39 Viren?!? Trotz Norton und HiJackThis!? Bitte um Hilfe =(
 

Hallo Zusammen.

Erstmal ein großes Lob an dieses Forum. Ist schön, dass es noch hilfsbereite User gibt...
Jedenfalls bekomme ständig neue Fenster mit komischen Internetseiten geöffnet während ich surfe. Hier die Seiten die sich immer öffnen:

[b]free6.se
540.scmg.net/randomsites/pages/28.html
540.scmg.net/randomsites/pages/27.html
paypal.com/row/mrb/pal=Z5FHGWJGHLH9N[b]

Nun, jetzt hab ich eben mal mit dem eScan AntiVirus meinen Rechner scannen lassen. Das Resultat hat mich umgehauen:

File C:\WINDOWS\pup.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vbsys2.dll_old infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\_865c.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\shRmW.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ompc.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\vbsys2.dll_old infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\_865c.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\shRmW.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ompc.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\pup.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Daney\Lokale Einstellungen\Temp\gain_trickler_3202.exe tagged as not-a-virus:AdWare.Gator.3202. No Action Taken.
File C:\Dokumente und Einstellungen\Daney\Lokale Einstellungen\Temp\WinWildApp.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.
File C:\Dokumente und Einstellungen\Daney\Lokale Einstellungen\Temp\update_1.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.
File C:\Dokumente und Einstellungen\Daney\Lokale Einstellungen\Temp\Qs.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.
File C:\Dokumente und Einstellungen\Daney\Lokale Einstellungen\Temp\setb0.tmp infected by "TrojanDownloader.Win32.Small.iq" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Daney\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\proc.jar-16c79c2c-4d3e7c97.zip infected by "TrojanDropper.Java.Small.c" Virus. Action Taken: No Action Taken.
File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Small.iq" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\461812EB.zip infected by "Trojan.Java.ClassLoader.o" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\72984953.php infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\3D5126AB.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\27D56C79 infected by "TrojanDownloader.Win32.Harnig.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\2D851236 infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\2D893C32 infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\0F9B731E infected by "TrojanDownloader.Java.OpenStream.c" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\5B8E24C6 infected by "Trojan.Java.ClassLoader.d" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\50F52F37 infected by "Trojan.Java.ClassLoader.f" Virus. Action Taken: No Action Taken.
File C:\Programme\Jasc Software Inc\Paint Shop Pro 7\Register.exe tagged as not-a-virus:AdWare.VirtualBouncer.e. No Action Taken.
File C:\Palace\palace-103.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\ied_s7m.cab infected by "Trojan-Downloader.Win32.Mediket.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\vbsys2.dll_old infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\_865c.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\shRmW.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ompc.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\pup.exe infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: No Action Taken.

39 Viren!? Mein Rekord... Kann mir bitte jemand helfen? Danke schon mal im voraus :dummguck: HiJackThis Log poste ich noch gleich dazu.

hab gerade meine norton firewall deinstalliert. grund: ich hatte darauf keine zugriffsrechte mehr? und ja, ich bin admin von meinem rechner...man man irgendwas muss da zu machen sein. und sagt bitte nicht dass ich das sp2 brauche, ich hasse es.


Logfile of HijackThis v1.97.7
Scan saved at 19:16:06, on 04.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Saves\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100252490328
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{94EE291D-526B-485E-8F9D-4F15DC5475D1}: NameServer = 217.237.151.161 217.237.151.33

hi, bitte ein vollständiges HijackThis -Logfile posten

das kannst du über dein vorheriges posten, ok einfach editieren drücken, markieren, entfernen und neues logfile einfügen

Mache bitte die links in deinem ersten Posting unkenntlich

hi

nun wiederholen wir das ganze nocheinmal, bitte die aktuelle version von HJT verwenden -> h ttp://www.hijackthis.de/hijackthis_198.zip

bitte um entschuldigung. habe die links "ungentlich" gemacht. falls das nicht reicht, lösch ich die ganz raus.

hab das neue hjt runtergeladen, und gerade eben neu gescannt. hoffe dies mal taugts was:

