Hallo erstmal,
ich habe seit einigen Tagen Probleme mit Viren (vielleicht auch schon länger )
Nachdem mir ständig irgendwelche Werbe Popups aufgegangen sind habe ich den IExplorer deinstalliert und nutze seitdem Firefox.
Nun gehen die Popups aber immer noch auf, komischerweise im Fenster vom IExplorer.
Ich hab mal gesucht und gesehen, daß der IE immer noch im Verzeichnis Programme rumliegt, ich ihn aber nicht deinstallieren kann.
Kann ich ihn einfach so löschen ?

Zu den Popups poste ich mal mein Logfile

Angelegt im Normalmodus, also nicht abgesichert. Ich hoffe ich habe das richtig gemacht.


Logfile of HijackThis v1.99.1
Scan saved at 20:36:06, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVirenProgramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAMME\DAP\DAPIEBAR.DLL
O2 - BHO: TChkBHO Class - {0626D44A-4F45-41ED-B8B0-AF824130F01F} - C:\WINDOWS\SYSTEM32\imolu.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU)
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36380E7F-6E37-4C18-A9A7-392F3B9C1F42}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F9842D-E8C6-4CA9-8879-B0CB58BF9928}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C554C632-CBCD-41B3-A4EB-74B5281E5E26}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe


Hoffe auf Eure Hilfe, ich bin am Ende

treibgut

Hallo,

Zitat:

Kann ich ihn einfach so löschen ?

Du kannst es gerne versuchen, aber die Dateien werden automatisch wiederhergestellt. Außerdem wird der IE fürs Windows-Update gebraucht, womit wir schon beim Thema wären:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Windows schnellstens auf den neusten Stand bringen!


Starte den PC im abgesicherten Modus.

Deinstalliere allle unseriöse Software (DAP).

Fixe mit HjT:

O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAMME\DAP\DAPIEBAR.DLL
O2 - BHO: TChkBHO Class - {0626D44A-4F45-41ED-B8B0-AF824130F01F} - C:\WINDOWS\SYSTEM32\imolu.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O9 - Extra button: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU)

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab


Lösche manuell
C:\PROGRAMME\DAP
C:\WINDOWS\SYSTEM32\imolu.dll


Alternativen Browser, wie Opera oder Firefox, verwenden!

Neues Log posten. Problem gelöst?

Danke für die turboschnelle Antwort.
Hab die Anweisungen ausgeführt und melde mich später ob alles ok ist.
Bislang sieht es gut aus.

Danke nochmals :aplaus:

Alles zurück Popup sind wieder da

Nochmal das neue Logfile


Logfile of HijackThis v1.99.1
Scan saved at 21:13:11, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVirenProgramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36380E7F-6E37-4C18-A9A7-392F3B9C1F42}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F9842D-E8C6-4CA9-8879-B0CB58BF9928}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C554C632-CBCD-41B3-A4EB-74B5281E5E26}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

Dann "versteckt" sich noch etwas.

eScan, Spybot Search&Destroy und Ad-Aware runterladen , installieren und updaten (Anleitung von eScan genau befolgen!).

PC im abgesicherten Modus starten.
Erst mit Ad-Aware und Spybot S&D scannen und die Probleme beheben lassen. Dann einen Scan mit eScan durchführen und die Funde ins Forum posten.

So, endlich fertig

AdAware hat nix gefunden

Spybot hat folgendes angezeigt

DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-18\Software\WebInstall

DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\.DEFAULT\Software\WebInstall

DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-18\Software\DownloadWare

DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\.DEFAULT\Software\DownloadWare

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


Konnten alle nicht gelöschtwerden


EScan

Thu Apr 07 21:43:50 2005 => ***** Scanning complete. *****
Thu Apr 07 21:43:50 2005 => Total Objects Scanned: 12477
Thu Apr 07 21:43:50 2005 => Total Virus(es) Found: 5
Thu Apr 07 21:43:50 2005 => Total Disinfected Files: 0
Thu Apr 07 21:43:50 2005 => Total Files Renamed: 0
Thu Apr 07 21:43:50 2005 => Total Deleted Objects: 0
Thu Apr 07 21:43:50 2005 => Total Errors: 2
Thu Apr 07 21:43:50 2005 => Time Elapsed: 00:05:43
Thu Apr 07 21:43:50 2005 => Virus Database Date: 2005/04/06
Thu Apr 07 21:43:50 2005 => Virus Database Count: 124827

Thu Apr 07 21:43:51 2005 => Scan Completed.

