Zitat:

Zitat von Hypophysis

Hab bis jetzt auch keine neuen funde.

Aber sauber ist der Rechner nicht, was auch nicht zu erwarten war. Im Gegenteil, es taucht jede Menge Malware neu auf:

Zitat:

O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\system32\rqrrsss.dll (file missing)
O2 - BHO: (no name) - {90D274DE-2466-47AF-A4AA-4D900CED0312} - C:\WINDOWS\system32\gebyx.dll (file missing)
O2 - BHO: {961e477e-29b9-bb4a-4a94-94740c13ab8a} - {a8ba31c0-4749-49a4-a4bb-9b92e774e169} - C:\WINDOWS\system32\cwviymem.dll (file missing)
O4 - HKLM\..\Run: [50a95d23] rundll32.exe "C:\WINDOWS\system32\dyvrxpbe.dll",b
O20 - Winlogon Notify: rqrrsss - rqrrsss.dll (file missing)

Wie bereits gesagt, der ursprüngliche Eintrag:

Zitat:

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe

deutet auf eine Backdoor hin, auch wenn die Datei algs.exe auf deinem System nicht mehr aufzufinden ist. Du musst daher dein System neu aufsetzen, im Anschluss alle verwendeten Passwörter ändern.

na super... naja danke für die hilfe

Das hjt file nach dem neu aufsetzen

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:23, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Artur\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q5IR8LAR\Install_ICQ6[1].exe
C:\Dokumente und Einstellungen\Artur\Desktop\HJT\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD78B60A-58D0-42D4-BC79-E414A198B2E1}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 3365 bytes

Dazu soll gesagt sein, dass ich vor dem formatieren von C meine musik bilder video und text dateien auf D übertragen hab und diese somit nicht mit formatiert wurden.

Das aktuelle Logfile ist sauber. Ich nehme mal an, dass dieser Eintrag:

Zitat:

C:\Dokumente und Einstellungen\Artur\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q5IR8LAR\Install_ICQ6[1].exe

mit einer von dir veranlassten ICQ-Installation in Verbindung steht. Wenn du diese Software aus einer vertrauenswürdigen Quelle hast, dürfte da kein Problem bestehen.

Zitat:

Dazu soll gesagt sein, dass ich vor dem formatieren von C meine musik bilder video und text dateien auf D übertragen hab und diese somit nicht mit formatiert wurden.

Gut, eine Formatierung aller Partitionen und anschließende Neupartitionierung wäre vorzuziehen gewesen. Daten, Bilder und Musik zu sichern ist in der Regel unproblematisch; ausführbare Dateien sollten nicht gesichert, sondern nach dem Neuaufsetzen aus der jeweiligen Original-Quelle neu heruntergeladen werden.

Vergiss nicht, sicherheitshalber alle verwendeten Passwörter - von "E" wie ebay bis "O" wie Online-Banking - zu ändern, falls noch nicht geschehen.

Da du D: nicht formatiert hast, lege ich dir ans Herz, dein gesamtes System mit AntiVir im abgesicherten Modus und "aggressiver" Heuristik noch einmal durchzuscannen; falls sich dabei etwas Auffälliges ergibt, bitte noch mal melden.