Logfile of HijackThis v1.98.2
Scan saved at 20:03:44, on 04.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daney\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100252490328
O17 - HKLM\System\CCS\Services\Tcpip\..\{94EE291D-526B-485E-8F9D-4F15DC5475D1}: NameServer = 217.237.151.161 217.237.151.33
O20 - AppInit_DLLs: NVDESK32.DLL,wbsys.dll
O21 - SSODL: System - {2FD0176E-108C-480F-A893-3C484AC6C07D} - C:\WINDOWS\system32\system32.dll

hi

naja, sieht gleich ganz anders aus ;)

C:\WINDOWS\system32\system32.dll
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
mit jotti onlinescan überprüfen http://virusscan.jotti.org/de

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
fixen



adaware und spybot s&d downloaden und im abgesicherten modus scannen und bereinigen lassen.

http://www.clearprog.de/programme/clearprog/index.php downloaden und bereinigen lassen.

onlinescan mit http://de.trendmicro-europe.com/ente...usecall_it.php durchführen/bereinigen lassen

wenn das system stabil ist, die systemwiederherstellung deaktivieren, neustart, swh wieder aktivieren.
dies kann auch nach 2-3 tagen durchgeführt werden.

alles käse.
habe formatiert, und schon wieder habe ich diese verfluchten fenster die sich dauernd öffnen...
hier nochmal ein scan, bevor ich mit adaware und spybot o, save mode scannen lassen. hoffe echt dass es dann weg ist...

Logfile of HijackThis v1.98.2
Scan saved at 16:28:03, on 16.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel Ocean\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt p://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC114E73-1178-4483-8EC0-82E2E6451A09}: NameServer = 217.237.151.161 217.237.151.33
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

gibts das!?
also gerade eben im abgesicherten modus den adaware (ja, habe ihn uptodate) und spybot scannen lassen. swh habe ich davor auch ausgeschaltet. aber was passiert wenn ich wieder online gehe? schon wieder öffnen sich mehrere fenster.

kann man dagegen denn gar nichts tun?

Logfile of HijackThis v1.98.2
Scan saved at 17:15:33, on 16.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel Ocean\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC114E73-1178-4483-8EC0-82E2E6451A09}: NameServer = 217.237.151.161 217.237.151.33
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

Formatier noch mal. Lade Dir vor dem Formatieren sämtliche Updates (ja, auch SP2 gehört dazu) runter. Schau mal auf winboard.org, da gibts fertige Update-Packs.

Dann gehst Du erst online, wenn sämtliche Updates installiert sind und Du außerdem sicher bist, dass die XP-Firewall aktiv ist.
Dein erster Weg führt Dich trotzdem zu http://windowsupdate.com, um zu überprüfen, ob alle Updates installiert sind. Dein zweiter Weg führt Dich zu mozilla.org (oder opera.com), um Dir einen sicheren Browser zu besorgen.
Den Internet Explorer wirst Du nur noch für Windowsupdates nutzen.

Pflichtlektüre

Gruß :daumenhoc
Yopie

ja, super idee das mit dem xp updates. aber jedesmal wenn ich die im abgesicherten modus starten möchte steht dran dass meine product key ungültig wäre!?

und eines verstehe ich immernoch nicht: ich habe norton av & fw, adaware, spybot drüber laufen lassen. alles findet <u>nichts</u>?!?! und trotzdem kommen diese seiten andauernd.

und jetzt sagst du, dass ich nochmal formatieren <u>und</u> noch einen browser benützen soll? gibts keine andere möglichkeit?

Ist er es denn? Wenn ja: Man kann ein Betriebssystem auch kaufen, oder auf freie Alternativen umsteigen (ich versuche es gerade).
Und warum im abgesicherten Modus?

Das liegt am Internet Explorer. Der ist sicherheitstechnisch mehr als bedenklich, wenn man nicht genau weiß, wie man ihn einstellen muss.

Da Du das ja gerade noch gemacht hast, kommts auf ein zweites Mal auch nicht an. Wenn Du es machst, hast Du Gewissheit, dass Dein System sauber ist, saubere Installationsmedien vorausgesetzt.

Du wirst allerdings immer wieder Probleme haben, wenn Du den IE benutzt und zusätzlich auf "unseriösen" Seiten surfst. Von alleine kommen so Browser Hijacker nämlich nicht.

