Wurm Francette.L
 

hallo,ich habe seit etwa einer Woche den Wurm Francette .L.1 bei mir zu Gast und werde ihn nicht mehr los. Beim Hochfahren meldet mir "Anti Vir" den Wurm und er wird dann von mir gelöscht. Der Computer kann nicht richtig runtergefahren werden.In der registry ist keiner der beiden bekannten Einträge vorhanden.Übrigens, Betriebssystem ist Windows 200. Kann jemand helfen??

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste evtl. noch ein HijackThis-Log: http://filepony.de/download-hijackthis/

vielen Dank !!!!!!!! der scan im abges. Modus hat gereicht!!
Gruß Tom

Du solltest trotzdem sicherheitshalber ein log erstellen und posten oder wenigstens mal in der automatischen Auswertung nachschauen www.hijackthis.de Falls da *nicht grüne*-Einträge drin sind, das log hier posten

Hi, bei mir hat sich dieser blöde virus ebenfalls eingeschliechen, das mit dem abgesichtern modus hab ich ebenfalls getan, ich benutze AntiVir, er wurde auch gelöscht doch als ich wieder ins normale windows zurückkehrte war er wieder da, was soll ich nur tun :(

Die Vorgehensweise hatte *Christain* schon beschrieben!
Deine Informationen sind etwas dürftig.

Wo wurde dieser Wurm Francette .L.1 gefunden?

der virus wurde in system32 gefunden, die datei heisst lol.dll !
hier der Log:

Logfile of HijackThis v1.98.2
Scan saved at 21:25:27, on 16.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM\winlogon.exe
C:\WINDOWS\System32\msnmsg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\pixel\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Local Service] runddl32.exe
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [Local Service] runddl32.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Local Service] runddl32.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0499D777-84D3-4929-A0DB-6B2FF05F8A23}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0499D777-84D3-4929-A0DB-6B2FF05F8A23}: NameServer = 217.237.151.225 194.25.2.129

@ cr3tz

Das sieht gar nicht gut aus. Da laufen viele Trojaner im Hintergrund mit.

Überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis:
C:\WINDOWS\SYSTEM\winlogon.exe
C:\WINDOWS\System32\msnmsg.exe

wenn noch vorhanden, dann auch diese noch:
serm32.exe
2kadiras.exe
runddl32.exe

hallo,
ihr habt ja alle tolle Vorschläge,aber was nutzt es wenn ihr so einen Laien wie mich da sitzen habt????Der macht doch auf die Tour nur alles schlimmer!!! :confused:

werd wohl noch Profi..... :party:




Logfile of HijackThis v1.98.2
Scan saved at 23:58:00, on 16.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\syshost.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA62FCF-E4A9-48E9-B950-D8B54D173229}: NameServer = 217.237.150.33 194.25.2.129

Deine Aussage kann ich nicht nachvollziehen.
In erster Linie, gehts es darum, daß diese von mir genannten und zu überprüfenden Dateien, teilweise nicht zuzuordnen sind.
Also hätte ich, wie wahrscheinlich die anderen helfenden User auch , gerne gewußt was dahinter steckt, um so effektiver eine Empfehlung an den TO abzugeben, um nicht wild spekulieren zu müssen.

Der Helfende übernimmt eine große Verantwortung gegenüber den Hilfesuchenden, wenn er ein Log-File oder eine Empfehlung abgibt, dies kann nicht lapidar mit der Begründung erfolgen: "Nimm Tool A, danach Tool B und wenn das nicht hilft Tool C und dann ist dein System sauber".

Du verstehst, was ich meine?
http://faq.underflow.de/#SECTION000120000000000000000

Auch wenn das leichter für den Hilfesuchende wäre, würde ich ihm fälschlicherweise eine Scheinsicherheit suggerieren und ihn blind ins Verderben rennen lassen. Als Auswertender sollte man den schlimmsten Zustand annehmen, der auch eintreten kann.

z.B. dieser Prozess C:\WINDOWS\System32\msnmsg.exe , das ist ein aktiver Backdoor.Rbot.gen.

Was kann dieser Backdoor.Rbot.gen:
W32/Rbot-DE ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist.

W32/Rbot-DE verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.

