Könnte jemand mein Logfile überprüfen?

[Katha]

Hallo,
seit Tagen öffnen sich bei mir immer zwei (***)Werbeseiten sobald ich mich mit dem Internet verbinde. Ich weiß nicht woran es liegt und es würde mir wirklich helfen wenn sich jemand mal mein Logfile anschauen könnte. Da ich mich nicht wirklich mitsoetwas auskenne wäre es nett wenn ihr mir es mölichst einfach erklärt. Danke, Katha.

Logfile of HijackThis v1.99.1
Scan saved at 15:08:05, on 15.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ccApp.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\Network\network.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\shell32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\BeeTel Home 100\routcnf.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Service] ccApp.exe
O4 - HKLM\..\Run: [messenger] aim.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Network] C:\Programme\Network\network.exe
O4 - HKLM\..\RunServices: [Service] ccApp.exe
O4 - HKLM\..\RunServices: [messenger] aim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000182.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C99373E8-2084-480B-940F-73E327FC8666}: NameServer = 213.168.112.60 81.173.194.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Unknown owner - C:\WINDOWS\system32\shell32.exe

[Ruby]

Hallo Katha

dein Betriebssystem ist veraltet und damit steht eine Tür auf deinem System offen für Malware aller Art.

Bitte die Systemwiederherstellung deaktivieren.

Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner".

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

[Katha]

Ersteinmal danke Ruby, für die Hilfe. Ich habe jetzt den Scan beendet, allerdings kann ich den Editor nicht runterladen. Gibt es noch andere?
lg Katha

[Ruby]

Ersteinmal danke Ruby, für die Hilfe. Ich habe jetzt den Scan beendet, allerdings kann ich den Editor nicht runterladen. Gibt es noch andere?
lg Katha

-> versuchs mal damit: Wise Editor

[Katha]

Ok, also hier ist dann glaub ich alles:

Sun Jan 15 22:30:29 2006 => File C:\WINDOWS\System32\mqexdlm.srg tagged as not-a-virus:AdWare.Win32.BargainBuddy.q. No Action Taken.

Sun Jan 15 22:33:24 2006 => File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\BSINSTALLDE.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

Sun Jan 15 22:40:34 2006 => File C:\mc-110-12-0000181.exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 22:43:22 2006 => File C:\Programme\BearShare\Installer\BSINSTALLDE.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

Sun Jan 15 22:43:52 2006 => File C:\Programme\Gemeinsame Dateien\Download\freeprodtb.exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 22:43:53 2006 => File C:\Programme\Gemeinsame Dateien\Download\mc-110-12-0000181.exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 22:43:53 2006 => File C:\Programme\Gemeinsame Dateien\Download\mc-110-12-0000182.exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 22:44:28 2006 => File C:\Programme\Gemeinsame Dateien\Windows\services32.exe tagged as not-a-virus:AdWare.Win32.Maxifiles.h. No Action Taken.

Sun Jan 15 22:45:46 2006 => File C:\Programme\Save\Save.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bv. No Action Taken.

Sun Jan 15 22:45:47 2006 => File C:\Programme\Save\SaveUninst.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bt. No Action Taken.

Sun Jan 15 23:00:47 2006 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KBC12V2F\mc-110-12-0000182[1].exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 23:10:25 2006 => File C:\WINDOWS\system32\mqexdlm.srg tagged as not-a-virus:AdWare.Win32.BargainBuddy.q. No Action Taken.

Sun Jan 15 23:27:42 2006 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KBC12V2F\mc-110-12-0000181[2].exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 23:27:43 2006 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KBC12V2F\mc-110-12-0000182[1].exe tagged as not-a-virus:AdWare.Win32.Maxifiles.u. No Action Taken.

Sun Jan 15 23:37:19 2006 => File C:\WINDOWS\system32\mqexdlm.srg tagged as not-a-virus:AdWare.Win32.BargainBuddy.q. No Action Taken.



Sun Jan 15 22:28:10 2006 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\ccApp.exe (which is infected)!

Sun Jan 15 22:28:10 2006 => *** Reg Value
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Service deleted because it is infected by a Virus

Sun Jan 15 22:28:14 2006 => File C:\PROGRA~1\GEMEIN~1\Windows\MC-110~1.EXE infected by "Trojan-Dropper.Win32.Agent.aac" Virus. Action Taken: File Deleted.

Sun Jan 15 22:28:30 2006 => File C:\WINDOWS\system32\shell32.exe infected by "Backdoor.Win32.Aimbot.bo" Virus. Action Taken: File Renamed.

Sun Jan 15 22:28:30 2006 => *** SYSTEM\CurrentControlSet\Services\Shell32Extender has RunningProcess defined as C:\WINDOWS\system32\shell32.exe (which is infected)!

