woher kommen sie dann also bzw wer warnt mich denn hier vor den viren?

Kann sowas sein: PopUp Trojaner

Als PopUp Trojaner bezeichnet man Spyware, die sich unbemerkt im System einnisten und Sie als Nutzer fortwährend mit aufspringenden Werbefenstern belästigt.

Die Meldung daß Du Viren hast kann ja falsch sein.
Sie kommt vielleicht von dem Trojaner, der lenkt Dich dann(wie Du ja selbst gesagt hast) auf eine Webseite, wo Du ein "angebliches" Säuberungstool runterladen sollst-schon haste wieder 1 Trojaner mehr!
Jetzt begriffen wie ein Trojaner vorgeht?

ja wobei trojaner ja verschiedene methoden haben...

ok dann werd ich morgen erst die resultate posten können wenn ich dann jetzt anfange mit scannen

 

wenn ich dann jetzt anfange mit scannen

... wenn ´s noch hilft!
Viel Erfolg!

wie meinst du das wenns noch hilft ? meinst du ich kann ihn vielleicht nicht mehr erkennen oder er hat schon soviel in windows kaputt gemacht ? denn wirklich daten zerstören tun ja wirklich nur die allerwenigsten viren (+trojaner? sind die nicht meist dazu informationen zu versenden)

ich scanne jetzt 1.5 stunden (soviel hatt er für 1 durchgang in normal modus gebraucht) nur hab ich bisher 9% geschafft. ist das normal das es lange dauert im abgesicherten modus oder braucht er wieder bei mir so lange ? könnte ich eigentlich auch von einer anderen platte starten und die betroffene win platte als daten platte scannen oder muss win aktiv sein?also nachtrag nochmal :beim runterfahren hat er einen task angezeigt (UBKNOVUR.exe konnnte nicht beendet werden laut windows) den ich gar nicht kenne.so nun fahr ich wieder hoch um zu sehen ob der task wieder auftaucht und siehe da "admin hat den task manager gesperrt" da hat sich der trojaner also schon eingelinkt nur wie schlimm ist es ? kann es einer abschätzten?also in abgesicherten modus gestartet PER USER ACCOUNT aber auch hier das gleiche problemnur im admin modus (abgesichert) kann ich in taskmanager. da ich hier ja keine inet verbindung hab kann der trojaner nix senden. bislang ist zwar nix gefunden worden aber ich hoffe dieser trojaner wird noch erkannt.ansonsten ? weitere scans ?

Nochmal .... 

Virenscan unbedingt immer im abgesicherten Modus machen  !
Denn im Normalmodus sind etliche Dateien gesperrt .

Siehe meinen Post .....

genau die selbe meldung kommt bei mir auch seit 2-3 tagen regelmäßig!!!

du meinst die angebliche windows firewall warnung?
wirst du denn von der meldung auch auf eine internet seite mit antiviren software weitergeletitet?

ich wollte diesbezüglich mal bei microsoft nachfragen ob diese meldung nun offiziell von windows kommt oder doch vom trojaner. bin mir da nun doch nicht mehr so sicher.
problem wäre nur den screenshot werden die wahrscheinlich nicht annehmen ich weiss nicht die sträuben sich ja bei kundendiensten immer so externe links anzuklicken.
btw wenn einer die microsoft kundensupport addy weiss kann er ja mal posten.

hast du denn schon auf viren geprüft ? wenn nicht würd ich es mal machen und geb bescheid ob und was gefunden wurde .

 

also ich hab jetzt die letzten 2 tage ununterbrochen mit diverser software gescannt. nun hab ich es hoffentlich alles sauber. logs folgen noch.
falls jemand noch ein weiteres AV programm empfehlen kann bitte bescheid geben da ja die scan-ergebnisse der einzelnen programme doch unterschiedliche warnmeldungen gegeben haben.
btw ist es eigentlich egal ob admin oder user mode bei scannen im abgesicherten modus?

als erstes hab ich mal nach dieser ubknovur datei gesucht:
windows/prefetch/UBKNOVUR.EXE-30818159.pf (grösse 7kb)
regedit suche :
 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oxcxwdcd\ubknovur.exe
hab ich beide gelöscht ALLERDINGS hat mir kein scanner beim datei scan eine warnmeldung gegeben. auch kommt bei google rein gar nix zu der datei was ich noch nie hatte.

avira antivir, meine normale av software hatte ja nichts gemeldet also hab ich die hier vorgeschlagenen getestet:
malware hat 84 viren gefunden + bekämpft
danach :
-adaware
-hijack
-kaspersky online scan
-security task manager
gescannt die jeweils auch noch was gefunden haben.


ist avira eigentlich noch sicher / wurde es infiltriert / hilft eine neuinstallation / besser andere stammsoftware?

