Trojaner ohne ende
 

So Leutz!
Ich hab nu mal eScan durchlaufen lassen und das Ergebniss ist erschreckend. Wie kann ich diese Sachen loswerden weil ich nicht weiß in wie weit ich diese Dateien löschen kann und darf.
eScan-log

File C:\WINDOWS\kdedkvgx.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\180ax.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\180axhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\EDow_AS2.exe infected by "Trojan-Downloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\VT00.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\4X6FW1QN\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\73UNIHQR\frodo[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\73UNIHQR\loader2[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\816ZKHUF\bridge-c11[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\816ZKHUF\ysb_prompt[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\89ABCDEF\EDow_AS2[1].exe infected by "Trojan-Downloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\89UB4H6J\180ax[1].exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\89UB4H6J\index1[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\HV3JT9OE\package8032_SIAC[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\N3LJZ50W\ABoxInst_int4[1].exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\P1234567\VT00[1].exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\SX6FG1EB\ysb_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.gk" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\ULRSTOZ2\send_car_int[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MATTHI~1\LOKALE~1\TEMPOR~1\Content.IE5\ULRSTOZ2\stats[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-2c5b2899-49b6788b.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-4966bd13-38deb67c.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-6c900ef4-7140e87a.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-76ba5970-55083c39.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-ab3806d-1c59a717.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jar-1425fe31-11d41189.zip infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Programme\Installpro\Flash FXP\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\BSINSTALLDE.exe infected by "not-a-virus:AdWare.SaveNow.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\codecs All Codec You Need Divx, Xvid, Nimo5 Build 8, Smr, Vcd, Svcd Codecs And Windvd Releasedbyc H B Ghg 06 2003.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\gcs1005.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\Norton Internet Security 2005 mit KeyGen.rar infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\vnc-4.0-x86_win32\vnc-4.0-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.4. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\vnc-4.0-x86_win32.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.4. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\WinRAR v3.30 Final deutsch-german + keygen.rar infected by "Trojan.Win32.StartPage.sv" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4X6FW1QN\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\73UNIHQR\frodo[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\73UNIHQR\loader2[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\816ZKHUF\bridge-c11[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\816ZKHUF\ysb_prompt[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF\EDow_AS2[1].exe infected by "Trojan-Downloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89UB4H6J\180ax[1].exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89UB4H6J\index1[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HV3JT9OE\package8032_SIAC[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N3LJZ50W\ABoxInst_int4[1].exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P1234567\VT00[1].exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SX6FG1EB\ysb_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.gk" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ULRSTOZ2\send_car_int[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ULRSTOZ2\stats[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\RECYCLER\S-1-5-21-1417001333-113007714-725345543-1004\Dc112.rar infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1417001333-113007714-725345543-1004\Dc113.rar infected by "Trojan.Win32.StartPage.sv" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP241\A0078784.exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP241\A0078785.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP241\A0078786.dll infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP241\A0078787.dll infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP243\A0078984.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP244\A0079261.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP244\A0079338.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP253\A0080852.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP274\A0084743.EXE infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP275\A0086819.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP275\A0086820.EXE infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP275\A0086821.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP275\A0086900.exe infected by "Trojan-Downloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP276\A0087113.exe infected by "Trojan-Downloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP276\A0087193.EXE infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\180ax.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\180axhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ABoxInst_int4.exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinAdToolsX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\EDow_AS2.exe infected by "Trojan-Downloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.
File C:\WINDOWS\VT00.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.

hjt-log

Logfile of HijackThis v1.99.1
Scan saved at 13:53:44, on 28.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\xchat\xchat.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ps1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [kdedkvgx] C:\WINDOWS\kdedkvgx.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/213fa899...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex...amesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game19.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