Weitere Infos hier:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Also überdenke bitte deine Aussage nochmal. ;)

hallo zusammen,
schön das ich nicht die einzige bin die sich mit francette herumschlägt.

ich habe xp, mein antivir findet bei jedem start den wurm, kann ihn aber nicht löschen, und ich kann meinen rechner nicht mehr herunterfahren, nur wenn ich aus meinem profil herausgehe und dann vom willkommen-bildschirm aus herunterfahre - soweit zum problem!

hab alle eure guten tipps gelesen, bin mir aber nun nicht sicher wie das mit dem escan funktioniert.
kommt der sich irgendwie mit dem antivir in die quere und muss ich dieses dann deaktivieren?
und wie kann ich im abgesicherten modus das programm ausführen?
sorry, aber ich bin in solchen fragen überhaupt nicht versiert...
hoffe mir kann jemand helfen!!

grüße, juli

Hi Juli,

schau dir mal diesen Link an, da ist E-Scan erklärt:

http://www.trojaner-board.de/42731-escan-anleitung.html

Im abgesicherten Modus musst du Antivir auch nicht deaktivieren, da ist es automatisch nicht geladen, dürfte sich aber auch im normalen nicht mit E-Scan in die Quere kommen.

danke dir, das probier ich gleich mal aus!!

viiiielen dank MountainKing,
die wurmkur scheint geklappt zu haben!
das e-scan hat einiges gefunden und wohl auch erfolgreich eliminiert, denn: ich kann wieder ganz normal herunterfahren!! :huepp:

ist das eigentlich schlimm, wenn einige virenbefallene dateien nicht gelöscht, sondern nur umbenannt werden konnten?
und was genau bringt "hijackthis"? das hab ich irgendwie nicht so ganz nachvollziehen können...

aber danke erstmal fürs schnelle helfen,
juli

HijackThis zeigt dir die laufenden Prozesse an.
Damit kann man sehr gut "herausfiltern" was auf einem PC nicht zu suchen hat.
Aber einen permanenten Schutz hat HijackThis nicht. :blabla:

ich bekam von AntiVir nach dem hochfahren die mitteilung, dass Francette.L gefunden wurde.

christians ratschlag (escan im abgesicherten modus) habe ich befolgt und erhalte nun beim hochfahren keine meldung mehr.

hier die funde von escan:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\32RUNdll.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\syshost.exe infected by "Worm.Win32.Francette.n" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Wendeline\Desktop\erledigen\Pocket PC\Entfernprogramm für überflüssige Dateien für Pocket PC.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdvWare.Toolbar.MyWay.b" Virus. Action Taken: File Renamed.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdvWare.Toolbar.MyWay.e" Virus. Action Taken: File Renamed.
File C:\Wendelines Programme\AVPersonal\INFECTED\LOL.DLL.001 infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.
File C:\Wendelines Programme\AVPersonal\INFECTED\LOL.DLL.002 infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.
File C:\Wendelines Programme\AVPersonal\INFECTED\LOL.DLL.VIR infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.
File C:\WINDOWS\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.

und hier die log-datei von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 20:25:18, on 19.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Wendeline\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\WENDEL~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [strtfx] "C:\Wendelines Programme\Telekom\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Wendelines Programme\Telekom\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Wendelines Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Wendelines Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: LAN-Verbindung 2.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WENDEL~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WENDEL~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

ich habe keinen blassen schimmer ob mein problem nun beseitigt ist oder ob sich aus dem für mich unverständlichen kauderwelsch oben ergibt, dass alles noch viiiel schlimmer ist als es zu beginn aussah...

SOS ! was soll ich tun? :confused:

Zuerst besuche www.windowsupdate.com und installiere dir alle Patches und Updates.

Dies ist min. zu fixen:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.b
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

auf der seite gibt es massenweise links zu anderen seiten... meintest du nicht eher www.windowsupdate.de?

und was ist "fixen"? ich versteh leider nur bahnhof... :heulen:

Der richtige Link ist www.windowsupdate.com das war ein Tippfehler. Oder du gehst einfach im IE auf Extras/Windows Update,

Fixen bedeutet, dass du in Hujackthis vor den entsprechenden Eintrag ein Häkchen machst und danach auf "Fix checked" klickst.

