also bei mir sagt der , dass er es gar nicht findet.
außerdem hab ich die ander festplatten durchscannen lassen und auf e hat der was gefunden. Das ist die Datei:
E:/System Volume Information / _restore{83B60A-14-DC0-4BF0-9D1A-7BF12E514B34}/RP1/A0001040.com
die Datei konnt er nicht bereinigen und hat sie umbenannt.
Name der Infektion: Win32/VMalum.ERIW
und die Meldung hat er mir 10 aufgelistet. Die letzte Ziffer steigt dabei an also ... 40.com und dann .... 41.com

OK, poste bitte zur Kontrolle ein HijackThis-Logfile. Sorry Grunzer. Anleitung: HijackThis

Für die Zukunft solltest du das hier beachten:
Der beste kostenlose Virenschutz
Der beste kostenlose Virenschutz

ciao, andreas

p.s.: Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

mmh, also ich habe jetzt das mit dem asuführen gemacht wo der combofix enfernt werden sollte , da hat er sich wieder angemacht und ich wollt die logdatei nochmal posten:
ComboFix 09-02-19.01 - Michael 2009-02-20 20:02:06.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.511.289 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: / u
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-20 bis 2009-02-20 ))))))))))))))))))))))))))))))
.

2009-02-20 19:35 . 2009-02-20 19:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Matrox
2009-02-20 19:33 . 2009-02-20 19:33 <DIR> d--h----- c:\windows\$hf_mig$
2009-02-20 19:33 . 2005-02-25 04:34 22,752 --a------ c:\windows\system32\spupdsvc.exe
2009-02-20 19:32 . 2009-02-20 19:32 <DIR> d-------- c:\windows\system32\bits
2009-02-20 19:32 . 2004-07-01 23:08 360,448 --a--c--- c:\windows\system32\dllcache\qmgr.dll
2009-02-20 19:32 . 2004-07-01 23:08 331,776 --a------ c:\windows\system32\winhttp.dll
2009-02-20 19:32 . 2004-07-01 23:08 331,776 --a--c--- c:\windows\system32\dllcache\winhttp.dll
2009-02-20 19:32 . 2004-07-01 23:08 17,408 --a------ c:\windows\system32\qmgrprxy.dll
2009-02-20 19:32 . 2004-07-01 23:08 17,408 --a--c--- c:\windows\system32\dllcache\qmgrprxy.dll
2009-02-20 19:32 . 2004-07-01 23:08 7,680 -----c--- c:\windows\system32\dllcache\bitsprx2.dll
2009-02-20 19:32 . 2004-07-01 23:08 7,680 --------- c:\windows\system32\bitsprx2.dll
2009-02-20 19:32 . 2004-07-01 23:08 7,168 -----c--- c:\windows\system32\dllcache\bitsprx3.dll
2009-02-20 19:32 . 2004-07-01 23:08 7,168 --------- c:\windows\system32\bitsprx3.dll
2009-02-20 19:32 . 2009-02-20 19:33 1,374 --a------ c:\windows\imsins.BAK
2009-02-20 19:29 . 2008-10-16 14:12 561,688 --a------ c:\windows\system32\wuapi.dll
2009-02-20 19:29 . 2008-10-16 14:12 323,608 --a------ c:\windows\system32\wucltui.dll
2009-02-20 19:29 . 2008-10-16 14:12 ,528 --a------ c:\windows\system32\wuaucpl.cpl
