:30]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2002-04-19 01:02]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2002-04-19 01:02]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2002-04-19 01:02]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\System32\DRIVERS\odysseyIM3.sys [2006-03-31 17:36]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d1bb41f0-bf62-11da-a8fa-806d6172696f}]
\shell\play\command - "C:\Programme\Winamp\Winamp.exe" %1

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 16:16:44
Windows 5.1.2600  NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 16:20:14 - machine was rebooted
ComboFix-quarantined-files.txt  2008-02-01 15:20:11
ComboFix2.txt  2006-10-05 19:28:18
ComboFix3.txt  2006-08-19 13:55:51
.
2008-02-01 00:57:28   --- E O F --- 


1.
fixe mit HijackThis

O4 - HKCU\..\Run: [iowk] C:\Programme\Gemeinsame Dateien\iowk\iowkm.exe

2.
pc neustarten

3.
wende rvaxo an + poste hier den report
http://virus-protect.org/artikel/tools/rvaxo.html

Oke, hier ist es. Sieht irgendwie anders aus, als im Beispiel ... >_>

Code: Alles auswählen

---RVAXO.exe Updated: [b]2008-02-02[/b]---first run---
[b]Files found:[/b]

[b]Uninstallers:[/b]


[b]Folders Found:[/b]


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

[b]Files found:[/b]

[b]Folders Found:[/b]

--------------RVAXO.exe finished----------------


Oh man, das Internet wird immer schlimmer .. jetzt funktioniert es nur noch knapp 1-2 Minuten oder noch kürzer, bis die Verbindung wieder getrennt wird. x_x

Hallo,

wenn man auf ein gefälschtes Proggie reinfällt, wie - WinAntiVirus Pro 2006 - und sich den Rechner mit viren vollschaufelt ... hat man Probleme ...

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\WINDOWS\VG9tYQ" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\iowk" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Programme\Made on a PC" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

So, da ist es ^^

[code]
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme\Common Files

15.08.2006 08:17 <DIR> .
15.08.2006 08:17 <DIR> ..
15.08.2006 19:32 <DIR> Companion Wizard
29.03.2006 22:12 <DIR> System
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 39.792.947.200 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006

15.08.2006 08:16 <DIR> .
15.08.2006 08:16 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 39.792.947.200 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme\Common Files\Companion Wizard

15.08.2006 19:32 <DIR> .
15.08.2006 19:32 <DIR> ..
15.08.2006 08:17 48.128 WapCHK.dll
1 Datei(en) 48.128 Bytes
2 Verzeichnis(se), 39.792.943.104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
27.03.2006 13:00 5.019 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
4 Datei(en) 142.413 Bytes
0 Verzeichnis(se), 39.792.943.104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme\Gemeinsame Dateien\iowk

15.08.2006 19:32 <DIR> .
15.08.2006 19:32 <DIR> ..
14.08.2006 22:48 0 iowka.lck
14.08.2006 23:04 <DIR> iowkd
14.08.2006 22:49 0 iowkl.lck
14.08.2006 22:48 0 iowkm.lck
3 Datei(en) 0 Bytes
3 Verzeichnis(se), 39.792.943.104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006

15.08.2006 08:16 <DIR> .
15.08.2006 08:16 <DIR> ..
19.12.2005 11:37 48.128 WapCHK.dll
1 Datei(en) 48.128 Bytes
2 Verzeichnis(se), 39.792.943.104 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCC9-38B3

Verzeichnis von C:\Dokumente und Einstellungen\Tomka

11.07.2006 02:45 <DIR> .
11.07.2006 02:45 <DIR> ..
19.08.2006 20:38 <DIR> Desktop
19.08.2006 16:30 <DIR> Eigene Dateien
29.03.2006 22:33 <DIR> Favoriten
29.03.2006 21:38 <DIR> Startmen

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" -

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iowk"=-

Folder::
C:\Programme\Common Files\Companion Wizard
C:\Programme\Gemeinsame Dateien\iowk
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden - tippe 1

-----------
««
scanne mit counterspy, lasse alles gefundene laut Anleitung löschen + poste hier den Scanreport
http://virus-protect.org/counterspy1.html

Erledigt ^^
Hier der combofix log

[code]
ComboFix 08-02.01.6 - Tomka 2008-02-03 15:31:05.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.302 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tomka\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-02 20:16 . 2008-02-03 12:53 <DIR> d-------- C:\RVAXO
2008-02-02 19:29 . 2008-02-02 18:08 654,382 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-02-02 19:29 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-01-31 22:26 . 2008-01-31 22:26 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-31 22:26 . 2008-01-31 22:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-31 22:18 . 2008-01-31 22:18 <DIR> d-------- C:\Programme\Made on a PC

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-31 19:05 --------- d-----w C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\MSN6
2008-01-29 18:33 --------- d-----w C:\Programme\DivX
2008-01-21 18:14 --------- d-----w C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\Canon
2007-12-08 01:38 --------- d-----w C:\Programme\Sun
2007-12-08 01:38 --------- d-----w C:\Programme\Java
2007-04-10 14:13 87,552 --sha-w C:\Programme\Thumbs.db
2007-03-05 02:45 54,048 ----a-w C:\Dokumente und Einstellungen\Tomka\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-18 12:04 5,572 ----a-w C:\Programme\hijackthis.log
2006-08-17 09:16 212,849 ----a-w C:\Programme\hijackthis.zip
2006-04-25 14:56 774,144 ----a-w C:\Programme\RngInterstitial.dll
2005-02-16 09:06 218,112 ----a-w C:\Programme\HijackThis.exe
2005-07-29 14:24 472 --sha-r C:\WINDOWS\VG9tYQ\p36Qsk.vbs
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 13:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10 339968]
"SoundMan"="SOUNDMAN.EXE" [2003-10-08 10:41 57344 C:\WINDOWS\SOUNDMAN.EXE]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 10:38 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-18 23:59 185784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00 13312]

C:\Dokumente und Einstellungen\All Users\Startmen

so richtig traue ich dem Braten nicht... wenn man die cfscript.txt richtig erstellt und danach Combofix .. wird normalerweise am Anfang vom neuen Log angezeigt, was gelöscht wurde...und dein Log zeigt nix davon....

schau noch mal, ob du die txt richig erstellt hast .. "Alle Dateien" angegeben hast, beim Abspeichern , und dann korrekt auf das Symbol von Combofix gezogen hast
Wenn man das nicht korrekt macht, löscht die Combofix gar nix