Sun Jan 15 22:28:30 2006 => *** Reg Value SYSTEM\CurrentControlSet\Services\Shell32Extender\ImagePath deleted because it is infected by a Virus

Sun Jan 15 22:28:31 2006 => *** Reg Key SYSTEM\CurrentControlSet\Services\Shell32Extender deleted because ImagePath file infected by a Virus

Sun Jan 15 22:29:51 2006 => File C:\WINDOWS\System32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: File Deleted.

Sun Jan 15 22:32:42 2006 => File C:\alg.exe infected by "Trojan.Win32.LowZones.bb" Virus. Action Taken: File Deleted.

Sun Jan 15 22:40:34 2006 => File C:\msdcom.exe infected by "Trojan.Win32.LowZones.be" Virus. Action Taken: File Deleted.

Sun Jan 15 22:40:34 2006 => File C:\msvc32.exe infected by "Trojan.Win32.LowZones.bh" Virus. Action Taken: File Deleted.

Sun Jan 15 22:43:03 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sun Jan 15 22:43:03 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\aim.VIR

Sun Jan 15 22:43:04 2006 => File C:\Programme\AVPersonal\INFECTED\aim.VIR infected by "Backdoor.Win32.Rbot.aeu" Virus. Action Taken: File Renamed.

Sun Jan 15 22:43:04 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\aim.VIR00

Sun Jan 15 22:43:06 2006 => File C:\Programme\AVPersonal\INFECTED\aim.VIR00 infected by "Backdoor.Win32.Rbot.aeu" Virus. Action Taken: File Renamed.

Sun Jan 15 22:43:54 2006 => File C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000181.exe infected by "Trojan-Dropper.Win32.Agent.aac" Virus. Action Taken: File Deleted.

Sun Jan 15 22:43:55 2006 => File C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000182.exe infected by "Trojan-Dropper.Win32.Agent.aac" Virus. Action Taken: File Deleted.

Sun Jan 15 22:44:28 2006 => File C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000181.exe infected by "Trojan-Dropper.Win32.Agent.aac" Virus. Action Taken: File Deleted.

Sun Jan 15 23:00:45 2006 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ABEN016H\director_install[5].exe infected by "Trojan-Dropper.Win32.Agent.aac" Virus. Action Taken: File Deleted.

Sun Jan 15 23:41:26 2006 => ***** Scanning complete. *****
Sun Jan 15 23:41:26 2006 => Total Number of Files Scanned: 28578
Sun Jan 15 23:41:26 2006 => Total Number of Virus(es) Found: 29
Sun Jan 15 23:41:26 2006 => Total Number of Disinfected Files: 0
Sun Jan 15 23:41:26 2006 => Total Number of Files Renamed: 4
Sun Jan 15 23:41:26 2006 => Total Number of Deleted Files: 9
Sun Jan 15 23:41:26 2006 => Total Number of Errors: 3
Sun Jan 15 23:41:26 2006 => Time Elapsed: 01:13:05
Sun Jan 15 23:41:26 2006 => Virus Database Date: 2006/01/15
Sun Jan 15 23:41:26 2006 => Virus Database Count: 171499

Sun Jan 15 23:41:26 2006 => Scan Completed.

Mein neues Logfile:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 13:16:52, on 16.01.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\Network\network.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [messenger] aim.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Network] C:\Programme\Network\network.exe
O4 - HKLM\..\RunServices: [messenger] aim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C99373E8-2084-480B-940F-73E327FC8666}: NameServer = 213.168.112.60 81.173.194.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

[Ruby]

Hallo Katha

lade den eScan-Check1.10 runter.
Entpacke den 'eScan-Check1.10' in einen neu zu erstellenden Ordner 'C:\escheck'. Öffne mit diesem Programm die 'mwav.log' im Ordner C:\bases, lies also die mwav.log in dieses Programm ein. Setze kein Häk'chen in 'Backup der gelöschten Dateien anlegen' aber anhaken:

'Alle Dateien beim Neustart löschen' -> die zu löschenden Dateien und dann auf den Button 'Dateien löschen' klicken. Im Anschluss an diese Arbeiten den Rechner neu starten.

Vergleiche hierzu eScanCheck110-Anleitung.

Wenn du das gemacht hast, lösche das Logfile vom mwavscan (mwav.log) und wiederhole ihn. Gibt es nun noch immer Malware auf deinem Rechner? Zeige bitte das neue Ergebnis.

[Katha]

Ich habe eScan-Check runtergeladen und in einem neuen Ordner (escheck) entpackt allerding kann ich es nicht öffnen. Jedesmal wenn ich das möchte erscheint ein Feld in dem "Component 'mscomctl.ocx' or one of it is dependencies not correctly registered: a file is missing or invalid"
???

