Hallo erstmal an alle Profis hier:

Ich habe folgendes Problem:

Ich bin gestern im Internet gesurft auf legalen Seiten, wie eBay und
Google), als sich mein AntiVir-Virenscanner meldete und Trojaner bzw.
Viren meldete, die ich aber mit dem Virenprogramm gleich gelöscht habe.

Folge: Es öffneten sich diverse Internetseiten, Mein Office verlangte
nach der Office CD und wollte irgendetwas von der Offive CD installieren
und ganz merkwürdig: Auf einmal öffnete sich ein "Virensheriff" (ohne
einsehbare Installation), prüfte mein System und zählte eine Liste mit
Viren und Trojaner auf. Nach der Suche konnte ich die Dinger mit einem
Klick auf "Remove" löschen, jedoch kam dann eine Meldung, dass ich die
Vollversion kaufen soll, bzw. mich registrieren soll, sonst könnte ich
die Dinger nicht löschen... Da mir das sehr unglaubwürdig vorkam, hab
ich das Programm gleich gelöscht, unzählige Male den Ad-Aware, Microsoft
AntiSpyware und meinen AntiVir-Scanner laufen lassen. Mit Erfolg.
Ad-Aware findet jetzt immer noch ien paar Sachen, bis ich ihn mehrmals
hab durchlaufen lassen, nach einen Systemneustart, findet er wieder
Sachen, die ich dann logischerweise erneut lösche.

Folgende Probleme bestehen jetzt noch (ich benutze daheim Win XP
Proffesional mit Service Pack 2):

- Auf dem Desktop sind ja diese Symbole, bei WinXP war es bisher immer
so, dass der Kasten hinter der Symbolbeschriftung durchsichtig war, das
ist jetzt nicht mehr so, es ist ein grauer Kasten, dessen Farbe ich
ändern kann, aber ich weiß nicht, wie ich sie wieder in Durchsichtig
ändern kann...

- Es öffnen sich dauernd neue Internetfenster mit Werbung und Pop-ups,
obwohl ich den Pop-up aktiviert habe.

- Die Internet Firewall von Windows war durch die Viren und Trojaner
deaktiviert, Schutzmäßig hab ich soweit wieder alles aktiviert.

- Meine eBay-Toolbar war weg, habe sie dann deinstalliert und wollte sie
wieder frisch installieren, funktioniert aber nicht, am Schluss der
Installation kommt ein Fenster mit einem Fehler, dass er irgendetwas
nicht finden kann. Dies hab ich aber jetzt auch behoben.

- Mein MSN-Messenger funktioniert überhaupt nicht mehr, habe ihn
ebenfalls deinstalliert und frisch installiert, geht aber immer noch
nicht. Beim Versuch zu starten bringt er hier einen Fehlerberich von
Windows.

Ich habe immer nich die Hoffnung, dass es irgendeinen anderen Weg gibt,
mein System wieder zum Laufen zu bringen, da ich sehr viel Geräte in und
am PC habe, und viele Spiele, deren Speicherstände ich nur sehr sehr
ungern verlieren möchte, außerdem ist das ja ein total er Aufwand und
dann wieder alles neu installieren aus einrichten... *heul*

Ich würde mich wirklich freuen, wenn es noch einen anderen Weg gibt,
meinen PC zu retten...

Liebe Grüße
Jen

Hallo Jen,

poste bitte ein Hijackthis-Logfile, dann sehen wir weiter.

dartus

Hier mein LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:26, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\rundll32.exe
C:\windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\windows\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\GoogleFilter\Core\Googlefilter.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\windows\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\windows\system32\wuauclt.exe
C:\Programme\Win rar\WinRAR.exe
C:\DOKUME~1\Jen\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Webcam\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23e69482cc1bb3f51a06/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: WebCheck - C:\windows\system32\j8l4li3q18.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo Jen,

führe erst DIES (erst Option 2 und dann 4) und danach DAS durch.

dartus

L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck]
"Asynchronous"=dword:00000000
"DllName"="C:\\windows\\system32\\j8l4li3q18.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{EF729450-EF54-5991-3FE6-592071D44191}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{C70843C3-E58A-4675-87B3-294B032A9EB9}"=""
"{92085AD4-F48A-450D-BD93-B28CC7DF67CE}"="eBay Toolbar"

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\InprocServer32]
@="C:\\windows\\system32\\nyrsfr.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
bassmod.dll Tue 17 Jan 2006 16:58:14 A.... 34.308 33,50 K
browseui.dll Thu 24 Nov 2005 0:58:28 A.... 1.022.464 998,50 K
c6000g~1.dll Sun 22 Jan 2006 17:14:22 ..S.R 236.139 230,60 K
danim.dll Sat 5 Nov 2005 4:16:24 A.... 1.056.256 1,00 M
gccoll~1.dll Tue 15 Nov 2005 12:12:08 A.... 126.680 123,71 K
gcunco~1.dll Tue 15 Nov 2005 12:12:06 A.... 95.448 93,21 K
gdi32.dll Thu 29 Dec 2005 3:54:38 A.... 280.064 273,50 K
hashlib.dll Tue 15 Nov 2005 12:12:08 A.... 117.976 115,21 K
j8l4li~1.dll Tue 24 Jan 2006 15:29:48 ..S.R 236.307 230,77 K
legitc~1.dll Fri 4 Nov 2005 16:27:24 A.... 534.280 521,76 K
lv4209~1.dll Mon 23 Jan 2006 17:12:24 ..S.R 235.059 229,55 K
mshtml.dll Thu 24 Nov 2005 0:58:28 A.... 3.013.632 2,87 M
mvctf.dll Sun 22 Jan 2006 18:02:14 ..S.R 236.139 230,60 K
n6n60g~1.dll Mon 23 Jan 2006 20:30:08 ..S.R 237.282 231,72 K
nyrsfr.dll Tue 24 Jan 2006 15:40:38 ..S.R 236.307 230,77 K
o4480e~1.dll Tue 24 Jan 2006 15:40:38 ..S.R 237.151 231,59 K
shdocvw.dll Thu 1 Dec 2005 4:31:06 A.... 1.492.480 1,42 M
urlmon.dll Sat 5 Nov 2005 4:16:28 A.... 606.208 592,00 K

18 items found: 18 files (7 H/S), 0 directories.
Total of file sizes: 10.034.180 bytes 9,57 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DC83-AB78

Verzeichnis von C:\windows\System32

24.01.2006 15:40 236.307 nyrsfr.dll
24.01.2006 15:40 237.151 o4480ehueh480.dll
24.01.2006 15:29 236.307 j8l4li3q18.dll
23.01.2006 20:30 237.282 n6n60g5se6.dll
23.01.2006 17:12 235.059 lv4209hoe.dll
22.01.2006 18:02 236.139 MVCTF.dll
22.01.2006 17:14 236.139 c6000gdme60a0.dll
22.01.2006 15:57 <DIR> dllcache
29.09.2004 15:51 <DIR> Microsoft
7 Datei(en) 1.654.384 Bytes
2 Verzeichnis(se), 3.483.508.736 Bytes frei

Hallo Jen,

hast Du mit L2mfix auch schon die Optionen 2 und 4 angewendet?

dartus