Hallo!

Habe ein etwas seltsames Problem. Ich habe mir auf meinem WindowsME-System den im Betreff genannten Virus eingefangen, der mir erst einmal die IE-Startseite umgelenkt hat. Außerdem habe ich jetzt ständig nach jedem Systemstart als Hintergrundbild so einen nachgemachten Bluescreen mit folgendem Text :"A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01)+00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c
-System can not function in normal mode.Please check YOU security settings. -Scan your PC with any AVALIABLE antivirus/spyware remover program to fix the problem."
Ich denke nicht, daß daß ein echter Bluescreen ist;man beachte die großgeschriebenen Tippfehler im Text,außerdem bleiben BlueScreens glaube ich nicht als Hintergrundbild stehen. Ich habe-teils mehrmals- AdAware und Antivir und ein Tool hier von der Seite über die Platte laufen lassen, die den Virus auch scheints gefunden zu haben, denn meine Startseite im IE ist wieder eine leere Seite und mein System läuft auch stabil. Allerdings habe ich immer noch diesen Bluescreen, den ich auch nicht ändern kann, denn die Einstellungen fürs Hintergrundbild sind in den "Eigenschaften von Anzeige" schlicht nicht mehr vorhanden. Außerdem versucht Windows immer noch die Datei "c:windows/temp/se.dll" zu öffnen,kann dies aber nicht, da die Datei von diesem kleinen Tool gelöscht wurde. Somit habe ich wohl immer noch zumindest Reste des Virus im System. Kann mir irgendjemand hier Tipps geben, wie ich auch diese Reste noch beseitigen kann??

Im voraus vielen Dank,
Oliver.

@Seymour
poste ein HJT logfile
direktdownload
anleitung

lade das tool ,
du wirst es wahrscheinlich brauchen

chaosman

Hallo!
Im Anschluß das Logfile...
Das Tool habe ich schon runtergeladen und auch schon benutzt(ich schrieb davon in meinem letzten Eintrag) hat aber nicht viel gebracht...oder ich bin zu doof...

Logfile of HijackThis v1.99.1
Scan saved at 01:18:26, on 10.04.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\SETI@HOME\SETI@HOME.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WP.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\HANSENET\HANSENET SPEED-PRODUKTE\APP\TANGOMANAGER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\PROGRAMME\POPUP MANAGER\POPUPMGR_1.0.2.1P.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {3524B611-4C34-4FA7-870E-A12BB284B929} - C:\WINDOWS\SYSTEM\GEHI.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O18 - Filter: text/html - {425ACB85-96CD-4454-952E-EA319E866728} - C:\WINDOWS\SYSTEM\GEHI.DLL
O18 - Filter: text/plain - {425ACB85-96CD-4454-952E-EA319E866728} - C:\WINDOWS\SYSTEM\GEHI.DLL
O21 - SSODL: System - {5F4CDA25-8905-4FF3-8663-877303EBB4E7} - (no file)

Hast du das Tool auch im abgesicherten Modus bei deaktivierter systemwiederherstellung angewandt?

ich habe dieses problem auch also das hintergrund bild ist hier bootHD:\wp.bmp
der virus is da auch gewesen- wenn man kein scan gemacht hat

also ich hab gesehn scheiße virus .. weil eben dieser hintergrund, war mir sofort klar das das nicht so richtig ist, ad-aware drüber, avast-antivir virus gefunden und gelöscht! aber dies problem mit den "Eigenschaften von Anzeige" ist immer noch da und es NERVT, hab selbst ma geguckt obs vielleicht inner Reg irgendwo nen eintrag gibt aber nichtz da :/

HILFE!

@grindKerensky

Bitte erstelle ein neues Thema in folgendem Unterforum.
Das dient der Übersichtlichkeit.

Stelle dein Problem möglichst knapp aber genau dar.
Erstelle einen Log mittels Hijakthis und poste ihn in deinem Thread:

www.hjt.klaffke.de

Hallo Seymour,

Zitat:

...Das Tool habe ich schon runtergeladen und auch schon benutzt(ich schrieb davon in meinem letzten Eintrag) hat aber nicht viel gebracht...

Poste bitte einmal den Inhalt der Log-Datei des Cleaners (=SPSeHjFix.log)!