2009-02-20 19:29 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-02-20 19:29 . 2008-10-16 14:08 34,328 --a------ c:\windows\system32\wups.dll
2009-02-20 19:29 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-02-20 19:29 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-02-20 19:29 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-02-20 19:29 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-02-20 18:55 . 2009-02-20 18:55 <DIR> d-------- c:\programme\CCleaner
2009-02-20 18:46 . 2009-02-20 18:46 <DIR> d-------- c:\programme\ICQ6Toolbar
2009-02-20 18:46 . 2009-02-20 18:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-02-20 18:45 . 2009-02-20 19:35 <DIR> d-------- c:\programme\ICQ6.5
2009-02-20 18:45 . 2009-02-20 18:46 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\ICQ
2009-02-20 17:23 . 2009-02-20 17:26 <DIR> d-------- C:\Fantasy Tennis
2009-02-20 17:01 . 2009-02-20 17:02 <DIR> d-------- C:\WUTemp
2009-02-20 17:01 . 2009-02-20 17:01 <DIR> d-------- c:\windows\system32\PowerDesk8
2009-02-20 17:01 . 2003-09-14 13:41 <DIR> d--h----- c:\dokumente und einstellungen\Michael\Vorlagen
2009-02-20 17:01 . 2003-09-14 17:21 <DIR> d---s---- c:\dokumente und einstellungen\Michael\UserData
2009-02-20 17:01 . 2003-09-14 14:38 <DIR> dr------- c:\dokumente und einstellungen\Michael\Startmenü
2009-02-20 17:01 . 2003-09-14 14:38 <DIR> d--h----- c:\dokumente und einstellungen\Michael\Netzwerkumgebung
2009-02-20 17:01 . 2009-02-20 19:04 <DIR> d--h----- c:\dokumente und einstellungen\Michael\Lokale Einstellungen
2009-02-20 17:01 . 2009-02-20 17:01 <DIR> dr------- c:\dokumente und einstellungen\Michael\Favoriten
2009-02-20 17:01 . 2009-02-20 18:56 <DIR> dr------- c:\dokumente und einstellungen\Michael\Eigene Dateien
2009-02-20 17:01 . 2003-09-14 14:38 <DIR> d--h----- c:\dokumente und einstellungen\Michael\Druckumgebung
2009-02-20 17:01 . 2009-02-20 18:45 <DIR> dr-h----- c:\dokumente und einstellungen\Michael\Anwendungsdaten
2009-02-20 17:01 . 2009-02-20 18:55 <DIR> d-------- c:\dokumente und einstellungen\Michael
2009-02-20 17:00 . 2003-09-14 17:21 <DIR> d---s---- c:\windows\system32\config\systemprofile\UserData
2009-02-20 17:00 . 2003-09-16 11:02 <DIR> dr------- c:\windows\system32\config\systemprofile\Eigene Dateien
2009-02-20 17:00 . 2003-09-14 17:21 <DIR> d---s---- c:\dokumente und einstellungen\Default User\UserData
2009-02-20 17:00 . 2003-09-16 11:02 <DIR> dr------- c:\dokumente und einstellungen\Default User\Eigene Dateien
2009-02-20 16:59 . 2002-08-29 01:50 24,960 --a------ c:\windows\system32\drivers\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-02-20 17:46 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-20 16:01 --------- d-----w c:\programme\Gemeinsame Dateien\aolshare
.

