Schlimmer Befund: Antivirenprogramme, abgesicherter Modus und Internet tun nicht mehr
 

Hallo Virenexperten!

Vorweg: ich bin ein Trottel! Hab heut ne kleine exe-Datei (97.280 B) geöffnet, obwohl ich nicht sicher war, ob sie infiziert ist. Hab vorher manuell Avast drüber laufen lassen. Der hat sich nicht beschwert. Sofort meldete mein Spybot Reg-Einträge, die ich alle abwies. Dann startete ich Spybot, lud aktuelle Downloads und sollte das System neu starten. Machte ich auch. Nach dem Neustart konnte ich Spybot nicht mehr laden, genausowenig wie avast. Außerdem kann ich nicht mehr ins Internet!! Ein starten im abgesicherten Modus (mit F8 am Anfang) ist auch nicht möglich. Lediglich über msconfig komme ich in den Diagnose-abgesicherten-Modus. Hilfe! Was ist da los?

Wie werde ich diesen Virus/Trojaner los? Ist ein Neuaufsetzen des Systems nötig? Ich will nicht, dass Dritte irgendwelche Daten ausspionieren können.

Habe mal die Ergebnisse von hijackthis und escan angehängt. 66 gefundene Viren, scheiße! Es handelt sich aber hauptsächlich um 2:
- tencent qq Spyware/Adware
- BkCln.Unknown

Hoffentlich kann mir jemand helfen!
_____________________________
Logfile of HijackThis v1.99.1
Scan saved at 21:20:38, on 09.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Acer\ePM\EPM-DM.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Total Cmd\TOTALCMD.EXE
f:\es_iwne.exe
C:\DOKUME~1\Tom\LOKALE~1\Temp\is-RV4HJ.tmp\is-F1TSR.tmp
C:\Programme\eScan\scaninst.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\PROGRA~1\eScan\mwavscan.com
C:\PROGRA~1\eScan\kavss.exe
f:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/i_kat_207.php?lang=eng
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B572473-5EE9-4C2F-AF36-97BF5DC88AE7}: NameServer = 192.168.6.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B572473-5EE9-4C2F-AF36-97BF5DC88AE7}: NameServer = 192.168.6.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B572473-5EE9-4C2F-AF36-97BF5DC88AE7}: NameServer = 192.168.6.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{4B572473-5EE9-4C2F-AF36-97BF5DC88AE7}: NameServer = 192.168.6.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

_______________________________________
eScan:

Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\Access.FDF.2" verweist auf das ungültige Objekt "{A00CA927-D687-573F-8657-7E36D63B27A4}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\DirectAnimation.PathControl" verweist auf das ungültige Objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\DirectAnimation.Sequence" verweist auf das ungültige Objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\DirectAnimation.SequencerControl" verweist auf das ungültige Objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\DirectAnimation.SpriteControl" verweist auf das ungültige Objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\DirectAnimation.StructuredGraphicsControl" verweist auf das ungültige Objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\UPnP.Microsoft.3" verweist auf das ungültige Objekt "{3A6EA42B-45B4-BBDA-268B-C34079D934BD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\WbemScripting.HWEventHandlerShellExecute.1" verweist auf das ungültige Objekt "{A3D09C94-2200-B2AA-4EEC-0B30CAF47738}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ashAvast.exe" verweist auf das ungültige Objekt "C:\Programme\Alwil Software\Avast4\ashAvast.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" verweist auf das ungültige Objekt "C:\WINDOWS\System32\cmmgr32.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" verweist auf das ungültige Objekt "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" verweist auf das ungültige Objekt "C:\Programme\Ligos\Indeo\yourapp.Exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\NewTech Infosystems\NTI CD-Maker\Default\FileCD\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\NewTech Infosystems\NTI CD-Maker\Default\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\NewTech Infosystems\NTI Backup NOW! 3\Default\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".05". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mpga". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ssm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".xpl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "BearPaw 1200CU v1.2". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "ieupdate". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "InstallShield_{6DD28220-44BE-4882-B9C3-73B6F876046E}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB821187". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB822603". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB826939". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "oeupdate". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Q327979". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "q329623". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Spybot - Search & Destroy_is1". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{1C27C64B-D5CF-4881-A310-0BD2A0D21927}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{50D8FFDD-90CD-4859-841F-AA1961C7767A}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Programme\Logitech\QuickCamWebInstall\Drivers\Bin\Update.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\MSN\MSNCoreFiles\update.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\$hf_mig$\KB873339\update\update.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\WINDOWS\$hf_mig$\KB885836\update\update.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\WINDOWS\$hf_mig$\KB885894\update\update.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\WINDOWS\$hf_mig$\KB887472\update\update.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

_______________________________

Für schnelle Hilfen bin ich unendlich dankbar.
Gruß, Tom

Lese nochmals die Anleitung zum escan und poste die mit der find.bat erzeugte Datei.

Also hier nochmal alle Anleitungen was du abarbeiten sollest:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Sunny

Die Anleitung stimmt nicht mehr ganz. Auf der Downloadseite läd man jetzt eine es_iwne.exe anstatt des zip-Archivs runter. Das ganze installiert sich dann in C:/Programme und einen Ordner C:/Basis_X gibts zunächst nicht. Hab die find.bat jetzt einfach mal in den Programme/eScan-Ordner reinkopiert, sie ausgeführt und folgendes Ergebnis erhalten:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Feb 09 21:28:41 2007 => Version 8.5.1
Fri Feb 09 21:20:58 2007 => Virus-Datenbank Datum: 7/31/2006
Fri Feb 09 21:28:01 2007 => Virus-Datenbank Datum: 7/31/2006
Fri Feb 09 22:39:41 2007 => Virus-Datenbank Datum: 7/31/2006
Fri Feb 09 22:49:25 2007 => Virus-Datenbank Datum: 7/31/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Feb 09 22:10:39 2007 => C:\Programme\MSN\MSNCoreFiles\update.exe possibly infected and removed by background antivirus package!
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri Feb 09 21:18:50 2007 => Offending Key found: HKLM\Software\tencent !!!
Fri Feb 09 21:29:06 2007 => Offending Key found: HKLM\Software\tencent !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Feb 09 21:20:58 2007 => Gefundene Viren: 1
Fri Feb 09 22:39:41 2007 => Gefundene Viren: 66
Fri Feb 09 21:20:58 2007 => Anzahl Fehler: 51
Fri Feb 09 22:39:41 2007 => Anzahl Fehler: 180
Fri Feb 09 21:20:58 2007 => Dauer des Scans bisher: 00:02:44
Fri Feb 09 22:39:41 2007 => Dauer des Scans bisher: 01:10:54
Fri Feb 09 21:20:58 2007 => Gescannte Dateien: 21656
Fri Feb 09 22:39:41 2007 => Gescannte Dateien: 92198
Fri Feb 09 21:18:13 2007 => Specherüberprüfung: Aktiviert
Fri Feb 09 21:28:41 2007 => Specherüberprüfung: Aktiviert
Fri Feb 09 21:18:13 2007 => Registry Überprüfung: Aktiviert
Fri Feb 09 21:28:41 2007 => Registry Überprüfung: Aktiviert
Fri Feb 09 21:18:13 2007 => System-Ordner Überprüfung: Aktiviert
Fri Feb 09 21:28:41 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Feb 09 21:18:13 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Feb 09 21:28:41 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Feb 09 21:18:13 2007 => Überprüfung der Dienste: Aktiviert
Fri Feb 09 21:28:41 2007 => Überprüfung der Dienste: Aktiviert
Fri Feb 09 21:28:41 2007 => Überprüfung der Festplatten: Deaktiviert
Fri Feb 09 21:28:41 2007 => Überprüfung aller Festplatten :Aktiviert

______________________________

Hilft das weiter?? Wenn nicht, wie muss ichs anstellen, dass ein aussagekräftiger Scan herauskommt?

Danke für die Hilfe, Gruß Tom.

@Sunny

Vielen Dank für deine Tipps! Das Problem mit Virustotal ist: ich komme nicht mehr ins Internet!! Das Trojaner-Board besuche ich über den Laptop meiner Freundin. Hab daneben meinen im Diagnose-abgesicherten-Modus laufen.

Blacklight lade ich mir gleich runter und versuche es über den USB-Stick auf meinem Rechner zu installieren und gleich den Scan laufen zu lassen.

Das Hijacklog ist rein oberflächlich betrachtet sauber.
(was aber nichts zu sagen hat.)

Versuche erstmal den Scan mit Blcklight, vielleicht sagt der schon mehr aus..

