Schwarzer Hintergrund
 

Hallo .. ich hatte das Vergnügen .. einen Trojaner oder gar mehr auf dem Rechner zu haben ich habe alle mit hilfe von Antiviren Scanner usw vom Rechner geworfen nur kann ich immernoch nicht .. nen Hintergrundbild machen und hoffe auf eure Hilfe

Der text der voher da stand war ..

Security warning
A fatal error in IE has occured at 0028:C0011E36 in VXD VMM<01> + 00010E036. Error was caused by Trojan-Spy.HTML.Smitfraud.c

*System can not function in normal mode.
Please check you security settings.

*Scan your PC with any avaliable antivirus / spyware remover program to fix the problem

Der Hintergrund ist auch schwarz und ich weiß mir einfach keinen Rat mehr außerdem immer wen ich den IE anmache kommt sofort die Warnung nach einem Virus .. vielleicht könnt ihr mir ja weiterhelfen bitte bitte :heulen:

Hallo,

arbeite mal diesen Lösungsansatz ab -> http://www.trojaner-board.de/showpos...9&postcount=51

Schön und gut ich hab die Sachen beide runtergeladen und auf C gespeichert aktiviert sehe auch meine Desktop sachen wieder in der Anzeige kann aber nicht drauf klicken genauso wenn ich die Startseite festlegen will kommt immer nach kurzer zeit about:blank, vielleicht könntet ihr mir sagen was der gute Peter da schreibt weil mein Englisch sehr schlecht ist *hust*

Erstelle zunächst ein HJT Log-File und poste es, damit man dein System analysieren kann.

Lade ebenso KillBox und dann sehen wir weiter.

Ok gemacht hier ist sie .. ich hoffe ihr könnt mir helfen

Logfile of HijackThis v1.99.1
Scan saved at 00:55:28, on 08.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\System32\HPZipm12.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Windows Media Player\mplayer2.exe
G:\eMule.de\emule.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Trojancheck 6\tc6.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nvvsf.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CEAB74E3-0FE1-C155-5E58-CF204C7204B2} - C:\WINNT\system32\msdi32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [mfcev.exe] C:\WINNT\mfcev.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://install.ibs-clearing.ch/ibsload.ocx
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2419b3d7...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{65C93A42-8534-404A-BFAE-9E750FB09B09}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{9212268A-C9CF-4B49-9A44-50E9149FA83E}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D0D5B3-68BE-4722-827B-226B49AB8D7E}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88EAF16-9CE0-4F1B-9106-4E89ED779030}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\winjc.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

Wende nun den Cleaner an. Poste danach den Inhalt der SpSehjFix.log und ein aktuelles HJT Log-File.

Hier von dem Cleaner:

(8.5.05 01:30:32) SPSeHjFix started v1.1.2
(8.5.05 01:30:32) OS: Win2000 Service Pack 4 (5.0.2195)
(8.5.05 01:30:32) Language: deutsch
(8.5.05 01:30:32) Win-Path: C:\WINNT
(8.5.05 01:30:32) System-Path: C:\WINNT\system32
(8.5.05 01:30:32) Temp-Path: C:\DOKUME~1\User\LOKALE~1\Temp\
(8.5.05 01:30:33) Disinfection started
(8.5.05 01:30:33) Bad-Dll(IEP): c:\winnt\system32\nvvsf.dll
(8.5.05 01:30:33) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:33) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:33) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
(8.5.05 01:30:33) Stealth-String not found
(8.5.05 01:30:33) No locked Files to delete. End without Reboot
(8.5.05 01:30:33) Disinfection started
(8.5.05 01:30:33) Bad-Dll(IEP): c:\winnt\system32\nvvsf.dll
(8.5.05 01:30:33) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:33) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:33) Bad IE-pages: (none)
(8.5.05 01:30:33) Stealth-String not found
(8.5.05 01:30:33) No locked Files to delete. End without Reboot
(8.5.05 01:30:39) Disinfection started
(8.5.05 01:30:39) Bad-Dll(IEP): c:\winnt\system32\nvvsf.dll
(8.5.05 01:30:39) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:39) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:39) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\nvvsf.dll/sp.html#28129
(8.5.05 01:30:39) Stealth-String not found
(8.5.05 01:30:39) No locked Files to delete. End without Reboot
(8.5.05 01:30:39) Disinfection started
(8.5.05 01:30:39) Bad-Dll(IEP): c:\winnt\system32\nvvsf.dll
(8.5.05 01:30:39) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:39) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:39) Bad IE-pages: (none)
(8.5.05 01:30:39) Stealth-String not found
(8.5.05 01:30:39) No locked Files to delete. End without Reboot
(8.5.05 01:30:39) Disinfection started
(8.5.05 01:30:39) Bad-Dll(IEP): c:\winnt\system32\nvvsf.dll
(8.5.05 01:30:39) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:39) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:39) Bad IE-pages: (none)
(8.5.05 01:30:39) Stealth-String not found
(8.5.05 01:30:39) No locked Files to delete. End without Reboot