Hier das Log (im abgesicherten Modus ausgeführt):

(10.4.05 01:19:59) SPSeHjFix started v1.09
(10.4.05 01:19:59) OS: WinME (4.90.73010104)
(10.4.05 01:19:59) Language: deutsch


(10.4.05 13:17:01) SPSeHjFix started v1.09
(10.4.05 13:17:01) OS: WinME (4.90.73010104)
(10.4.05 13:17:01) Language: deutsch
(10.4.05 13:17:04) Disinfect started
(10.4.05 13:17:04) Bad-Dll(IEP): (not found)
(10.4.05 13:17:04) Bad-Dll(IEP) in BHO: (not found)
(10.4.05 13:17:04) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\SYSTEM\GEHI.DLL
(10.4.05 13:17:04) Searchassistant Uninstaller - Keys Deleted
(10.4.05 13:17:04) UBF: 6
(10.4.05 13:17:04) UBB: 2
(10.4.05 13:17:04) FilterKey: HKCR\text/html (deleted)
(10.4.05 13:17:04) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(10.4.05 13:17:04) FilterKey: HKCR\CLSID\{425ACB85-96CD-4454-952E-EA319E866728} (deleted)
(10.4.05 13:17:04) FilterKey: HKCR\text/plain (deleted)
(10.4.05 13:17:04) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(10.4.05 13:17:04) FilterKey: HKCR\CLSID\{425ACB85-96CD-4454-952E-EA319E866728} (error while deleting)
(10.4.05 13:17:04) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3524B611-4C34-4FA7-870E-A12BB284B929} (deleted)
(10.4.05 13:17:04) BHO-Key: HKCR\CLSID\{3524B611-4C34-4FA7-870E-A12BB284B929} (deleted)
(10.4.05 13:17:04) UBR: 16
(10.4.05 13:17:04) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall (deleted)
(10.4.05 13:17:04) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(10.4.05 13:17:04) Stealth-String not found:
(10.4.05 13:17:04) File added to delete: c:\windows\system\gehi.dll
(10.4.05 13:17:04) File added to delete: c:\windows\system\gehi.dll
(10.4.05 13:17:04) File added to delete: c:\windows\temp\se.dll
(10.4.05 13:17:04) Reboot
(10.4.05 13:17:56) SPSeHjFix 2nd Step
(10.4.05 13:17:56) RunServicesOnce-Key: (edited)
(10.4.05 13:18:00) Cleaned

Hi,
ich hab das selbe Problem. Schon eine Lösung gefunden oder muß ich den PC tatsächlich auf die Ausgangskonfig. zurücksetzen?

MfG Atzetbur

Habe Trojan-Spy.HTML.Smitfraud.c ebenfalls gehabt und wie folgt erfolgreich gelöscht:

Zuerst diesem SChlüssel löschen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
dann in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
den Schlüssel System gänzlich löschen .

Löschen im Abgesicherten modus hilft nicht, da die files resident sind.

--> Neu starten , von WIN XP CD booten und die Taste "R" für Reparatur des Systems eingeben -->
im Verzeichnis C:\WINDOWS\ folgende dateien durch DOS befehl "del" löschen :
sys159.exe
sys859.exe
sys912.exe
sys913.exe
sys914.exe
sys1458.exe
sys1521.exe
wyvfqfb.exe

dann mit Befehlr "cd" zum verzeichnis C:\windows\system32 wechseln und löschen :
flsmngr.dll
init32m.exe
param32.dll
popup_bl.dll
pspixyjc.exe
ptyaaaaa.exe
sgvbaaaa.exe
smuvhaaa.exe
srpcsrv32.dll
txfdb32.dll
vwfiaaaa.exe

ebenfall die datei "wp.exe" und "wp.bmp" im rootdirectory C:\ sollen gelöscht werden .

"Exit" eingeben es wird neugestartet .
Blaue seite ,mit den Hinweis auf falschen explorer und dann nachher das Hintergrundbild sollen gelöscht sein . Wenn das Hintergrundb. noch besteht, dann im Systemsteurng --> Anzeige--> Desktop den Standard XP hintergrundbild läßt sich einstellen und nach nochmaligen Neustart übernehme.

Für weiter SIcherheitsmaßnahmen beim XP sind Spybot S&D , Winpatrol (download http://filepony.de/download-winpatrol/winpatrol.html zum schutz falscher reg-einträge) und natürlich auch guter Antivirus empfehlenswert.
Masoud Rahimi

Hallo

Habe genau dieses Problem. Zusätzlich ist allerdings noch meine Tastatur abgeschaltet :-(

Den PC werde ich wohl lieber neu installieren. Aber ich würde gerne wissen, woher der Trojaner oder Virus, oder was das nun ist, eigentlich kam. Weiß das jemand? Ist das ein Mail Wurm oder kann der einfach beim surfen im Internet "aktiviert" bzw. auf meinen Rechner gelangen?