Sorry ... warum vertipp ich mich immer wieder bei diesem Wort. :mad:

Wer schreibt schon ohne inneres Widerstreben "Windows". :)

no problem. die updates laufen grade und fixen kann ich nun auch. danke jungs :bussi:

hallo
auch ich hatte alle die hier beschriebenen symptome wegen francette und hab alles so gemacht wie ichs hier gelesen habe. also erstmal vielen dank - es funktioniert fast alles wieder.
verlorengegangen ist nur : EGNSEngine.dll, also bekomme ich bei jedem hochfahren, die fehlermeldung, dass GMt.exe nicht ausgeführt werden kann. habe keine ahnung wie ich mir das stück wieder installieren kann? ihr aber bestimmt..., oder?
freue mich sehr über jeden tipp!

GMT ist Spyware.
Lösche einfach diesen Ordner: C:\Programme\Gemeinsame Dateien\GMT

Lade dir Spybot www.safer-networking.de herunter, update es und scanne dein System. Lass dann die gefundenen Probleme entfernen bzw. beheben. Das Programm ist kostenlos und deutschsprachig.

Hallo,

ich habe genau das gleiche problem.
beim hochfahren meines rechners (betriebsistem xp) meldet mein antivir den wurm in der datei C:\windows\system.32\LOL.DLL.
leider kann antivir den wurm nicht löschen.
und leider sagen mir eure tips nicht viel da begriffe wie gesicherter modus u.s.w. neu für mich sind.
kann mir jemand ganz leicht verständlich weiterhelfen?
vielen dank!

arlo

Lass mal hiermit im abgesicherten Modus scannen: http://www.trojaner-board.de/showthread.php?t=6083

In den abgesicherten Modus gelangst du, wenn du beim Booten die F8-Taste drückst.
Wähle dann den abg. Modus aus.

Außerdem wäre ein HijackThis-Log hilfreicht: http://filepony.de/download-hijackthis/

hallo christian,

vielen dank für deine schnelle unterstützung.
kannst du mir erklären was booten bedeutet?

arlo

Starten ....

hallo christian,

habe versucht im abgesicherten modus eine onlineverbindung herzustellen um dannzu scannen.
leider konnte ich im abgesicherten modus keine verbindung herstellen?
kannst du mir weiterhelfen?

arlo

Im abgesicherten Modus geht in der Tat keine Onlineverbindung, das ist schon ok so. Deswegen solltest du die beschriebenen Programme vorher im normalen Modus herunterladen und im Fall von E-Scan updaten. Im abgesicherten Modus sollst du dann nur E-Scan durchlaufen lassen, danach wieder normal starten und ein neues Logfile erstellen usw.

Francette
 

Hallöchen Ihr Lieben,

vielen Dank erstmal Euch allen - sowohl den Hilfesuchenden, die genau die Fragen stellten, die ich auch hatte (v. a. die 'Anfängerfragen' - weil bin noch reichlich ahnungslos mit allem was Netz und 'Krankheitserreger' etc. betrifft ...) und ganz speziell Euch Helfern in der Not!

Ich hatte auch immer diese Francette-Meldung von Antivir bekommen, die nicht wegzukriegen war.
Hab jetzt mal alle Schritte wie von Euch empfohlen im abgesicherten Modus gemacht und auch Klaffke und Hijackthis.

Jetzt scheint Francette weg zu sein - ne Menge anderen Übels war auch gefunden worden ...

Aber ist nun wirklich alles weg???
Könnt Ihr Euch bitte mal die Liste angucken - kann damit leider nix anfangen -Was soll sie mir sagen? Und was fange ich damit an? :dummguck:

(Beim Hickjackthis schienen fast alle Punkte auf den ersten Blick gut zu sein (grüner Haken, nur ein evtl. Böse, da wo aber noch 'Resultate' anzuklicken waren, standen dann auch Teile als 'Böse' drin.)

Super vielen lieben Dank schon mal für ne kleine Rückmeldung!

Logfile of HijackThis v1.98.2
Scan saved at 17:19:48, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\xxxxxxx\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB48B5FA-0B09-4996-9F6A-7552B5B19CC7}: NameServer = 62.104.191.241 62.104.196.134

Grüßle Tinchen

Das Log sieht sauber aus, bis auf:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du solltest unbedingt dein System updaten, entweder per Windowsupdate oder durch den Kauf einer PC-Zeitschrift, die den Service Pack 2 auf CD beiligen hat. Regelmäßiges Update (am besten wöchentlich) ist sehr wichtig, um Sicherheitslücken zu schließen.

Grundlagenlektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

Ach ja, dieser Eintrag ist unnötig:

O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\xxxxxxx\LOKALE~1\Temp\mwavscan.com" /s

am besten, du startest E-Scan noch mal und klickst auf "remove from startup".

Super!! Vielen vielen lieben Dank!!
Grüßle Tinchen

Hallo Mountainking und die anderen,

ich bewundere eure Geduld mit uns Anfängern!!!!!! :daumenhoc :daumenhoc

Vielen Dank

Gern geschehen und danke für den Dank. :P

Hallöchen an alle helfer...
Bin neu hier,hatte auch den Trojaner drauf,war am verzweifeln und hab's durch eure Tips hingekriegt ihn zu vernichten :teufel3:

Wollte nur mal Danke und RESPEKT sagen....

macht weiter so...

Hallo!

Also erstmal echt klasse, dass ihr uns Laien so toll weiterhelft. Auch ich habe mich mit dem Francette rumgeschlagen und dank eurer Hilfe ihn hoffentlich besiegt.
Ich hab ein escan im abgesicherten Modus gemacht, dann die befallenen Dateien gelöscht. Anschließend hab ich noch Hijack angewendet. Vielleicht kann sich ja einer mal das Ergebnis anschauen. Wäre echt klasse, da ich leider damit gar nichts anfangen kann.

Logfile of HijackThis v1.98.2
Scan saved at 00:01:14, on 11.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hyrican.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mwti.net/link.asp?pid=5BD
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [MSN Messanger] MSN.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Windows OEM Tools] winres32.exe
O4 - HKLM\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [MSN Messanger] MSN.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [Windows OEM Tools] winres32.exe
O4 - HKLM\..\RunServices: [Windows DNS Daemon] windnsd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/game...ts/y/rt0_x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx



Schönen Gruß *rahel*

Du hast bzw. hattest sehr viel Malware auf deinen System.

Ich empfehle dir dies:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten



Die unsicherste Möglichkeit:

Fixe dies:

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [MSN Messanger] MSN.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Windows OEM Tools] winres32.exe
O4 - HKLM\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [MSN Messanger] MSN.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [Windows OEM Tools] winres32.exe
O4 - HKLM\..\RunServices: [Windows DNS Daemon] windnsd.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/gam...ts/y/blt1_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/gam...s/y/t21t0_x.cab
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/gam...nts/y/at1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/gam...nts/y/tt3_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/gam...nts/y/rt0_x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/...zylomloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx


Falls noch vorhanden lösche diese Dateien im abgesicherten Modus:

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [MSN Messanger] MSN.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Windows OEM Tools] winres32.exe
O4 - HKLM\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [MSN Messanger] MSN.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [Windows OEM Tools] winres32.exe
O4 - HKLM\..\RunServices: [Windows DNS Daemon] windnsd.exe

Hallo Christian!

Vielen Dank für deine Hilfe. Ich werde deine Ratschläge beherzigen und mein System bei Gelegenheit neu aufspielen. Solange werde ich einfach mal die Sachen fixen, die du gesagt hast.

Gruß *rahel*

Ich habe das gleiche Problem.
System: Win XP Home Service Pack 2
Virenscanner: AntiVir Personal Edition
Internetzugang: Über einen WLAN-Router

Antivir konnte den Wurm nicht löschen, obwohl er ihn jedesmal erkennt.
Habe den eintrag in der registry gelöscht, seitdem gibt es keine meldung des virenscanners mehr, und der computer lässt sich auch wieder runterfahren.
Allerdings konnte ich die dateien "lol.dll" und "avserve.exe" nicht auffinden; sprich ich habe sie auch nicht gelöscht!
Was kann man da machen?

@ beebop69,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Ich hoffe mit meinem Log ist jetzt alles okay !?

Vielen Dank für eure Hilfe !

Logfile of HijackThis v1.98.2
Scan saved at 19:47:16, on 27.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\usrbridg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\FriFax32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FriFax32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/o...ratoreauto.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{205B8ADD-DC06-4D41-BB26-258356FD3CB0}: NameServer = 192.168.120.252,192.168.120.253

Fixe dies:

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx

Welches Problem hast du eigentlich??