(8.5.05 01:30:42) SPSeHjFix started v1.1.2
(8.5.05 01:30:42) OS: Win2000 Service Pack 4 (5.0.2195)
(8.5.05 01:30:42) Language: deutsch
(8.5.05 01:30:42) Win-Path: C:\WINNT
(8.5.05 01:30:42) System-Path: C:\WINNT\system32
(8.5.05 01:30:42) Temp-Path: C:\DOKUME~1\User\LOKALE~1\Temp\
(8.5.05 01:30:43) Disinfection started
(8.5.05 01:30:43) Bad-Dll(IEP): (not found)
(8.5.05 01:30:43) Bad-Dll(IEP) in BHO: (not found)
(8.5.05 01:30:43) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:43) UBF: 4 - UBB: 0 - UBR: 1
(8.5.05 01:30:43) Bad IE-pages: (none)
(8.5.05 01:30:43) Stealth-String not found
(8.5.05 01:30:43) Not infected->END

Nun von Hijack

Logfile of HijackThis v1.99.1
Scan saved at 01:31:46, on 08.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
G:\eMule.de\emule.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CEAB74E3-0FE1-C155-5E58-CF204C7204B2} - C:\WINNT\system32\msdi32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [mfcev.exe] C:\WINNT\mfcev.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://install.ibs-clearing.ch/ibsload.ocx
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2419b3d7...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{65C93A42-8534-404A-BFAE-9E750FB09B09}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{9212268A-C9CF-4B49-9A44-50E9149FA83E}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D0D5B3-68BE-4722-827B-226B49AB8D7E}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88EAF16-9CE0-4F1B-9106-4E89ED779030}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\winjc.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

Überprüfe, ob dieser Dienst noch aktiv, wenn ja, dann wie folgt beenden:
Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Remote Procedure Call (RPC) Helper -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Fixe diese Einträge noch: Lösche diese Dateien mit KillBox, falls vorhanden: Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste du uns die Virus Log Information:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt der automatisch erstellten C:\eScan_neu.txt hier posten.

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\winjc.exe << die habe ich gar nicht oO"

Sowie die 2. 3. Datei da die ich löschen soll existiert nicht, aber die erste sprich: C:\WINNT\system32\msdi32.dll << dann kommt nach dem die Taskleiste anfängt auf und ab zu gehen das diese Datei nicht gelöscht werden kann .. oO"

Ist schon in Ordnung. Erledige nun den Rest meiner Empfehlung. ;)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 02:20:15 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken.
Sun May 08 02:20:15 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 08 02:20:15 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Sun May 08 02:20:15 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 08 02:20:15 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken.
Sun May 08 02:20:15 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 08 02:21:18 2005 => File C:\WINNT\connect.exe infected by "not-a-virus:Porn-Dialer.Win32.STT.a" Virus. Action Taken: No Action Taken.
Sun May 08 03:11:07 2005 => File C:\Dokumente und Einstellungen\User\Eigene Dateien\fgf150.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
Sun May 08 03:44:19 2005 => File C:\ie.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.
Sun May 08 03:46:48 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 08 04:09:20 2005 => File C:\WINNT\connect.exe infected by "not-a-virus:Porn-Dialer.Win32.STT.a" Virus. Action Taken: No Action Taken.
Sun May 08 04:37:27 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 02:21:21 2005 => File C:\WINNT\informationsdienst.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
Sun May 08 04:17:36 2005 => File C:\WINNT\informationsdienst.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 04:37:27 2005 => Total Virus(es) Found: 9
Sun May 08 04:37:28 2005 => Total Errors: 49
Sun May 08 04:37:28 2005 => Time Elapsed: 02:18:02
Sun May 08 04:37:27 2005 => Total Objects Scanned: 112100
Sun May 08 02:18:38 2005 => Virus Database Date: 2005/05/05
Sun May 08 04:37:28 2005 => Virus Database Date: 2005/05/05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Diese Dateien löscht du ebenfalls mit KillBox (Delete on reboot anhaken): Lade und aktualisere Ad-Aware und Spybot S&D. Scanne mit beiden Tools im abgesicherten Modus und entferne den Rest.

Poste anschließend noch ein aktuelles HJT Log-File und danach werden wir uns um die Nachsorge deines Systems kümmern.

So bitte .. ich hoffe das mein PC langsam wieder auf die Füße kommt, also bis jetzt schon mal vielen dank

Logfile of HijackThis v1.99.1
Scan saved at 13:11:22, on 08.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xaffg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xaffg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xaffg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xaffg.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xaffg.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CEAB74E3-0FE1-C155-5E58-CF204C7204B2} - C:\WINNT\system32\msdi32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{65C93A42-8534-404A-BFAE-9E750FB09B09}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{9212268A-C9CF-4B49-9A44-50E9149FA83E}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D0D5B3-68BE-4722-827B-226B49AB8D7E}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88EAF16-9CE0-4F1B-9106-4E89ED779030}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

Dein Problem ist noch vorhanden...

Wechsle nochmal in den abgesicherten Modus und fixe:
Wende nochmals den Cleaner an und lösche, falls noch nicht beseitigt, diese Dateien:
C:\WINNT\system32\xaffg.dll

- mit eScan AntiVirus scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen
- neue Startseite vergeben
- Neustart
- IE 6 SP1 dein System updaten
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen
- Sichere und komfortablere Browser wie z.B. die Mozilla Suite oder Firefox verwenden
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten