xp neuinstallation

[Nero]

ich wollte mal von windows 200 abkommen und habe mir windows xp mit sp2 *geholt*, hab es installiert, die alten win2k daten gelöscht (formatierung ging irgendwie nicht). und nun zum problem:
als erstes steht beim start dass der key falsch ist...dann stürzen viele apps einfach ab und manche fenster bleiben einfach hängen....ich bitte um eure mithilfe!!

my logfile

Logfile of HijackThis v1.99.1
Scan saved at 23:12:22, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\rundll32.exe
c:\PROGRA~1\mcafee.com\shared\mcappins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Wladik.BLACK-C6F25FD81\Desktop\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Syst em, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

[Karl]

Hallo Nero,

frisch installiert und sofort die erste üble Backdoor eingefangen

Führe den eScan nach dieser Anleitung aus.

Gruß, Karl

[Nero]

irgendwie ist das jez doof....die systemwiederherstellung wurde deaktiviert und ich kann nicht darauf zugreifen......

[Nero]

ok...hab das jez gamacht...folgendes ergebnis:
soll ich jez alles löschen?!



starting as "C:\bases\findmwav.bat"

---------- C:\RESULTS.TXT
Wed May 31 15:16:42 2006 => File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken.
Wed May 31 15:37:45 2006 => File C:\WINDOWS\system32\MyHKVyApsz.ini infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken.
Wed May 31 15:39:46 2006 => File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus! Action Taken: No Action Taken.
Wed May 31 15:03:56 2006 => Virus Database Date: 5/29/2006
Wed May 31 15:03:56 2006 => Virus Database Count: 196952
Wed May 31 15:04:48 2006 => Virus Database Date: 5/31/2006
Wed May 31 15:04:48 2006 => Virus Database Count: 197407
Wed May 31 15:12:11 2006 => Virus Database Date: 5/31/2006
Wed May 31 15:12:11 2006 => Virus Database Count: 197407
Wed May 31 15:14:07 2006 => Virus Database Date: 5/31/2006
Wed May 31 15:14:07 2006 => Virus Database Count: 197407
Wed May 31 15:40:02 2006 => Virus Database Date: 5/31/2006
Wed May 31 15:40:02 2006 => Virus Database Count: 197407
Wed May 31 15:43:19 2006 => Virus Database Date: 5/31/2006
Wed May 31 15:43:19 2006 => Virus Database Count: 197407

mfg nero

[Karl]

In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken

Code:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Entpacke das angehängte Archiv auf deinen Desktop. Für jede der unten aufgelisteten Zeichenfolgen starte RegSrch.vbs und gib die Zeichenfolge in dem Fenster ein, OK. Nach einiger Zeit erscheint entweder eine Mitteilung, daß nichts gefunden wurde oder es öffnet sich ein Editor mit den Funden, dessen Inhalt komplett in deine Antwort kopieren. Füge vorher diese Zeile ein:

[CODE]

und dahinter diese:

[/CODE]

• DisableTaskMgr
• DisableRegistryTools
• DisableCMD

Lade Ramans datfind.bat herunter und lass es laufen. Es öffnet sich Notepad mit der neu erzeugten Datei c:\dirdat.txt. Entferne alle Zeilen, deren Datum älter als einen Monat ist und poste den Rest. Füge davor und dahinter ebenfalls die CODE-Zeilen ein.

Poste ein neues Hijackthis Log.

[Runa]

Hallo Karl,

die angehängte Datei ist nicht da...

Gruß
Runa

[Karl]

Hallo Runa,

danke für den Hinweis. Das passiert mir ab und zu, daß ich vergesse einen Anhang hochzuladen. Habe ihn jetzt oben angehängt.

Gruß, Karl