Trojaner-Board - Brauche dringend Hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brauche dringend Hilfe (https://www.trojaner-board.de/6606-brauche-dringend-hilfe.html)

Brauche dringend Hilfe

Also, ich hab einen Hijacker und alles so gemacht wie es beschrieben war. Hier ist mein log:

Sun Aug 01 16:49:45 2004 => **********************************************************
Sun Aug 01 16:49:45 2004 => eScan AntiVirus Toolkit Utility.
Sun Aug 01 16:49:45 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Aug 01 16:49:45 2004 => **********************************************************
Sun Aug 01 16:49:45 2004 => Version 4.2.9
Sun Aug 01 16:49:45 2004 => Log File: C:\DOKUME~1\Ascor\LOKALE~1\Temp\mwav.log
Sun Aug 01 16:49:45 2004 => Latest Date of files inside MWAV: 19 Jul 2004 09:01:49.
Sun Aug 01 16:49:46 2004 => AV Library Loaded...
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavss.exe
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\Getvlist.exe
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavss.dll
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavssdi.dll
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavssi.dll
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavvlg.dll
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\msvlclnt.dll
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\ipc.dll
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\main.avi
Sun Aug 01 16:49:46 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\virus.avi
Sun Aug 01 16:49:46 2004 => Virus Database Date: 2004/07/19
Sun Aug 01 16:49:46 2004 => Virus Database Count: 97349
Sun Aug 01 16:49:52 2004 => AV Library Unloaded (3)...
Sun Aug 01 16:52:59 2004 => **********************************************************
Sun Aug 01 16:52:59 2004 => eScan AntiVirus Toolkit Utility.
Sun Aug 01 16:52:59 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Aug 01 16:52:59 2004 => **********************************************************
Sun Aug 01 16:52:59 2004 => Version 4.2.9
Sun Aug 01 16:52:59 2004 => Log File: C:\DOKUME~1\Ascor\LOKALE~1\Temp\mwav.log
Sun Aug 01 16:52:59 2004 => Latest Date of files inside MWAV: 19 Jul 2004 09:01:49.
Sun Aug 01 16:53:00 2004 => AV Library Loaded...
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavss.exe
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\Getvlist.exe
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavss.dll
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavssdi.dll
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavssi.dll
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavvlg.dll
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\msvlclnt.dll
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\ipc.dll
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\main.avi
Sun Aug 01 16:53:00 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\virus.avi
Sun Aug 01 16:53:01 2004 => Virus Database Date: 2004/07/19
Sun Aug 01 16:53:01 2004 => Virus Database Count: 97349
Sun Aug 01 16:53:38 2004 => AV Library Unloaded (3)...
Sun Aug 01 16:53:40 2004 => **********************************************************
Sun Aug 01 16:53:40 2004 => eScan AntiVirus Toolkit Utility.
Sun Aug 01 16:53:40 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Aug 01 16:53:40 2004 => **********************************************************
Sun Aug 01 16:53:40 2004 => Version 4.2.9
Sun Aug 01 16:53:40 2004 => Log File: C:\DOKUME~1\Ascor\LOKALE~1\Temp\mwav.log
Sun Aug 01 16:53:40 2004 => Latest Date of files inside MWAV: 19 Jul 2004 09:01:49.
Sun Aug 01 16:53:41 2004 => AV Library Loaded...
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavss.exe
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\Getvlist.exe
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavss.dll
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavssdi.dll
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavssi.dll
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\kavvlg.dll
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\msvlclnt.dll
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\ipc.dll
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\main.avi
Sun Aug 01 16:53:41 2004 => Scanning File C:\DOKUME~1\Ascor\LOKALE~1\Temp\virus.avi
Sun Aug 01 16:53:41 2004 => Virus Database Date: 2004/07/19
Sun Aug 01 16:53:41 2004 => Virus Database Count: 97349
Sun Aug 01 16:54:44 2004 => Generating Virus List... getvlist.exe C:\DOKUME~1\Ascor\LOKALE~1\Temp\vlist.txt

Wer kenn mir helfen? Was muss ich jetzt machen um das Teil wieder runter zu bekommen. Schonmal recht herzlichen Dank für eure Hilfe.

Also mit dem Log kann ich nichts anfangen.
Warum postet du kein HijackThis-Log?