Gruß :daumenhoc
Yopie

mein product key ist ok. davor gabs ja auch keine probleme mit den service packs.
und bei meinem pc dauert es ewig bis alles formatiert ist und wieder drauf installiert ist. somit macht es schon was aus... nein. ich habe formatiert weil ich hoffte das problem lösen zu können. aber anscheinend ging es weder mit adaware, spyware und und norton zeugs.

bin ich den der einzige mit dem problem? und diese "unseriösen" seiten würd ich gern mal wissen welche das sind.
http://virusscan.jotti.org/de sagt übrigens das:

Last piece of malware found was Trojan.Win32.VB.qn in prvtect.exe, detected by:

AntiVir X 0.15 seconds
Avast X 1.51 seconds
BitDefender X 0.61 seconds
ClamAV X 0.36 seconds
Dr.Web BACKDOOR.Trojan 0.53 seconds
F-Prot Antivirus X 0.11 seconds
Kaspersky Anti-Virus Trojan.Win32.VB.qn 0.63 seconds
mks_vir X 0.32 seconds
NOD32 X 0.54 seconds
Norman Virus Control X 0.68 seconds

:crazy:
Schau Dich mal hier im Forum um.... ;)

Achtung! Das ist die Ausgabe am Ende der Seite. Die bezieht sich aber auf einen Scan, der vorher durchgeführt wurde. Wichtig ist das, was in der Tabelle direkt unter dem Button "Make a donation" steht!

Gruß :daumenhoc
Yopie

Service load: 0% 100%

Status: Ready for upload

?!? :dummguck:

Naja, hochladen solltest Du die Datei schon. ;) Ganz oben auf der Seite!

Gruß :daumenhoc
Yopie

aha und welche?

Die, die Dir passat2002 in http://www.trojaner-board.com/showpo...29&postcount=7 genannt hat.

Glaube aber nicht, dass da was bei rauskommt.

Gruß :daumenhoc
Yopie

würd ich machen wenn ich die noch hätte lol. noch nicht alles ist installiert bei mir nach dem formatieren.
und diese dateien welche er aufgeführt hat, sind also nicht da. problem ist aber trotzdem noch vorhanden.

irgendwie kapier ich die seite nicht. weil die zeit mir jedes mal an dass ich einen anderen virus habe. und adaware und http://de.trendmicro-europe.com/ente...usecall_it.php findet auch nix.

lol ich bin so am :lmaa:

Du solltest die Updates auch nicht im abgesicherten Modus installieren, sondern im normalen, allerdings halt vorher noch nicht online gehen. Wenn du das mit einem völlig nackten System machst, ohne wenigstens die XP-eigene Firewall zu aktivieren, ist das Formatieren sinnlos. Dasselbe gilt für den Fall, wenn du verseuchte Software aus dem alten System gleich wieder übernimmst. Faustregel ist, zunächst nur Originalsoftware zu installieren, alles andere kann man im Zweifelsfall wieder neu herunterladen.

Hier hast du eine genauere Anleitung:

http://board.protecus.de/showtopic.p...me=1097944155&

Wenn du das SP2 partout nicht installieren willst (obwohl es das einfachste für eine Neuinstallation wäre), dann solltest du aber wenigstens alle Sicherheitspatches herunterladen.

hi

glaube ich nicht, der virus sitzt vorm bildschirm :crazy:

ja, wenn du dein system meinst, hier sind wirklich löcher vorhanden

wenn du nach der installation von winxp, sofort sp2 installierst, brauchst du momentan (betonung beachten) kein update, aber die firewall aktivieren, dann ans netz und dann das aktuelle update ziehen.

du kannst aber so weitermachen, dann wirst du meister im formatieren :D

sp2 würde ich doch gern installieren? sp1 und sp2 natürlich. aber keines davon lässt sich installieren. und glaubt mir, ich habe die 2 updates gleich nach dem formatieren installieren wollen, aber nix wars.

passat deine methode... äh. naja wird bei diesem update auch die sp installiert?
übrigens habe ich schon bereits den schwarzen gürtel im formatieren. ich würd jetzt gern den meister in sicherheitslöcher in meinem system machen -.-

Kann es sein,dass du einen Key nutzt der bei Billy Boy schon über dem Bett hängt,sprich illegal?

Ansonsten habe ich noch keine Probleme gehabt auf irgendeinem Rechner das SP2 zu installieren!

Das SP1 musst du nicht drauf machen,wenn du das SP2 hast!


Gruss

nein mister kautz. es ist ein gewöhnlicher key der auch immer zusammen mit der cd funktioniert hat. und das weis ich mit sicherheit. und illegal ist da nix.