((((((((((((((((((((((((((((( SnapShot@2009-02-20_19.03.46.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-07-01 22:08:12 360,448 ------w c:\windows\system32\bits\qmgr.dll
- 2002-08-29 12:00:00 14,848 ----a-w c:\windows\system32\cdm.dll
+ 2008-10-16 13:09:44 92,696 ----a-w c:\windows\system32\cdm.dll
- 2002-08-29 12:00:00 14,848 -c--a-w c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44 92,696 -c--a-w c:\windows\system32\dllcache\cdm.dll
- 2002-08-29 12:00:00 2,086,400 -c--a-w c:\windows\system32\dllcache\msi.dll
+ 2005-05-04 13:45:32 2,890,240 -c--a-w c:\windows\system32\dllcache\msi.dll
- 2002-08-29 12:00:00 64,512 -c--a-w c:\windows\system32\dllcache\msiexec.exe
+ 2005-05-04 13:45:36 78,848 -c--a-w c:\windows\system32\dllcache\msiexec.exe
- 2002-08-29 12:00:00 305,664 -c--a-w c:\windows\system32\dllcache\msihnd.dll
+ 2005-05-04 13:45:36 271,360 -c--a-w c:\windows\system32\dllcache\msihnd.dll
- 2002-08-29 12:00:00 847,872 -c--a-w c:\windows\system32\dllcache\msimsg.dll
+ 2005-05-04 13:45:36 884,736 -c--a-w c:\windows\system32\dllcache\msimsg.dll
- 2002-08-29 12:00:00 39,936 -c--a-w c:\windows\system32\dllcache\msisip.dll
+ 2005-05-04 13:45:36 15,360 -c--a-w c:\windows\system32\dllcache\msisip.dll
- 2002-08-29 12:00:00 141,824 -c--a-w c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44 51,224 -c--a-w c:\windows\system32\dllcache\wuauclt.exe
- 2002-08-29 12:00:00 190,464 -c--a-w c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40 1,809,944 -c--a-w c:\windows\system32\dllcache\wuaueng.dll
+ 2008-03-20 17:06:36 1,480,232 ------w c:\windows\system32\LegitCheckControl.dll
- 2002-08-29 12:00:00 2,086,400 ----a-w c:\windows\system32\msi.dll
+ 2005-05-04 13:45:32 2,890,240 ----a-w c:\windows\system32\msi.dll
- 2002-08-29 12:00:00 64,512 ----a-w c:\windows\system32\msiexec.exe
+ 2005-05-04 13:45:36 78,848 ----a-w c:\windows\system32\msiexec.exe
- 2002-08-29 12:00:00 305,664 ----a-w c:\windows\system32\msihnd.dll
+ 2005-05-04 13:45:36 271,360 ----a-w c:\windows\system32\msihnd.dll
- 2002-08-29 12:00:00 847,872 ----a-w c:\windows\system32\msimsg.dll
+ 2005-05-04 13:45:36 884,736 ----a-w c:\windows\system32\msimsg.dll
- 2002-08-29 12:00:00 39,936 ----a-w c:\windows\system32\msisip.dll
+ 2005-05-04 13:45:36 15,360 ----a-w c:\windows\system32\msisip.dll
- 2009-02-20 16:03:12 62,578 ----a-w c:\windows\system32\perfc007.dat
+ 2009-02-20 18:36:22 62,578 ----a-w c:\windows\system32\perfc007.dat
- 2009-02-20 16:03:12 51,814 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-20 18:36:22 51,814 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-20 16:03:12 386,338 ----a-w c:\windows\system32\perfh007.dat
+ 2009-02-20 18:36:22 386,338 ----a-w c:\windows\system32\perfh007.dat
- 2009-02-20 16:03:12 376,016 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-20 18:36:23 376,016 ----a-w c:\windows\system32\perfh009.dat
- 2002-08-29 12:00:00 223,232 ----a-w c:\windows\system32\qmgr.dll
+ 2004-07-01 22:08:12 360,448 ----a-w c:\windows\system32\qmgr.dll
- 2003-07-11 14:49:18 8,192 ----a-w c:\windows\system32\spmsg.dll
+ 2008-03-20 13:41:20 14,640 ------w c:\windows\system32\spmsg.dll
- 2003-08-25 19:16:56 151,136 ----a-w c:\windows\system32\wuauclt.exe
+ 2008-10-16 13:09:44 51,224 ----a-w c:\windows\system32\wuauclt.exe
- 2003-08-25 19:21:16 201,312 ----a-w c:\windows\system32\wuaueng.dll
+ 2008-10-16 13:13:40 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
+ 2008-10-16 13:12:24 202,776 ----a-w c:\windows\system32\wuweb.dll
- 2003-07-08 15:59:42 182,272 ----a-w c:\windows\system32\xpob2res.dll
+ 2004-06-30 16:00:02 183,808 ----a-w c:\windows\system32\xpob2res.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
"AOLMIcon"="c:\programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe" [2003-07-29 624128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2003-03-21 487696]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"Matrox PowerDesk 8"="c:\windows\System32\PowerDesk8\Matrox.PowerDes k.exe" [2004-08-19 90112]
"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]
"Cmaudio"="cmicnfg.cpl" [2003-09-12 c:\windows\CMICNFG.CPL]
"PRISMSTA.EXE"="PRISMSTA.EXE" [2003-08-04 c:\windows\system32\PRISMSTA.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
USB Tastatur Kontrollfeld.lnk - c:\windows\CNYHKey.exe [2003-09-16 5798912]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2009-02-20 222456]
R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_L IC\LogWatNT.exe [2002-09-20 53248]
R3 MTXPARH;MTXPARH;c:\windows\system32\drivers\MTXPAR HM.sys [2004-08-20 470272]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2003-06-12 24704]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [2003-09-10 362688]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic 98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_L IC\lic98rmtd.exe [2002-09-20 77824]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;c:\windows\System32\sv chost.exe -k netsvcs [2003-09-14 12800]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Fire fox\Profiles\u5bed6mv.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 20:03:13
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(52
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(584)
c:\windows\System32\dssenh.dll
.
Zeit der Fertigstellung: 2009-02-20 20:03:57
ComboFix-quarantined-files.txt 2009-02-20 19:03:55
ComboFix2.txt 2009-02-20 18:04:14