Gut, dann mal hoffen das ihr mir damit helfen könnt:

Logfile of HijackThis v1.98.0
Scan saved at 19:21:32, on 01.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cJPCSC.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sdkds.exe
C:\WINDOWS\System32\sokscmnt.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sysra.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ycwlc.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WinFax\WFXCTL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Digital Imaging\bin\hpohmr08.exe
C:\CAPICALL\CC_SERV.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Ascor\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\phosn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://phosn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://phosn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\phosn.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\phosn.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://phosn.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5FFA6789-7ABE-BCB3-18BC-3EB6BE2C1706} - C:\WINDOWS\mfcwb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\overnet.exe -t
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [sysra.exe] C:\WINDOWS\sysra.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\RunOnce: [sdkds.exe] C:\WINDOWS\sdkds.exe
O4 - HKLM\..\RunOnce: [atlwd.exe] C:\WINDOWS\system32\atlwd.exe
O4 - HKLM\..\RunOnce: [atlzy32.exe] C:\WINDOWS\atlzy32.exe
O4 - HKLM\..\RunOnce: [addrx.exe] C:\WINDOWS\system32\addrx.exe
O4 - HKLM\..\RunOnce: [ieci.exe] C:\WINDOWS\ieci.exe
O4 - HKLM\..\RunOnce: [msuk.exe] C:\WINDOWS\system32\msuk.exe
O4 - HKLM\..\RunOnce: [mszx32.exe] C:\WINDOWS\system32\mszx32.exe
O4 - HKLM\..\RunOnce: [javaex32.exe] C:\WINDOWS\javaex32.exe
O4 - HKLM\..\RunOnce: [ieoa32.exe] C:\WINDOWS\ieoa32.exe
O4 - HKLM\..\RunOnce: [ntbb32.exe] C:\WINDOWS\system32\ntbb32.exe
O4 - HKLM\..\RunOnce: [winwa.exe] C:\WINDOWS\system32\winwa.exe
O4 - HKLM\..\RunOnce: [sdkxl.exe] C:\WINDOWS\sdkxl.exe
O4 - HKLM\..\RunOnce: [ntlc.exe] C:\WINDOWS\system32\ntlc.exe
O4 - HKLM\..\RunOnce: [netst.exe] C:\WINDOWS\netst.exe
O4 - HKLM\..\RunOnce: [mfcla32.exe] C:\WINDOWS\mfcla32.exe
O4 - HKLM\..\RunOnce: [msbj32.exe] C:\WINDOWS\system32\msbj32.exe
O4 - HKLM\..\RunOnce: [winxg32.exe] C:\WINDOWS\winxg32.exe
O4 - HKLM\..\RunOnce: [iplv.exe] C:\WINDOWS\system32\iplv.exe
O4 - HKLM\..\RunOnce: [addgr32.exe] C:\WINDOWS\system32\addgr32.exe
O4 - HKLM\..\RunOnce: [sysma32.exe] C:\WINDOWS\sysma32.exe
O4 - HKLM\..\RunOnce: [netwo.exe] C:\WINDOWS\system32\netwo.exe
O4 - HKLM\..\RunOnce: [winuk.exe] C:\WINDOWS\winuk.exe
O4 - HKLM\..\RunOnce: [appnb.exe] C:\WINDOWS\appnb.exe
O4 - HKLM\..\RunOnce: [sdknh.exe] C:\WINDOWS\system32\sdknh.exe
O4 - HKLM\..\RunOnce: [ievr.exe] C:\WINDOWS\ievr.exe
O4 - HKLM\..\RunOnce: [ntwa.exe] C:\WINDOWS\ntwa.exe
O4 - HKLM\..\RunOnce: [appuy32.exe] C:\WINDOWS\appuy32.exe
O4 - HKLM\..\RunOnce: [iequ.exe] C:\WINDOWS\system32\iequ.exe
O4 - HKLM\..\RunOnce: [syspz32.exe] C:\WINDOWS\syspz32.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Ytqqpp] C:\WINDOWS\System32\ycwlc.exe
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Ascor\ANWEND~1\IESERV~1\IEService.exe
O4 - Startup: Voice-Server (2).lnk = C:\CAPICALL\CC_SERV.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://static.flingstone.com/cab/200...Inc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://ds1.downloadtech.net/cn1060/pcpowerscan.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Wurden diese Dateien von E-Scan nicht gelöscht?
C:\WINDOWS\System32\cJPCSC.exe
C:\WINDOWS\sdkds.exe
C:\WINDOWS\System32\sokscmnt.exe
C:\WINDOWS\sysra.exe
C:\WINDOWS\System32\ycwlc.exe
C:\WINDOWS\twaintec.dll
C:\WINDOWS\mfcwb.dll
C:\WINDOWS\System\SmWizard.exe
C:\WINDOWS\system32\atlwd.exe
C:\WINDOWS\atlzy32.exe
C:\WINDOWS\system32\addrx.exe
C:\WINDOWS\ieci.exe
C:\WINDOWS\system32\msuk.exe
C:\WINDOWS\system32\mszx32.exe
C:\WINDOWS\javaex32.exe
C:\WINDOWS\ieoa32.exe
.... Im Prinzip alle O4-Einträge ....

Es kann ja nicht sein, dass soviel unerkannte Malware auf deinen PC ist.

Die ganzen Dateien sind nicht mehr auf meinem Rechner. Der Hijacker aber immer noch :confused:.
Oder hab ich was falsch gemacht?
Ich kenne mich in der Sache nicht sonderbar gut aus. Gibt es wo eine Anleitung wie ich das Programm benutzen muss?