Sunny

hier das Blacklightergebnis:

02/09/07 23:54:07 [Info]: BlackLight Engine 1.0.55 initialized
02/09/07 23:54:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/09/07 23:54:07 [Note]: 7019 4
02/09/07 23:54:07 [Note]: 7005 0
02/09/07 23:54:34 [Note]: 7006 0
02/09/07 23:54:34 [Note]: 7011 1840
02/09/07 23:54:35 [Note]: 7026 0
02/09/07 23:54:35 [Note]: 7026 0
02/09/07 23:54:35 [Note]: 7024 3
02/09/07 23:54:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/09/07 23:54:40 [Note]: FSRAW library version 1.7.1021
02/09/07 23:54:41 [Info]: Hidden file: c:\Dokumente und Einstellungen\Tom\Anwendungsdaten\hidires\hidr.exe
02/09/07 23:54:41 [Note]: 10002 2
02/09/07 23:54:41 [Info]: Hidden file: c:\Dokumente und Einstellungen\Tom\Anwendungsdaten\hidires\m_hook.sys
02/09/07 23:54:41 [Note]: 10002 2
02/09/07 23:54:41 [Note]: 10002 3
02/09/07 23:54:41 [Note]: 10002 3
02/09/07 23:54:41 [Note]: 10002 2
02/09/07 23:54:41 [Note]: 10002 2
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
02/09/07 23:55:43 [Note]: 10002 3
02/09/07 23:55:43 [Note]: 10002 2
02/09/07 23:55:43 [Note]: 10002 2
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepaden.hlp
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsm.dll
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\imepadsv.exe
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs411.dll
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs412.dll
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll
02/09/07 23:56:53 [Note]: 10002 3
02/09/07 23:56:53 [Note]: 10002 2
02/09/07 23:56:53 [Note]: 10002 2
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 3
02/09/07 23:56:55 [Note]: 10002 2
02/09/07 23:56:55 [Note]: 10002 2
02/09/07 23:56:59 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
02/09/07 23:56:59 [Note]: 10002 2
02/09/07 23:57:16 [Note]: 2000 1012
02/09/07 23:57:16 [Note]: 2000 1012
02/09/07 23:57:16 [Note]: 2000 1012
02/09/07 23:58:44 [Note]: 7007 0

Sehe ich auch so.
Dass escan nicht bereinigt und nix findet und bereinigt ist klar:

@Felix

Auf welche Virus-Datenbank bezieht sich das Datum 31.7.2006? Windows, eScan, Avast? Wie kann ich die ohne Internetzugang aktualisieren?

Gruß

@guenther..

Tut mir zwar Leid dir das sagen zu müssen, aber bei dir ist ein sogenanntes Rootkit aktiv, das heisst jemand anderes hat Kontrolle über dein System.

Ich kann dir nur noch raten, da ja sowieso nichts mehr funktioniert, insofern auch keine Bereinigung, das Betriebssystem neu aufzuspielen.

Sichere deine Daten auf Stick, CD/DVD und starte die Neuinstallation...

Eine andere Möglichkeit bleibt dir nicht um dein System wieder vertrauenswürdig zu bekommen.

Sunny

http://www.trojaner-board.de/images/icons/icon16.gif
Icon16

Was ist ein Rootkit???? http://www.trojaner-board.de/images/smilies/snyper.gif
:snyper:

Ich meinte den escan;)

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse und Dateien zu verstecken.
Zweck eines Rootkits ist es, Malware vor den Antivirenprogrammen und dem Benutzer zu verbergen (diese zu tarnen, zu verstecken).
Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen.

Bei dir ist eine sogenannte Bagle-Variante mit Rootkitfunktion aktiv.

Es ist sehr schwer und so gut wie unmöglich diesen wieder zu entfernen!

Sunny

Hört sich ja grausig an. Kann man feststellen, seit wann der Bagle bei mir sein Unwesen treibt? War in letzter Zeit mit der Kreditkarte einkaufen ...
:teufel1:

Oje, jetzt fährt mein Rechner überhaupt nicht mehr hoch. Weder in einem abgesicherten Modus, noch mit der letzten als funktionierend bekannten Konfig noch normal. Es kommt immer ganz kurz ein blauer Bildschirm, dann startet er wieder neu.

Gibt es eine Möglichkeit ihn noch einmal zum laufen zu bringen?? Würde gerne noch meine Daten sichern, bis ich ihn endgültig platt mache. Kann mir jemand helfen??