Hilfe ich hab nen Virus und der löscht alle Antivirus Dateien!

Dreamingtune

Hallo ihr fleissigen Helfer

Seit Sonntag weiss ich, dass sich auf meinem Computer ein Virus (oder mehrere) befindet. Ich wurde stutzig als plötzlich Avast, mein Antivirus nicht mehr lief und sich auch nicht mehr starten liess.

Desinstallieren und neuinstallieren hat nichts genützt, alle wichtigen exe Dateien verschwinden (!) nach der Installation aus dem Programmverzeichnis! (Ich hatte den Ordner offen und konnte zugucken )

Installation aller andern Antivirus Programmen wie zb. Kaspersky, Antivir, Microsoft Virenschutz etc schlagen fehl, entweder fehlen wieder alle Exe Dateien oder Virusdatenbanken lassen sich nicht aktualisieren.

Onlinevirenscan mit Kaspersky ergab 4 Virenfunde




Virensuche mit Panda ergab ein Virus (wurde desinfiziert, ist aber bei jedem neuen Scan wieder da anscheinend) und ein Rootkit:


Ereignis Zustand Standort

Virus:w32/bagle.hx.worm Desinfiziert Betriebssytem
Hacktool:rootkit/mhook Nicht desinfiziert hkey_local_machine\system\currentcontrolset\services\m_hook
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@hitbox[1].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***a@doubleclick[1].txt
Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[1].txt
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@ehg-idg.hitbox[1].txt
Spyware:Cookie/Weborama Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@weborama[2].txt
Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@adtech[2].txt
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@as1.falkag[2].txt
Spyware:Cookie/Com.com Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@com[1].txt
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@statse.webtrendslive[1].txt
Spyware:Cookie/Toplist Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@toplist[1].txt
Spyware:Cookie/Casalemedia Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@casalemedia[1].txt
Spyware:Cookie/cs.sexcounter Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@cs.sexcounter[2].txt
Spyware:Cookie/Searchportal Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@searchportal.information[1].txt
Spyware:Cookie/Xiti Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***a@counter4.sextracker[1].txt
Spyware:Cookie/XXXCounter Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@xxxcounter[1].txt
Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@sextracker[2].txt
Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@as-eu.falkag[1].txt
Spyware:Cookie/Tradedoubler Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
Spyware:Cookie/Tribalfusion Nicht desinfiziert C:\Dokumente und Einstellungen\***\Cookies\***@tribalfusion[1].txt
Spyware:Cookie/Adviva

Desinstallation oder löschen der Dateien fehlgeschlagen. Ich wollte es im abgesicherten Modus versuchen aber der lässt sich schon gar nicht ausführen (

Gibt es Rettung für mich und meinen Compi oder komm ich um ein kompletes Format C nicht herum? (Hab doch erst vor 1 Woche Windos neu aufgesetzt )

Könnt ihr mir helfen? Bin offen für jeden Tip, kopier euch auch gerne weitere Screenshots etc wenns helfen würde! Hier schon mal als letztes der aktuelle Hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:03:36, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\WINDOWS\system32\sessmgr.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\PROGRA~1\NOCTRA~1\NOCTRA~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O4 - HKCU\..\Run: [Noctramic] C:\PROGRA~1\NOCTRA~1\NOCTRA~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download über Download &Express - C:\Programme\Download Express\Add_Url.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h*p://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h*p://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h*p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h*p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h*p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://w*w3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - h**p://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4955/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Vielen Dank im Voraus

Dreami