w32.spybot.worm und Download.Trojan löschen

Hallo  DenJo333 ,
Du hast ua. die
EliteToolbar drauf, die immer schwer zu entfernen war mit zig-verstreuten Einträgen.
Seit kurzem gibt's dazu ein Removoltool EliteToolbar Remover v.1.1.B unter :
 www.simplytech.it/home.htm
Dieses muss zwingend dann im abgesicherten Modus ausgeführt werden.
 ( www.bsi.bund.de/av/texte/wiederher.htm ).
Aber du hast noch mehr drauf. Würde vorschlagen, daß du aber zuerst dieses Removaltool einsetzt, um die gröbsten Dinge zu beseitigen und dann nochmals eine neue HJTLog postest für den Rest. Das macht es einfacherer und übersichtlicherer.
Ansonsten bringt ein Scan mit dem AV-Scanner, Ad-aware oder Spybot im abgesicherten Modus öfters mehr Erfolge als im Normalmodus.

Hi Richard,

vielen Dank für deine Hilfe. Ich hab das Programm und nochmal HJT durchlaufen lassen. Ist das bei rausgekommen:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\HJT-Tool\HijackThis.exe

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegjo32.exe
O4 - HKLM\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\Run: [rant] rant.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [nfhE] C:\WINDOWS\ylgmxade.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Dennis.DENJO\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [otqn] C:\WINDOWS\otqn.exe
O4 - HKLM\..\Run: [Internet] cwekgetr.exe
O4 - HKLM\..\Run: [nfh$vùõš/‚²?ÆßfÏNbC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylgmxade.exe
O4 - HKLM\..\RunServices: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\RunServices: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\RunServices: [rant] rant.exe
O4 - HKLM\..\RunServices: [Internet] cwekgetr.exe
O4 - HKCU\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKCU\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKCU\..\Run: [rant] rant.exe
O4 - HKCU\..\Run: [Internet] cwekgetr.exe
O4 - HKCU\..\RunServices: [Internet] cwekgetr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O18 - Filter: text/html - {559FC5BE-FC37-4913-B1CA-AC2EF4FDA615} - C:\Dokumente und Einstellungen\Dennis.DENJO\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Was kann ich machen?
danke

Hallo nochmals DenJo333,

hat sich etwas verbessert, hatte gehofft, daß dieser Remover noch mehr schafft, aber leider nicht.Bei der EliteToolBar gibt's einfach zuviele Varianten. Der Rest muß manuell gemacht werden.

Gehe in den abgesicherten Modus (F8 Taste drücken) und fixe/lösche folgendes:

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)

O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)

O4 - HKLM\..\Run: [MS HTML Location Class] MSHTML32.exe

und ALLE folgenden 19 Einträge von der
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegjo32.exe
bis runter zur
O4 - HKCU\..\RunServices: [Internet]cwekgetr.exe

(diese "Sammlung" beinhaltet ua. auch den
 W32/Rbot-YD und ist hochgefährlich. Schau hier:
  www.sophos.de/virusinfo/analyses/w32rbotyd.html )

dann noch weiter unten fixen:

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab

O18 - Filter: text/html - {559FC5BE-FC37-4913-B1CA-AC2EF4FDA615} - C:\Dokumente und Einstellungen\Dennis.DENJO\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

All diese o.g. mußt du fixen. Es ist allerdings wg. dem og. RBOT-Befall (hat Backdoorfunktionen! lies dir oben die Sophosbeschreibung genau durch) zu überlegen, ob du aus Sicherheitsüberlegungen nicht besser formatierst und den PC neu aufsetzt mit einer sauberen Installations-CD + sauberen MS-SP2-UpdateCD.
Ist deine freie Entscheidung.
Falls du es dennoch mit fixen versuchen willst, dann besser nochmals hinterher eine neue HJT-Log (im Normalmodus und mit komplettem Kopfbeginn) machen, damit nicht etwas übersehen wurde.
Du hast dir einiges böses eingefangen.

Ich hab dasselbe Problem, aber HJT lässt sich bei mir zwar ausführen, aber ich kann kein LogFile speichern. Woran kann das liegen?

Norton meldet sich ebenfalls permanent mit dem W32.Spybot.Worm

hi ihr #
ja wer hat ein tool für den w32.spybot zum löchen

wer kan helfen ???