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "morpheus Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "morp Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\supd180204.exe infected by "Trojan-Downloader.Win32.Esepor.x" Virus. Action Taken: No Action Taken.

Hast du bei eScan wirklich alle Haken richtig gesetzt? Ich kann es mir nicht vorstellen



C:\WINDOWS\System32\supd180204.ex manuell im abgesicherten Modus löschen.

Zitat:

Zitat von treibgut

Konnten alle nicht gelöschtwerden

Warum?
Du kannst sie auch manuell in der Registry löschen, aber dabei ist Vorsicht geboten (Backup machen!). Wenn du nicht weißt, was du machst, lass es!
Alternativ auch mal mit Windows AntiSpyware (Beta) scannen.

btw: besteht dein Problem noch?

Ok, werde morgen weitermachen, muß früh aufstehen.

treibgut

So, gestern Abend habe ich die Einträge, die SpyBot gefunden hat aus der Registry gelöscht

C:\WINDOWS\System32\supd180204.ex manuell im abgesicherten Modus gelöscht

Heute nochmal Escan im abgesicherten Modus laufen lassen
Escan sagt folgendes

Fri Apr 08 19:03:20 2005 => Total Objects Scanned: 66060
Fri Apr 08 19:03:20 2005 => Total Virus(es) Found: 7
Fri Apr 08 19:03:20 2005 => Total Disinfected Files: 0
Fri Apr 08 19:03:20 2005 => Total Files Renamed: 0
Fri Apr 08 19:03:20 2005 => Total Deleted Objects: 0
Fri Apr 08 19:03:20 2005 => Total Errors: 1
Fri Apr 08 19:03:20 2005 => Time Elapsed: 01:09:58

Fri Apr 08 19:03:20 2005 => ***** Scanning complete. *****
Fri Apr 08 19:03:20 2005 => Virus Database Date: 2005/04/06
Fri Apr 08 19:03:20 2005 => Virus Database Count: 124827

Fri Apr 08 19:03:20 2005 => Scan Completed.



File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "morpheus Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "morp Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Programme\Morpheus\msc.exe infected by "not-a-virus:AdWare.WurldMedia.a" Virus. Action Taken: No Action Taken.
File C:\Programme\KaZaA\My Shared Folder\kmd171_de.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.


Dann hab ich erstmal Morpheus im abgesicherten Modus deinstalliert

Hast du dann auch den Ordner C:\Programme\Morpheus gelöscht?
Besteht dein Problem noch?

Mach ich sofort im abgesicherten Modus

Ja, mein Problem ist immer noch da. PopUps die alle 10 min aufgehen.
Und Viren sind ja lt. EScan auch noch vorhanden.

Zitat:

Und Viren sind ja lt. EScan auch noch vorhanden.

Wenn du den Morpheus-Ordner gelöscht hast, eigentlich nicht.
Was für Seiten werden angezeigt?
Führe CWShredder aus, vielleicht handelt es sich um eine CWS-Variante.

CWshredder hat nix gefunden

Jetzt war es gerade eine Discount Seite mit verschiedenen Links
zb.
http://www.instantsearch.cc/pop/elec...42bc8f13c13776

Jetzt (22 Uhr 30) kam gerade ne Seite mit Pharmacie Online

http://www.instantsearch.cc/pop/phar...0abe6935a11daa

Das Ding ist ziemlich hartnäckig.
Hast du schon Windows AntiSpyware (Beta) ausprobiert?
Poste mal ein StartDreck Log.