das einzige was mir noch gefährlich vorkommt ist ein eintrag im security task manager - der eintrag ist auch im hijack log (wird aber als FILE MISSING aufgeführt)
wurde meine ich auch während eines scans als trojaner enttarnt und bekämpft
hier mal ein screenshot
http://www.yousendit.com/download/bVlBa0ZjR3NkMnRFQlE9PQ

http://www.yousendit.com/download/bVlBa0ZYTWNUME5FQlE9PQ
hier 2 viren die der security task manager erkannt hat
achso beim java eintrag bin ich mir nicht sicher. hab es erstmal nicht gelöscht falls es doch schadhaft sein sollte bitte um mitteilung

hier der log der windowsscan.bat datei

Die 30 neuesten Dateien im Ordner Windows:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS ***** 
***** ***** ***** ***** ***** 
 
 04.10.2008 ntbtlog.txt 15 03:2.564.126 
 04.10.2008 bootstat.dat 15 02:2.048 
 04.10.2008 WindowsUpdate.log 02 19:1.407.001 
 03.10.2008 wiaservc.log 18 20:50 
 03.10.2008 SchedLgU.Txt 18 20:32.556 
 03.10.2008 wiadebug.log 18 20:215 
 03.10.2008 0.log 18 20:0 
 03.10.2008 setupapi.log 14 51:375.535 
 03.10.2008 winamp.ini 03 54:177 
 03.10.2008 NeroDigital.ini 00 48:116 
 22.09.2008 WORDPAD.INI 00 48:754 
 11.09.2008 popcinfo.dat 22 30:13 
 10.09.2008 wmsetup.log 21 23:118.200 
 10.09.2008 tsoc.log 18 09:711.787 
 10.09.2008 comsetup.log 18 09:617.746 
 10.09.2008 ocmsn.log 18 09:100.883 
 10.09.2008 iis6.log 18 09:278.253 
 10.09.2008 ntdtcsetup.log 18 09:377.165 
 10.09.2008 imsins.log 18 09:1.374 
 10.09.2008 KB938464.log 18 09:6.867 
 10.09.2008 msgsocm.log 18 09:91.913 
 10.09.2008 ocgen.log 18 09:921.996 
 10.09.2008 FaxSetup.log 18 09:1.785.820 
 10.09.2008 imsins.BAK 18 08:1.374 
 10.09.2008 KB954154.log 18 08:4.178 
 09.09.2008 drD3D.ini 22 17:66 
 05.09.2008 Vandell.INI 04 37:1.374 
 
 
Die 50 neuesten Dateien im Ordner Windows\system32:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS\system32 ***** 
***** ***** ***** ***** ***** 
 
 03.10.2008 wpa.dbl 18 20:2.206 
 03.10.2008 hidqhqvg.exe 15 46:102.400 
 27.09.2008 perfh009.dat 17 41:406.328 
 27.09.2008 perfh007.dat 17 41:421.618 
 27.09.2008 perfc009.dat 17 41:63.528 
 27.09.2008 perfc007.dat 17 41:76.906 
 27.09.2008 PerfStringBackup.INI 17 41:980.900 
 26.09.2008 d3d9caps.dat 23 47:1.324 
 30.08.2008 DivXEncSettings.txt 04 43:864 
 30.08.2008 FNTCACHE.DAT 02 20:154.768 
 26.08.2008 MRT.exe 22 28:16.208.504 
 26.08.2008 TZLog.log 19 28:595.522 
 19.07.2008 cdm.dll 07 10:94.920 
 19.07.2008 wuauclt.exe 07 10:53.448 
 19.07.2008 wups2.dll 07 10:45.768 
 19.07.2008 wups.dll 07 10:36.552 
 19.07.2008 wucltui.dll.mui 07 10:33.992 
 19.07.2008 wuaucpl.cpl.mui 07 09:29.896 
 19.07.2008 wuapi.dll.mui 07 09:29.896 
 19.07.2008 wucltui.dll 07 09:325.832 
 19.07.2008 wuaucpl.cpl 07 09:215.752 
 19.07.2008 wuapi.dll 07 09:563.912 
 19.07.2008 wuweb.dll 07 09:205.000 
 19.07.2008 wuaueng.dll 07 09:1.811.656 
 19.07.2008 wuaueng.dll.mui 07 08:21.192 
 14.07.2008 tzchange.exe 13 09:62.976 
 13.07.2008 sysogg.dll 22 47:25 
 07.07.2008 es.dll 22 30:253.952 
 25.06.2008 wmpeffects.dll 03 12:295.936 
 24.06.2008 mshtml.dll 19 14:3.592.192 
 24.06.2008 mscms.dll 18 22:74.240 
 23.06.2008 wininet.dll 18 14:826.368 
 23.06.2008 url.dll 18 14:105.984 
 23.06.2008 occache.dll 18 14:102.912 
 23.06.2008 webcheck.dll 18 14:233.472 
 23.06.2008 mshtmled.dll 18 14:477.696 
 23.06.2008 msrating.dll 18 14:193.024 
 23.06.2008 urlmon.dll 18 14:1.159.680 
 23.06.2008 pngfilt.dll 18 14:44.544 
 23.06.2008 mstime.dll 18 14:671.232 
 23.06.2008 inetcpl.cpl 18 14:1.831.424 
 23.06.2008 iertutil.dll 18 14:267.776 
 23.06.2008 msfeeds.dll 18 14:459.264 
 23.06.2008 msfeedsbs.dll 18 14:52.224 
 23.06.2008 jsproxy.dll 18 14:27.648 
 23.06.2008 iernonce.dll 18 14:44.544 
 23.06.2008 ieframe.dll 18 14:6.066.176 
 