Und noch eine Frage, Wenn das ein Trojaner ist: Kann da nun jemand dadurch auf meine Daten zugegriffen haben? Oder ist dieser Virus insofern harmlos?

mfg benny

Hallo Marakop, kannst du mir verraten, wie ich die zu löschenden Schlüssel finde?

Igraine

Ich hab den Trojaner auch und hab voll garkein plan wie ich das jetzt lösch mein destop is jetzt auch blau und da steht die msg und dann habsch so ne logfile mal laufen lassen lesst selber ... helft mir plz ;(( weiss nicht was ich machen soll hab nicht so den plan davon


File H:\WINDOWS\System32\sesmgr.exe infected by "Trojan-Clicker.Win32.Small.fr" Virus. Action Taken: No Action Taken.
File c:\wp.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\System32\ole32vbs.exe infected by "Trojan.Win32.Favadd.u" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\System32\LogFiles\A04111925.so infected by "Trojan.Win32.LowZones.ba" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\System32\intmonp.exe infected by "Trojan.Win32.Puper.c" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\System32\msole32.exe infected by "Trojan-Clicker.Win32.Agent.cr" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\System32\ie2cltr.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.h" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\system32\msole32.exe infected by "Trojan-Clicker.Win32.Agent.cr" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\system32\dwqfv.exe infected by "Trojan-Downloader.Win32.Small.arr" Virus. Action Taken: No Action Taken.
File c:\wp.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.
File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "PERFECTNAV Spyware/Adware" Virus. Action Taken: No Action Taken.



Logfile of HijackThis v1.99.1
Scan saved at 17:04:33, on 30.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\Programme\ICQLite\ICQLite.exe
H:\WINDOWS\System32\RUNDLL32.EXE
H:\Programme\MSN Messenger\msnmsgr.exe
H:\WINDOWS\System32\qwinnta.exe
H:\WINDOWS\System32\sesmgr.exe
c:\wp.exe
H:\WINDOWS\System32\ole32vbs.exe
H:\WINDOWS\System32\LogFiles\A04111925.so
H:\WINDOWS\System32\LogFiles\H4271900.so
H:\WINDOWS\popuper.exe
H:\WINDOWS\System32\intmonp.exe
H:\WINDOWS\System32\msole32.exe
H:\WINDOWS\explorer.exe
H:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
H:\Programme\Internet Explorer\iexplore.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\DOKUME~1\psycho\LOKALE~1\Temp\mwavscan.com
H:\DOKUME~1\psycho\LOKALE~1\Temp\kavss.exe
H:\Programme\Winamp\winamp.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Dokumente und Einstellungen\psycho\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.qfind.net/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - H:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: IE SP2 AddOn - {C27455AB-D3B1-4007-97F7-A83255BFDC12} - H:\WINDOWS\System32\spest.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - H:\WINDOWS\System32\ie2cltr.dll
O4 - HKLM\..\Run: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSN Messenger] H:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] H:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunOnce: [dwqfv.exe] dwqfv.exe
O4 - HKCU\..\Run: [msnmsgr] "H:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [SpySweeper] "H:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {DE9DBF7D-DD7B-4297-B858-BDD46BF2FA4D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE9DBF7D-DD7B-4297-B858-BDD46BF2FA4D} - (no file) (HKCU)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DC83C15-FB2A-4260-A679-123EDBD14C06}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF1399CF-2EB5-4ACA-86AF-F42E0277447F}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB16D97-A287-42FC-B73E-E59AA339961D}: NameServer = 69.50.184.86,195.225.176.110
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe

Mache bitte ein eigennes Thema auf

Zitat:

Zitat von WiseGuy

Hallo

Habe genau dieses Problem. Zusätzlich ist allerdings noch meine Tastatur abgeschaltet :-(

Den PC werde ich wohl lieber neu installieren. Aber ich würde gerne wissen, woher der Trojaner oder Virus, oder was das nun ist, eigentlich kam. Weiß das jemand? Ist das ein Mail Wurm oder kann der einfach beim surfen im Internet "aktiviert" bzw. auf meinen Rechner gelangen?

Und noch eine Frage, Wenn das ein Trojaner ist: Kann da nun jemand dadurch auf meine Daten zugegriffen haben? Oder ist dieser Virus insofern harmlos?

mfg benny

Ich mein , ich hab mir den über ein getürktes Windoofsupdate eingefangen.
Ich hab mein System zurückgesetzt