Hallo,
habe win XP sp1 und folgendes problem. Beim surfen meldet sich immer mal wieder Norton Antivirus, dass es die oben genannten Viren(w32.spybot.worm und Download.Trojan) gelöscht hat. Das taucht jedoch immer wieder auf. Die Dinger sind also nicht wirklich gelöscht. Mache ich einen kompletten scan mit Norton findet er die beiden aber nicht mehr sondern nur einen haufen ad-aware die ich auch schon mehrmals gelöscht habe, die aber auch immer wieder kommt. Die würde ich auch mal ganz gern loswerden. Hab mir das HJT-Tool runtergeladen und nen scan gemacht:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\MSHTML32.exe
C:\WINDOWS\System32\cwekgetr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\MSHTML32.exe
C:\WINDOWS\System32\MSPRCSS32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
D:\HJT-Tool\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
c:\mwset32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegjo32.exe
O4 - HKLM\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\Run: [rant] rant.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [nfhE] C:\WINDOWS\ylgmxade.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Dennis.DENJO\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [otqn] C:\WINDOWS\otqn.exe
O4 - HKLM\..\Run: [Internet] cwekgetr.exe
O4 - HKLM\..\Run: [nfh$vùõš/‚²?ÆßfÏNbC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylgmxade.exe
O4 - HKLM\..\RunServices: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\RunServices: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\RunServices: [rant] rant.exe
O4 - HKLM\..\RunServices: [Internet] cwekgetr.exe
O4 - HKCU\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKCU\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKCU\..\Run: [rant] rant.exe
O4 - HKCU\..\Run: [Internet] cwekgetr.exe
O4 - HKCU\..\RunServices: [Internet] cwekgetr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{989E43EA-654E-4ABA-8768-CC57E8EEE8AB}: NameServer = 62.134.11.4 195.182.110.132
O18 - Filter: text/html - {559FC5BE-FC37-4913-B1CA-AC2EF4FDA615} - C:\Dokumente und Einstellungen\Dennis.DENJO\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

wär nett wenn mir jemand helfen könnte. Ich hab seitdem mit diversen fehlermeldungen und pop ups zu kämpfen...
ich kann auch falls es hilft noch mal ein protokoll zu den bedrohungsalarmen schicken. Da ist die ganze gefundene ad aware und die viren die immer wieder kommen verzeichnet.

danke

Hallo,
habe win XP sp1 und folgendes problem. Beim surfen meldet sich immer mal wieder Norton Antivirus, dass es die oben genannten Viren(w32.spybot.worm und Download.Trojan) gelöscht hat. Das taucht jedoch immer wieder auf. Die Dinger sind also nicht wirklich gelöscht. Mache ich einen kompletten scan mit Norton findet er die beiden aber nicht mehr sondern nur einen haufen ad-aware die ich auch schon mehrmals gelöscht habe, die aber auch immer wieder kommt. Die würde ich auch mal ganz gern loswerden. Hab mir das HJT-Tool runtergeladen und nen scan gemacht:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\MSHTML32.exe
C:\WINDOWS\System32\cwekgetr.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\MSHTML32.exe
C:\WINDOWS\System32\MSPRCSS32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
D:\HJT-Tool\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
c:\mwset32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegjo32.exe
O4 - HKLM\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\Run: [rant] rant.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [nfhE] C:\WINDOWS\ylgmxade.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Dennis.DENJO\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [otqn] C:\WINDOWS\otqn.exe
O4 - HKLM\..\Run: [Internet] cwekgetr.exe
O4 - HKLM\..\Run: [nfh$vùõš/‚²?ÆßfÏNbC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylgmxade.exe
O4 - HKLM\..\RunServices: [MS HTML Location Class] MSHTML32.exe
O4 - HKLM\..\RunServices: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\RunServices: [rant] rant.exe
O4 - HKLM\..\RunServices: [Internet] cwekgetr.exe
O4 - HKCU\..\Run: [MS HTML Location Class] MSHTML32.exe
O4 - HKCU\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKCU\..\Run: [rant] rant.exe
O4 - HKCU\..\Run: [Internet] cwekgetr.exe
O4 - HKCU\..\RunServices: [Internet] cwekgetr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{989E43EA-654E-4ABA-8768-CC57E8EEE8AB}: NameServer = 62.134.11.4 195.182.110.132
O18 - Filter: text/html - {559FC5BE-FC37-4913-B1CA-AC2EF4FDA615} - C:\Dokumente und Einstellungen\Dennis.DENJO\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

wär nett wenn mir jemand helfen könnte. Ich hab seitdem mit diversen fehlermeldungen und pop ups zu kämpfen...
ich kann auch falls es hilft noch mal ein protokoll zu den bedrohungsalarmen schicken. Da ist die ganze gefundene ad aware und die viren die immer wieder kommen verzeichnet.

danke

Ist nun schon ca 1000 mal beschrieben : LOG einkopieren usw....
http://www.hijackthis.de/

SPYBOT S&D nutzen , TeaTimer überwacht die Registry

Hier eine kleine allgemeine Hilfe bzw. Vorschlag zur Vireninfektion Erkennung, Beseitigung und Vorbeugung für Windows XP Systeme in Stichworten, ohne Gewähr:
+ AV Cleaner downloaden, siehe unter Link 1 und 2a/b.
Die Cleaner Programme sind keine vollwertige Antivirusprogramme, sie können keine Neuinfektion des PCs verhindern!
+ PC vom Internet und/oder Netzwerk trennen
+ Für die folgenden Schritte sind Administrator-Berechtigungen zwingend notwendig!
+ Systemwiederherstellung deaktivieren
+ PC im abgesicherten Modus starten (F8 Taste beim Booten drücken, wenn dies am Bildschirm angezeigt wird)
+ AV-Scan starten, erst Norman “NgenFix“ , anschließend Trend Micro “Damage Cleanup“,
keine Installation notwendig. Ein Report über das Ergebnis des Scan wird auf dem PC gespeichert.