Hoffe auf schnelle Hilfe und schönen Dank im voraus

Hey tiddy,
also, fang mal an:
clearprog runterladen, alle Haken bei Window und IE machen, Einstellungen speichern (zweiter Button von links) und auf "löschen" gehen. Dann sind die temp internet files weg.
Dann die Sytemwiederherstellung ausschalten und neu booten, dann Systemwiederherstellung an. Dann sind die "System Volume Information\_restore" weg.
Dann den Java-Cache leeren (dannn sind die: File C:\Dokumente und Einstellungen\Matthias Jansen\Anwendungsdaten\Sun\Java\Deployment\cache) weg.
Dann neuen eScan machen und was noch übrig ist im abgesciherten MOdus manuell löschen. Dann Ergebnis posten.
cacatoa

Hi
Also ich bin alle deine Schritte durchgegangen. Hat auch alles gut geklappt is nur zeitaufwändig. Hier mein log. Allerdings sind noch einige Fehler dabei.

File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Programme\Installpro\Flash FXP\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\codecs All Codec You Need Divx, Xvid, Nimo5 Build 8, Smr, Vcd, Svcd Codecs And Windvd Releasedbyc H B Ghg 06 2003.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\vnc-4.0-x86_win32\vnc-4.0-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.4. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\vnc-4.0-x86_win32.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.4. No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP1\A0000083.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP1\A0000084.exe infected by "not-a-virus:AdWare.SaveNow.c" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP1\A0000085.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\System Volume Information\_restore{7E015559-8DC5-4C8E-8EFA-FAC949940FBD}\RP1\A0000086.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ABoxInst_int4.exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinAdToolsX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

Zu den Prog. Die ersten benutz ich. Es geht los bei dem Absatz den ich gemacht hab. Die wurde ich nich los. Ich hatte die Systemwiederherstellung aus und gebootet. Und die letzten beiden hab ich nicht gefunden als das ich sie hätte weg machen können. Ich hoffe das man das noch hin biegen kann

Deaktiviere nochmals die Systemwiederherstellung und lass sie solange aus, bis Du den Rest im abgesicherten Modus manuell gelöscht hast.
Um die Dateien in "Downloaded Program Files" zu löschen, lade Dir den TotalCommander herunter und nimm folgende Einstellungen vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok
Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandeten Dateien löschen.
Die restlichen Dateien (bei der RiskWare und den Reboot-Einträgen musst Du entscheiden, was davon von Dir noch benötigt wird...RiskWare würde ich löschen, Reboot könnte bleiben) versuche im abgesicherten Modus manuell zu löschen.

Danach erneut eScan laufen lassen - ebenso im abges. Modus - und das Log erneut posten.

Noch eine Empfehlung....denke mal über einen Browserwechsel nach - z.B. zu Firefox und nutze den IE nur noch für Updates.

Danke nochmal. Anscheinend is mein System wieder clean. Ich benutze seid gestern Firefox. Hier mein eScan-log

File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Programme\Installpro\Flash FXP\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\codecs All Codec You Need Divx, Xvid, Nimo5 Build 8, Smr, Vcd, Svcd Codecs And Windvd Releasedbyc H B Ghg 06 2003.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Dokumente und Einstellungen\Matthias Jansen\Desktop\Winmx\Programme(Allgemein)\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

Die Programme will ich drauf behalten. Vielleicht lösch ich auch noch mirc. Mal sehen. Nochmals schönen Dank für die Hilfestellung

Hi,
so wie es jetzt ist, ist es gut.
Poste noch ein HJT-Logfile zum Abschluß.
cacatoa

Hier nun noch der hjt-log

Logfile of HijackThis v1.99.1
Scan saved at 12:02:58, on 01.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\xchat\xchat.exe
C:\WINDOWS\System32\wisptis.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ps1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/213fa899...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex...amesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game19.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

Hi, tiddy,
da ich davon ausgehe, daß du ziemlich zockst, können Deine O16 einträge erhalten bleiben. Es schadet aber nicht, wenn Du sie ab und zu mit HJT fixt.
Ansonsten ist es jetzt o.k.
cacatoa

Ok danke für die freundliche und schnelle Hilfe.