Zitat:

Jetzt (22 Uhr 30) kam gerade ne Seite mit Pharmacie Online

h**p://www.instantsearch.cc/pop/pha...50abe6935a11daa

Es ist eigentlich immer die gleiche Seite.
Das Problem gab's auch schon einige Male -> http://www.google.de/search?hl=de&lr...ntsearch.cc%22
Ob die beschriebenen Lösungswege immer von Erfolg gekrönt sind bleibt fraglich.


btw: bitte editiere die URLs, z.B. so h**p://www.instantsearch.cc/pop/pha...50abe6935a11daa

Anti Spyware hab ich noch nicht ausgetestet

Log von Startdreck

StartDreck (build 2.1.7 public stable) - 2005-04-08 @ 22:37:00 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as User at STEFAN

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
*Printing Migration=rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters
»Local Machine
»Run
*ATIPTA=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
*KAV50="C:\Programme\Antivirenprogramme\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI


*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="C:\Programme\AntiVirenProgramme\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
*{53707962-6F74-2D53-2644-206D7942484F}
`InprocServer32=C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hardcopy.LNK
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\System32\config.nt
*C:\autoexec.bat
*C:\WINDOWS\System32\autoexec.nt
*C:\WINDOWS\wininit.ini
*C:\WINDOWS\System32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+384=\SystemRoot\System32\smss.exe
+440=\??\C:\WINDOWS\system32\csrss.exe
+464=\??\C:\WINDOWS\system32\winlogon.exe
+508=C:\WINDOWS\system32\services.exe
+520=C:\WINDOWS\system32\lsass.exe
+688=C:\WINDOWS\System32\Ati2evxx.exe
+712=C:\WINDOWS\system32\svchost.exe
+804=C:\WINDOWS\System32\svchost.exe
+880=C:\WINDOWS\System32\svchost.exe
+900=C:\WINDOWS\System32\svchost.exe
+1060=C:\WINDOWS\system32\spoolsv.exe
+1240=C:\WINDOWS\system32\Ati2evxx.exe
+1364=C:\WINDOWS\Explorer.EXE
+1552=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
+1560=C:\Programme\Antivirenprogramme\Kaspersky Anti-Virus Personal Pro 5\kav.exe
+1576=C:\Programme\hardcopy\hardcopy.exe
+1676=C:\WINDOWS\System32\alg.exe
+1712=C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
+1740=C:\Programme\Antivirenprogramme\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
+148=C:\Programme\FRITZ!DSL\FritzDsl.exe
+760=C:\Programme\Mozilla Firefox\firefox.exe
+752=C:\WINDOWS\SYSTEM32\dxdiag.exe
+648=C:\WINDOWS\System32\rundll32.exe
+616=C:\Programme\Internet Explorer\iexplore.exe
+144=C:\Programme\AntiVirenProgramme\Startdreck\StartDreck.exe
»NT Services
*Warndienst Alerter - on demand
*Gatewaydienst auf Anwendungsebene ALG running on demand
*Anwendungsverwaltung AppMgmt - on demand
*Ati HotKey Poller Ati HotKey Poller running auto
*ATI Smart ATI Smart - auto
*Windows Audio AudioSrv running auto
*Intelligenter Hintergrundübertragungsdienst BITS - on demand
*Computerbrowser Browser running auto
*Indexdienst cisvc - on demand
*Ablagemappe ClipSrv - on demand
*COM+-Systemanwendung COMSysApp - on demand
*Kryptografiedienste CryptSvc running auto
*AVM FRITZ!web Routing Service de_serv - on demand
*DHCP-Client Dhcp running auto
*Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand
`Datenträger
*Verwaltung logischer Datenträger dmserver running auto
*DNS-Client Dnscache running auto
*EPSON Printer Status Agent2 EPSONStatusAgent2 running auto
*Fehlerberichterstattungsdienst ERSvc - disabled
*Ereignisprotokoll Eventlog running auto
*COM+-Ereignissystem EventSystem running on demand
*Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCom running on demand
*Hilfe und Support helpsvc running auto