Vor Suchlauf: 11 Verzeichnis(se), 75,676,237,824 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 75,691,524,096 Bytes frei

176
soll ich weiter so vorgehen wie du es mir gesagt hast??

Du musst das Leerzeichen an der richtigen Stelle setzen.

Du hast eingegeben: combofix / u
Richtig ist: combofix /u

ciao, andreas

p.s.: Das Log zeigt, dass Updates installiert wurden, es ist also alles i.O. Poste trotzdem ein HJT-Log.
p.p.s.: Gibt es noch Umleitungen bei Google?

so das ist die hijack datei:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:41, on 20.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.PD eskNet.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.ex e /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: USB Tastatur Kontrollfeld.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1235154541984
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 4752 bytes

ich glaub es gibt kein umleitungen bei google mehr. Außerdem ist mein rechner nach combofix viel schneller geworden.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Zitat:

MSIE: Internet Explorer v6.00 SP1

So wird das nichts.
1.) Lade dir Downloaddetails: Windows XP Service Pack 3
2.) Lade dir Internet Explorer 7: Jetzt herunterladen
3.) Packe beide Dateien auf D: oder E:
4.) Trenne die Verbindung zum Internet. (Stecker ziehen!)
5.) Spiele dein System nocheinmal neu auf.
6.) SP3 installieren
7.) MSIE 7 installieren
8.) Verbindung zum Internet herstellen.
9.) Mit dem MSIE hier vorbeischauen und alle Updates machen.
10.) Dieses Programm herunterladen, laufenlassen und alle Updates durchführen.
11.) HJT-Log erstellen und posten. Da kann noch jede Menge gefixt werden.

ciao, andreas

meinst du ich soll bei 5 wieder die Application Disc verwenden.

Genau.

ciao, andreas

so ich hab alles gemacht. Hier ist HJT logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:22, on 20.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.PD eskNet.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Secunia\PSI\psi.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = MEDION International
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.ex e /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: USB Tastatur Kontrollfeld.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - MEDIONshop Deutschland (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1235164085515
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 4975 bytes

Hast du mit Secunia nicht gearbeitet? Du hast da noch eine uralte Acrobat-Version.

1.) Deinstalliere Acrobat Reader.
2.) Starte HJT => Do a system scan only => Markiere:

Code:

O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - MEDIONshop Deutschland (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

=> Fix checked
3.) Installiere (Toolbars immer abwählen, Haken weg) Adobe - Adobe Reader oder besser Foxit Reader 3.0
4.) Poste ein letztes HJT-Log.

ciao, andreas

hab alles gemacht. Hier das Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:18, on 21.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.PD eskNet.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = MEDION International
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\Matrox.PowerDesk.ex e /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: USB Tastatur Kontrollfeld.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1235164085515
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 4560 bytes

Was habe ich nochmal geschrieben?

Zitat:

Installiere (Toolbars immer abwählen, Haken weg)

So, du schreibst jetzt 100mal an die Tafel: Ich soll keine Toolbars mitinstallieren!

Danach deinstallierst du die Ask Toolbar und bist entlassen.

Schönes Wochenende,
andreas

ja alles klar :biglol:
danke für deine hilfe

hallo james was ist genau dein problem am rechner?

das Problem wurde schon gelöst.

hallo ich habe auchdas Problem das ich auf meine externe festplatte nicht mehr zugreifen kann ! möchte aber eig um eine Formatierung herum kommen weil dort meine ganzen filme usw gespeichert sind !

da ich über den explorer komischerweise auf die festplatte zugreifen kann wollte ich fragen ob ich ohne bedenken die wichtigsten Dateien noch auf eine andere festplatte kopieren kann ohne das sich der virus gleich ausbreitet ?!

schonmal danke im vorraus

Habe auch das problem das der zugriff auf meine festplatte verweigert wird..
Aber erlich gesagt ist mir die sache mit den ganzen dateien und runterladen zu hoch..

Hat sich schon erledigt
Konnte das Problem selber beheben, indem ich Xp Neu Installiert habe...
hoffe mal das die Viren dadurch auch Gelöscht sind!

Hey guten abend leute,
ich habe da ein kleines problemchen und zwar:
ich kann auch nicht auf c und denn ganzen anderen partitionen zugreifen (e, f, und ne zweite festplatte d)
ich kann auf keine dieser ppartitionen zugreifen nur über rechtsklick und dann auf explorer hoffe ihr könnt mir schnell helfen ohne das meine daten flöten gehen
naja ich hoffe auf schnelle antworten
ps: wer rechtschreibfehler findet darf sie behalten
greez chris