Das war nicht böse gemeint ;)

Die version habe ich immer gezogen:

http://www.microsoft.com/downloads/d...displaylang=de

Weder bei XP Home noch bei Prof Probleme bei der Installation gehabt!

Müsste ja wenn eine Fehlermeldung kommen,oder?

Gruss

hey, kein ding, habs ja auch nicht böse aufgefasst.
ich zieh mir das jetzt eben nochmal. aber ich habs schon sooo oft runtergeladen, und nie ging es.

kann es vielleicht sein, dass es ein virus ist, der es verhindert die sp zu installieren? nur mal eine idee?

Möglich ist in dem Bezug vieles,einige Rbot Versionen schalten auch sämtliche Virenscanner aus,blockieren deren Update Seite etc.

Normaler Weise wäre es das Beste,du ziehst dir von einem sauberen Rechner das SP2 und brennst es auch dort.

Soweit ich weiss gibt es bei MS mehrere Links zum DL vom SP2,und bei einer hatte ich auch mal Probleme,ist aber schon paar Tage her!;-)

Da ich aber von dem mir genannten Link jetzt schon 4 unterschiedliche Rechner gemacht habe,sollte das auch klappen!

Gruss

folgende meldung bekomme ich wenn ich sp2 installieren möchte:

Windows XP Service Pack 2 kann nicht installiert werden.

Der für die Installation von Microsoft Windows verwendete Product Key ist eventuell ungültig. Weitere diese Fehlermeldung betreffende Informationen, sowie Hinweise zur Behebung dieses Problems finden Sie auf blah.

super oder? und ganz ehrlich: ich hatte noch nie wegen meines product keys irgendwelche probleme.
aber mir bleibt wohl jetzt keine wahl als wieder zu formatieren und mit win aktiver fw das win xp update durchzuführen. hoffentlich bekomm ich dann irgendwie sp2 drauf...

Tja,wohl doch die CD von einem Freund desen Freundes etc.

Von mir bekommst du an dieser Stelle keine Tipps,sorry!

schon lustig, einem wird sofort unterstellt dass man was illegales hat. ich könnt euch jetzt auch einen vom pferd erzählen. aber: davor ging es. wenn es wohl eine raubkopie war, wird es davor wohl auch nicht gegangen haben?

also: ich formatiere jetzt nochmal. danach mit aktiver fw updates installieren (würd ich wohl auch gerade mit ner gebrannten key machen ne?) und dann nochmal die sp. mal schauen obs hinhaut. und wenn ned, ruf ich eben bei ms an rofl

habe formatiert. ins internet gegangen, und sp2 runtergeladen. wieder das gleiche problem. das sp2 auf ne andere partion gelegt.
wieder neu formatiert.
gleich danach wieder versucht sp2 zu installieren. diesmal ging es zum installieren. aaaber...

und nun das problem: ich komme nicht mehr ins normale windows rein. nur in den abgesicherten. wenn ich versuche ins normal reinzukommen, bekomme ich nen blue screen mit folgendem text:

Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.

IRQL_NOT_LESS_OR_EQUAL

Wenn Sie diese Fehlermeldung zum ersten mal angezeigt bekommen, sollten Sie den Computer neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen Sie folgenden Schritten folgen:

Stellen Sie sicher, dass neue Hardware oder Software richtig installiert ist. Fragen Sie Ihren Hardware- oder Softwarehersteller nach möglicherweise erforderlichen Windows-Updates, falls es sich um eine Neuinstallation handelt.

Falls das Problem weiterhin bestehen bleibt, sollten Sie alle neu installierte Hardware oder Software deinstallieren. Deaktivieren Sie BIOS-Optionen wie Caching oder Shadowing. Starten Sie den Computer neu, drücken Sie die F(-Taste, um die erweiterten Startoptionen zu wählen, und wählen Sie dann den abgesicherten Modus, falls Sie zum Löschen oder Deaktiveren von Komponenten den abgesicherten Modus verwenden müssen.

Technische Information:

*** STOP: 0x0000000A (0xF4EFB140, 0x00000001, 0x804D92A4)

ich weiss dass es sich jetzt wohl kaum noch um ein virus handeln könnte, aber es wäre trotzdem nett hilfe zu bekommen.
irgendwie wird man doch das sp2 wieder draufbekommen? immerhin hatte ich es ja mal auf dem rechner...

danke im voraus.