Wenn du diese Dateien nicht mehr hast, dann muss es ja auch ein neues Log geben. Poste bitte mal ein NEUES Log.

@Ascor:

In Windows in >Systemsteuerung >Ordneroptionen >Ansicht bitte die Anzeige aller Dateien und Ordner, auch versteckter und Systemdateien, aktivieren. Geschützte Systemdateien dürfen NICHT ausgeblendet sein!

Ändere die Eigenschaften entsprechend und such dann auf dem System noch einmal nach den genannten Dateien.

Frage: Wurde das HijackThis-LogFile, das du gepostet hast, vor oder nach dem Scan mit eScan erstellt? Und hattest du eScan vor dem Scan upgedated?

Ich habe nun alle O4 Einträge gefixt aber es kam keine Besserung. Hier nun mein aktuelles Log:

Logfile of HijackThis v1.98.0
Scan saved at 07:42:49, on 02.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cJPCSC.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sdkds.exe
C:\WINDOWS\System32\sokscmnt.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sysra.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ycwlc.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WinFax\WFXCTL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Digital Imaging\bin\hpohmr08.exe
C:\CAPICALL\CC_SERV.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Ascor\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bpfgu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bpfgu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bpfgu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bpfgu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bpfgu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bpfgu.dll/index.html#96676
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {32D797E6-4ECC-DCA3-B90A-458EC0B4B4C5} - C:\WINDOWS\sdklo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\RunOnce: [addpw32.exe] C:\WINDOWS\system32\addpw32.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Zitat:

Zitat von Ascor

Ich habe nun alle O4 Einträge gefixt

Aber warum denn das? Davon war nie dir Rede! Stell sie wie folgt wieder her: HijackThis starten, dann "Config", "Backups", den aktuellsten Punkt markieren, dann "Restore" klicken.

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

-> Das System braucht Updates / Patches!
-> http://windowsupdate.microsoft.com

Nicht nur jetzt, auch zukünftig regelmäßig!

Prüf diese Dateien bitte bei Kaspersky: http://www.kaspersky.com/de/scanforvirus
C:\WINDOWS\System32\cJPCSC.exe
C:\WINDOWS\sdkds.exe
C:\WINDOWS\System32\sokscmnt.exe
C:\WINDOWS\sysra.exe
C:\WINDOWS\System32\ycwlc.exe
C:\WINDOWS\bpfgu.dll
C:\WINDOWS\sdklo32.dll
C:\WINDOWS\system32\addpw32.exe
C:\WINDOWS\msopt.dll

Das mit dem Wiederherstellen hat nicht geklappt. Na ja, ich fürchte mir bleibt nichts anderes übrig als neu zu formatieren.
Eigentlich dachte ich das ich mit der Firewall in meinem Netger RP 614 gut ausgerüstet bin, dem war aber wohl nicht so.
Wenn ich das System nun neu Installiere, was empfehlt ihr mir dann an Sicherheitssoftware? Kann auch ruhig ein par Euro kosten, muss nicht unbedingt Freeware sein.

Bitte prüf doch erstmal die Dateien, damit man noch gezielter auf die Lücke(n) schließen kann, über die diese Malware auf das System gelangte (auch wenn es bereits jetzt eigentlich schon recht klar ist):

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

-> ein völlig ungepatchtes System.
Wobei dann auch noch mit den Internet Explorer im Netz gesurft wird.
In dieser Kombination kommt dann das heraus, was man hier sieht.

Zitat:

Na ja, ich fürchte mir bleibt nichts anderes übrig als neu zu formatieren.

Ja, das wäre - auch aus sicherheitstechnischer Sicht - eine gute Entscheidung.

Zitat:

Eigentlich dachte ich das ich mit der Firewall in meinem Netger RP 614 gut ausgerüstet bin, dem war aber wohl nicht so.

1.) NAT liefert nur als Nebeneffekt eine gewisse Firewall-Fuktionalität!
2.) Risikokompensation! Du erwartest von so einem Ding mehr, als es eigetnlich leisten kann, und unterlässt im Zuge dessen z.B. viel wichtigere Dinge wie z.B. eine regelmäßige Systempflege (Updates einspielen).
3.) Für die Sicherheit auf dem System selbst müssen zusätzliche Maßnahmen getroffen werden.

Zitat:

Wenn ich das System nun neu Installiere, was empfehlt ihr mir dann an Sicherheitssoftware? Kann auch ruhig ein par Euro kosten, muss nicht unbedingt Freeware sein.

Irrtum. Sicherheit lässt sich nicht durch eine Reihe von Programmen "installieren". Lies einmal das:

http://www.mathematik.uni-marburg.de...ompromise.html
http://linkblock.de
http://dingens.org bzw. http://www.ntsvcfg.de

-> Maßnahmen umsetzen -> ohne großen Kostenmehraufwand glücklich sein.