*** Wichtige Hinweise ***
Beide Programme entfernen in der Standardeinstellung automatisch Viren ohne Rückfrage !!!
Wer kann, sollte immer erst ein Backup seiner Daten oder besser ein Image seines Systems anlegen, bevor er mit der Aktion beginnt !!!
Schäden, wie z.B. Datenverlust oder das Betriebsystem starten nicht mehr,  können nicht ausgeschlossen werden, kommen aber nur sehr selten vor !!!
Es gibt kein Antivirusprogramm auf der Welt das alle Viren erkennt und/oder beseitigen kann !!!
Das gleichzeitige installieren von mehreren Antivirusprogrammen mit einem Echtzeitscanner ist in keinen Fall zu Empfehlen, dies führt zwangsweise zu instabilem System!!!

+ PC wieder normal booten
+ Windows XP auf SP2 ( bis zu 270 MB, Link 4) updaten, falls dies noch nicht erfolgt ist.
Anschließend den PC mit Internet verbinden und über die automatische Updatefunktion von Windows alle fehlenden Sicherheitsupdates installieren lassen. (können mehr als 70 MB sein)
Ist das Betriebssystem nicht auf den aktuellen Stand, können die Sicherheitslücken in Windows von Viren leicht ausgenützt werden!
Anmerkung:
Wer keinen DSL-Internetanschluss Besitz, sollte einen Bekannten mit einen DSL Anschluss bitten ihm das Window Service Pack 2 herunter zu laden und auf eine CD zu brennen, ansonsten dauert die Aktion mehrere Stunden.
Am Montag dem 31.10.05 wird über die Zeitschrift c`t, Heft 23, (ComputerBild ab 28.10.)
eine Sicherheits-CD von MS und Co. verteilt, andere Fachzeitschriften folgen in den nächsten Tagen. Diese beinhaltet u.a. das Service Pack 2 für Windows, siehe Link 6
+ Ein installierter Virenscanner ist Pflicht auf jeden PC.
Für Standardzwecke ist das Deutsche Antivirenprogramm “AntiVir PersonalEdition“  ausreichend, siehe Link 3a/b. (Ist nur ein unverbindlicher Programmvorschlag)
+ Systemwiederherstellung aktivieren
+ Aktualisieren Sie die Virusdefinitionsdateien des Virenscanners regelmäßig (täglich ist nicht übertrieben)
+ Fertig und die Probleme sollten für immer erledigt sein.
+ Dieser Aufwand lohnt sich, auch wenn dies keine 5 Minuten Lösung ist, je nach System können mehr als 2 Stunden erforderlich sein, aber das Ergebnis spricht für sich, denn die Sicherheit geht vor.
+ Wem dieser Ablauf schon zu komplex ist, der sollte einen erfahrenden Bekannten zur Unterstützung heranziehen.


Links:
1. AV Cleaner “NgenFix“ von Normen, ca. 900KB
(Spezielles kostenloses Entfernungstool für nur stark verbreitete Viren in englischer Sprache)
http://www.norman.com/Virus/Virus_removal_tools/de

2. AV Cleaner “Damage Cleanup“ von Trend Micro
(Spezielles kostenloses Entfernungstool für fast alle bekannten Viren in englischer Sprache)
2a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
2b. Pattern, ca. 8 MB zip
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein!

3a. AntiVir PersonalEdition Classic
(Vollwertiger Virenscanner in deutscher Sprache, für Privatpersonen kostenlos)
ftp://pcwelt:[email protected]/avwinsfx.exe
3b Hersteller Homepage (zeitweise überlastet)
http://www.free-av.de/

4. Downloadlink zum Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de

5. Kostenlos das Windows XP Service Pack 2 bei Microsoft bestellen:
http://www.microsoft.com/windowsxp/downloads/updates/sp2/cdorder/en_us/default.mspx

6. Aktion “Deutschland sicher im Netz“, unter anderen eine Infoseite zur Sicherheits-CD
https://www.sicher-im-netz.de/default.aspx?initiative/sicherheitscheck/cd

7. Bundesamt für Sicherheit in der Informationstechnik (BSI)
(Sicherheit am PC für alle verständlich zusammengefasst)
http://www.bsi-fuer-buerger.de/

8. Internet Online Virenscanner von Trend Micro
(Nur mit einer DSL-Flatrate zu empfehlen)
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php