[mobile_hilfe]

moin,

"Component 'mscomctl.ocx' or one of it is dependencies not correctly registered: a file is missing or invalid"

==>> guckst du hier
__________________

Chat o Logfileauswertung o Malwareupload o Systembereinigung o News

mobile_hilfe
(((HJT.de-Fan)))

[Katha]

Also so sieht jetzt mein Logfile aus.

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:10, on 27.01.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\Network\network.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Network] C:\Programme\Network\network.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

[Ruby]

Hallo Katha

du hast noch immer einen sehr gefährlichen Backdoor auf deinem Rechner.

Bitte die Systemwiederherstellung deaktivieren.

Code:

=> Wenn vorhanden: starte Spybot S&D, deaktiviere den "Resident
"TeaTimer".
(Klicke auf "Advanced mode" > "JA" > "Tools" Menu > Klick
auf "Resident" > das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz
aller Systemeinstellungen) > exit.)

=> Wenn vorhanden: Ad-Watch während der Reinigungsarbeiten bitte ebenfalls abstellen!

=> Wenn vorhanden: Microsoft AntiSpyware ausstellen
Öffne Microsoft AntiSpyware > Klick auf "Tools", "Settings" > klicke auf der
linken Seite auf "Real-time Protection" [Vollzeit Schutz] > unter "Startup
Options" ["Startup Einstellungen"] das Häkchen rausnehmen bei "Enable the
Microsoft AntiSpyware Security Agents on startup (recommended)" ["Aktiviere
Microsoft AntiSpyware Security Agents beim Menustart (empfohlen)"] > Unter
"Real-time spyware threat protection" [Vollzeit-Spyware-Schutz ] das
Häkchen rausnehmen für "Enable real-time spyware threat protection
(recommended)" ["Sktiviere den Vollzeit Spyware Schutz (empfohlen)".]
Klick auf "Save" [Speichern] und schliesse die Microsoft AntiSpyware.
Rechts-Klick auf das Microsoft AntiSpyware Icon auf dem System Tray >
wähle "Shutdown Microsoft AntiSpyware" ["Beende Microsoft AntiSpyware"].

(Deaktiviere diese Programme während der Reinigungsarbeiten,
sie verhindern die Reinigung.)

Beende bitte mit dem Taskmanager diese Prozesse:
(Die Dateien mit der Windows Suche finden!)

handbook.exe
network.exe
server.exe

Lass HijackThis laufen -> config -> misc tools --> delete a file on reboot,
wähle die zu löschende Datei:

handbook.exe
howto -english-.txt
network.exe
server.exe

beantworte auf die Frage zum Neustart nach Eingabe der letzten Datei mit JA.
Starte deinen Rechner neu auf!

Mach dann danach gleich hiermit weiter:

Lade das Freeware Programm SpyCatcher Express runter halte dich an die deutsche Anleitung.

Installiere das Programm unter C:\Programme\Spycatcher 2006 und update es..

Folge der Kurzkonfiguration mit den acht Schritten (siehe Anleitung).
Lass den Quickscan laufen.
Klick auf "About" oder "Updates" (linker Menubalken), drücke auf die Taste "check for updates" oder "update now", um das Programm vor dem Scan zu updaten.
Wechsle zu "Protection" (linker Menubalken), wähle die Schutz-Ebene "Medium".
Wechsle nun zum "Spyware Scan" (linker Menubalken), wähle die Option "Deep Scan"
und drücke auf den dicken roten Balken "Scan now".

Lass dir nach dem Scan das Ergebnis zeigen, die Scan Information (My Spyware).
Hier siehst du, was gefunden worden ist.
Mit Klick auf die Taste "Change Action" kannst du die Malware in die Quarantäne schieben lassen > ok.
Bitte nicht auf "Remove" (Entfernen) klicken, da wir uns diese Dateien erst gemeinsam anschauen müssen, damit keine Fehler passieren. Es kann False Positives geben, und 'removed' ist weg !

Betrachten wir uns nun bitte diese Abbildung, denn ich möchte von dir wissen, welche Dateien (-Namen) mit welchem Dateipfad als welche MalwareArt auf deinem System entdeckt worden sind. Das Logfile gibt diese Information leider nicht wieder.

Du bist also im Fenster "Protection" (1) > Klick auf My Spyware > Rechtsklick auf die Datei > Klick auf Traces (2) (abschreiben (3), was du in 'View Traces' siehst) > close > Linksklick auf die Datei führt dich zur Online Datenbank (4) von SpyCatcher. Dort kannst du dich informieren, was die Datei ist, wenn sie denn bekannt ist.

Gib diese Information bitte hier in deinen Thread, zu jeder Datei.