*Eingabegerätezugang HidServ - disabled
*IMAPI-CD-Brenn-COM-Dienste ImapiService - on demand
*Kaspersky Anti-Virus Service KLBLMain running auto
*Server LanmanServer running auto
*Arbeitsstationsdienst LanmanWorkstation running auto
*TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto
*Nachrichtendienst Messenger running auto
*NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand
*Distributed Transaction Coordinator MSDTC - on demand
*Windows Installer MSIServer - on demand
*Netzwerk-DDE-Dienst NetDDE - on demand
*Netzwerk-DDE-Serverdienst NetDDEdsdm - on demand
*Anmeldedienst Netlogon - on demand
*Netzwerkverbindungen Netman running on demand
*NLA (Network Location Awareness) Nla running on demand
*NT-LM-Sicherheitsdienst NtLmSsp - on demand
*Wechselmedien NtmsSvc - on demand
*Plug & Play PlugPlay running auto
*IPSEC-Dienste PolicyAgent running auto
*Geschützter Speicher ProtectedStorage running auto
*Verwaltung für automatische RAS-Verbindung RasAuto running on demand
*RAS-Verbindungsverwaltung RasMan running on demand
*Sitzungs-Manager für Remotedesktophilfe RDSessMgr - on demand
*Routing und RAS RemoteAccess - disabled
*Remote-Registrierung RemoteRegistry running auto
*RPC-Locator RpcLocator - on demand
*Remoteprozeduraufruf (RPC) RpcSs running auto
*QoS-RSVP RSVP - on demand
*Sicherheitskontenverwaltung SamSs running auto
*Smartcard-Hilfsprogramm SCardDrv - on demand
*Smartcard SCardSvr - on demand
*Taskplaner Schedule - disabled
*Sekundäre Anmeldung seclogon running auto
*Systemereignisbenachrichtigung SENS running auto
*Internetverbindungsfirewall/Gemeinsame Nutzung SharedAccess running auto
`der Internetverbindung
*Shellhardwareerkennung ShellHWDetection running auto
*Druckwarteschlange Spooler running auto
*Systemwiederherstellungsdienst srservice - auto
*SSDP-Suchdienst SSDPSRV running on demand
*Windows-Bilderfassung (WIA) stisvc - on demand
*MS Software Shadow Copy Provider SwPrv - on demand
*Leistungsdatenprotokolle und Warnungen SysmonLog - on demand
*Telefonie TapiSrv running on demand
*Terminaldienste TermService running on demand
*Designs Themes running auto
*Telnet TlntSvr - on demand
*Überwachung verteilter Verknüpfungen (Client) TrkWks running auto
*Upload-Manager uploadmgr running auto
*Universeller Plug & Play-Gerätehost upnphost running on demand
*Unterbrechungsfreie Stromversorgung UPS - on demand
*Volumeschattenkopie VSS - on demand
*Windows-Zeitgeber W32Time - disabled
*WebClient WebClient running auto
*Windows-Verwaltungsinstrumentation winmgmt running auto
*Seriennummer der tragbaren Medien WmdmPmSp running auto
*Treibererweiterungen für Windows-Verwaltungsins Wmi - on demand
`trumentation
*WMI-Leistungsadapter WmiApSrv - on demand
*Automatische Updates wuauserv - disabled
*Konfigurationsfreie drahtlose Verbindung WZCSVC running auto
»Application specific

Ich hab mich nochmal ein bisschen erkundigt. Es sieht so aus, als ob das Programm Security iGuard nicht wirklich vertrauenswürdig wäre. Deinstalliere es bitte im abgesicherten Modus.
Fixe dann noch diese Zeile mit HijackThis

Zitat:

O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe

Lösche das Verzeichnis C:\Programme\Security iGuard


Das StartDreck Log schaut imho sauber aus, obwohl ich zugeben muss, dass ich bei der Auswertung nicht so fit bin wie bei HjT

Zitat:

*Printing Migration=rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9x NetworkPrinters

Zu dieser Zeile hab ich keine eindeutigen Infos gefunden. Überprüfe die Datei C:\WINDOWS\System32\spool\migrate.dll bitte mal bei http://virusscan.jotti.org und poste das Ergebnis.