Virus? - Totale Verzweiflung

Ja, das ist allerdings nötig!

Logfile of HijackThis v1.98.2
Scan saved at 16:15:26, on 01.09.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
F:\WINDOWS\System32\ctfmon.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Analog Devices\SoundMAX\SMAgent.exe
F:\Programme\AVPersonal\AVWIN.EXE
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\WINDOWS\System32\btk0oz4et0p.exe
F:\WINDOWS\System32\btk0oz4et0p.exe
F:\Dokumente und Einstellungen\Alexander\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aon.at/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - F:\WINDOWS\System32\ry2aoh3ru82dl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PRONoMgr.exe] F:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SafeGuard Popup Blocker Updater (required)] regsvr32 /s F:\WINDOWS\System32\sfg1dc7.dll
O4 - HKLM\..\Run: [Network Security Guard] F:\WINDOWS\System32\btk0oz4et0p.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://f:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://f:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://f:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://f:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: F:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O20 - AppInit_DLLs: vtlyjipt59.tlb 7cm2h596hbbs.tlb

Prüfen:
F:\WINDOWS\System32\btk0oz4et0p.exe
F:\WINDOWS\System32\sfg1dc7.dll


Fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=632
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - F:\WINDOWS\System32\ry2aoh3ru82dl.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O20 - AppInit_DLLs: vtlyjipt59.tlb 7cm2h596hbbs.tlb


Fixen jenachdem weas bei der prüfung rauskam:
O4 - HKLM\..\Run: [SafeGuard Popup Blocker Updater (required)] regsvr32 /s F:\WINDOWS\System32\sfg1dc7.dll
O4 - HKLM\..\Run: [Network Security Guard] F:\WINDOWS\System32\btk0oz4et0p.exe

Und vorher unbedingt dein System updaten XP-SP2 und IE6-SP1 installiern

Gruß

Danke für die schnelle Antwort.

Doch O4 - HKLM\..\Run: [Network Security Guard] F:\WINDOWS\System32\btk0oz4et0p.exe lässt sich leider nicht fixen. Die Datei ist einfach immer wieder da ..

O20 - AppInit_DLLs: vtlyjipt59.tlb 7cm2h596hbbs.tlb kommt auch immer wieder nur mit anderem zahlen und buchstabend code ...

Versuch mal vorher den Sp.html-cleaner.

Dann hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten->escan starten(doppelklick mwavscan.com)->zusätzlich alle Laufwerke und Services auswählen und das system damit scannen.

Danach ganz normal booten und wenns immernoch so ist nochmal ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Gruß