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** 
* 

hier der scan mit den 84 funden (seh gerade der ubknovur ist da auch bei):

Malwarebytes' Anti-Malware 1.28
Database version: 1202
Windows 5.1.2600 Service Pack 2

03.10.2008 22:41:19
mbam-log-2008-10-03 (22-41-19).txt

Scan type: Quick Scan
Objects scanned: 45815
Time elapsed: 7 minute(s), 7 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 10
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 4
Files Infected: 67

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\cmdinfo (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\5brt4mb2sm (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Files Infected:
C:\Programme\xsbbbfg\cmdinfo.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oxcxwdcd\ubknovur.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
 

hier hijack this




Logfile of HijackThis v1.99.1
Scan saved at 18:27:28, on 03.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\videoprogramme\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\tools\NetXfer\NXIEHelper.dll
O2 - BHO: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHots.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\tools\NetXfer\NXToolBar.dll
O3 - Toolbar: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHots.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Orbit.lnk = C:\Programme\videoprogramme\Orbitdownloader\orbitdm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mdz: C:\Programme\Internet Explorer\Plugins\npmod32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7F6080D-4E27-4771-A7B0-63B0595E9B2E}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: cmdinfo - {191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Programme\xsbbbfg\cmdinfo.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

 

und nochmal eine neuere (1 tag aktueller) zum gegencheck



Logfile of HijackThis v1.99.1
Scan saved at 16:42:27, on 04.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\videoprogramme\Orbitdownloader\orbitdm.exe
C:\Programme\videoprogramme\Orbitdownloader\orbitnet.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\CCleaner\ccleaner.exe
C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\update\update.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1561552
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHots.dll
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\videoprogramme\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\tools\NetXfer\NXIEHelper.dll
O2 - BHO: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHots.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\tools\NetXfer\NXToolBar.dll
O3 - Toolbar: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHots.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\videoprogramme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\videoprogramme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\videoprogramme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\tools\NetXfer\NXAddList.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\videoprogramme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\videoprogramme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download all by YouTube Robot - res://C:\Programme\YouTubeRobot\RobotExt.ocx/ALL.HTM
O8 - Extra context menu item: Download by YouTube Robot - res://C:\Programme\YouTubeRobot\RobotExt.ocx/LINK.HTM
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\tools\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mdz: C:\Programme\Internet Explorer\Plugins\npmod32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7F6080D-4E27-4771-A7B0-63B0595E9B2E}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Microsoft DDE+ server (a5bdd0b7ab628f6d) - Unknown owner - C:\WINDOWS\system32\.a5bdd0b7ab628f6d\a5bdd0b7ab628f6d.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

 

hier nochmal der kaspersky online scan. nur ein auszug davon da viel zu gross:
die 3 kritischen einträge habe ich per hand gelöscht da ich keine virus löschen option gefunden habe:


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat     Das Objekt ist gesperrt     übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\hidqhqvg.exe.q_8049001_q    Infizierte Objekte: Trojan.Win32.Obfuscated.gx    übersprungen
C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-5286af48-6e6ce5b4.zip/vmain.class    Infizierte Objekte: Exploit.Java.Gimsh.a    übersprungen
C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-5286af48-6e6ce5b4.zip    ZIP: infiziert - 1    übersprungen
C:\Dokumente und Einstellungen\jan\Cookies\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Temp\~DF34C3.tmp    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Verlauf\History.IE5\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100520081006\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\ntuser.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\jan\ntuser.dat.LOG    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG    Das Objekt ist gesperrt    übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat    Das Objekt ist gesperrt    übersprungen

jo, bekomme die selbe meldung und werde dann auch auf diese  seite mit den anti-viren programmen verwiesen!
habe antivir und ad-aware im abgesicherten modus laufen lassen, hat aber nichts geholfen. die meldung kommt noch immer.
werde den pc die tage neu aufsetzen