Hallo,
vielen Dank zuerst für Eure schnellen Antworten. Ich hoffe ich hab alle Hausaufgaben erledigt...
Die Datei vom Norman war C:\windows\winlogon32.dll
Zu C:\APO\IOMINISV.EXE dieses Programm kenne ich.

Die drei Fixes im HJT und dann AVZ wie angegeben habe ich ausgeführt.
Hier das neue HJT Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:49:48, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

@sunny: Das mit dem Virustotal hat etwas gedauert und ich verstehe nicht so genau, was ich Euch hier antworten soll. Es ist aber was gefunden worden, vielleicht hilft Euch der Link zum Ergebnis:
::::: VirusTotal :::::

Einen Escan hatte ich vorher auch noch mit folgendem Ergebnis durchgeführt:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Mon Apr 23 16:28:57 2007 => Virus-Datenbank Datum: 4/23/2007
Mon Apr 23 17:01:20 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:39 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:48 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:04 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:19 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:43 2007 => Datei C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:35:39 2007 => Datei C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002320.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002332.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002339.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:54:05 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:27 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:45 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:59:10 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 17:01:20 2007 => Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 23 16:31:42 2007 => File C:\DOKUME~1\Apotheke\LOKALE~1\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:31:59 2007 => Datei C:\APO\ALT\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:32:42 2007 => Datei C:\APO\ALT\IOUPD.EXE//WISE0296.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:33:21 2007 => Datei C:\APO\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:35:38 2007 => File C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:51:02 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001263.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:46 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001361.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:50 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001468.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:52:07 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001748.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Executable Command Found in D\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:31:40 2007 => C:\DOKUME~1\Apotheke\LOKALE~1\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 23 16:35:36 2007 => C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\i386\HOSTS:
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 17:01:20 2007 => Gescannte Dateien: 59047
Mon Apr 23 17:01:20 2007 => Gefundene Viren: 25
Mon Apr 23 17:01:20 2007 => Anzahl der desinfizierten Dateien: 0
Mon Apr 23 17:01:20 2007 => Umbenannte Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl der gelöschten Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl Fehler: 24
Mon Apr 23 17:01:20 2007 => Dauer des Scans bisher: 00:31:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:08 2007 => Specherüberprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Registry Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung aller Festplatten :Aktiviert

So...
...Leider läuft der Rechner nur noch im abgesicherten Modus.
Ist noch was zu retten?

Herzliche Grüße aus Berlin
Robert

Das Hijacklog sieht schon ganz gut aus, aber ein paar Dateien scheinen da immer noch zu sein.

Mach daher folgendes:


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\42382910.dll
C:\WINDOWS\system32\ipv6mops.dll
C:\WINDOWS\winlogon32.dll
C:\WINDOWS\system32\pefhvioc.exe
C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Sunny

Zitat:

Zitat von Bilch

...Leider läuft der Rechner nur noch im abgesicherten Modus.

Bekommst du eine Fehlermeldung, wenn du im Normalmodus starten willst? Wenn Ja - welche?
Versuche im AVZ File/System Recovery zu starten.

Hallo und guten Morgen,
vielen herzlichen Dank Sunny für Deine schnelle Antwort, aber ich hatte gestern einfach kein Bock mehr auf Computer...
... neuer Tag neues Glück.
Der Rechner startet auch wieder im normalen Modus.
Aber: der IE startet automatisch und ruft "merkwürdige Seiten" auf...
Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ
Habe jetzt wie empfohlen die Systemwiederherstellung ausgeschaltet und lasse nun Norman über die Platte flitzen.
Melde mich sobald er fertig ist.
Soll ich dann den Avenger benutzen?
Vielen Dank nochmal!
Herzliche Grüße
Robert

Zitat:

Zitat von Bilch

Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ

1. Grundsätzlich: Norman ist eh keine gute Wahl (AV-Comparatives)
2. Führe im AVZ den Script aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\windows\winlogon32.dll');
 BC_DeleteFile('C:\windows\winlogon32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
         

3. Danach poste den neuen HJT-Log.
BTW: Seit gestern ist das Englische Unterforum bei Virusinfo.Info-Alma-Mater des AVZ-Tools eröffnet

Hallo,
1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz und war bisher eigentlich auch ganz zufrieden. Aber vor kurzem war wohl Norman wegen Installationsarbeiten abgeschaltet und ist anschließend nicht wieder aktiviert worden. Nachdem die Kollegin ein bischen gegoogelt hat ...
... den Rest kennt ihr. :-(
2. Habe ich ausgeführt.
3. HJTLogfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 11:35:36, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

Vielen Dank für Deinen Einsatz
Herzliche Grüße aus Berlin
Robert

@Bilch
Der letzte Log sieht sauber aus. Wenn es keine Meldungen von Norman mehr gibt, kann man von einer Bereinigung sprechen . Zur Sicherheit:
1. Lade AdAware+Spybot Search & Destroy herunter, updaten, scannen, Probleme beheben
2. http://www.trojaner-board.de/38066-e...ightymarc.html
. Bei Funden den Log (Find.bat bitte verwenden!!!) posten.

Hallo,
das wäre ja auch zu schön um wahr zu sein...
... als AdAware lief schlug Norman wieder mit der gleichen Meldung an.
habe HJT erneut laufen lassen mit folgendem Protokoll:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:17:19, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winlogon32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

Soll ich jetzt den eScan starten?
Danke
Gruß
Robert