Virusproblem

hallo bonsai ,

schau dir mal diesen link an:
 http://computerhilfen.de/hilfen-17-60787-10.html
vielleicht schafft es Microsoft's AntispyBeta1.

ansonsten kann ich nirgendwo dein hjt-logfile sehen.

AntispyBeta schafft es bei mir nicht den virus zu killen.
vielleicht kannst du mir ja bei der logfile helfen?
Logfile of HijackThis v1.99.1
Scan saved at 15:20:23, on 11.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mustek 1200 UB PLUS\Driver\WATCH.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Ad-Protect\ad-protect.exe
C:\Programme\Ad-Protect\ad-protect.exe
C:\KillBox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll
O2 - BHO: (no name) - {F37A4563-0580-485B-891D-9AA11454D601} - C:\WINDOWS\System32\kiae.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-Protect] C:\Programme\Ad-Protect\ad-protect.exe /s
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [wingo] C:\WINDOWS\System32\wingo.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tutorial_SW.lnk = C:\WINDOWS\twain_32\S6U12BX\sw_tuto.exe
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB PLUS\Driver\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099319241230
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{506BF469-B7F1-496C-A906-B327AD91B55E}: NameServer = 205.188.146.145
O18 - Filter: text/html - {9E4AE787-3CA7-4406-98C1-8AEB56B0DE2D} - C:\WINDOWS\System32\kiae.dll
O18 - Filter: text/plain - {9E4AE787-3CA7-4406-98C1-8AEB56B0DE2D} - C:\WINDOWS\System32\kiae.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

hallo bonsai !
du hast ua. den hartnäckigen
Hijacker about:blank - se.dll\sp.html  drauf.
Seit kurzem gibt's ein removal tool bei:
http://trojaner-info.de/anleitungen/hijackthis/about_blank.html
zunächst als erstes damit cleanen soweit möglich.

Dann würde ich schnellstens Ad-Protect deinstallieren.
Steht selbst auf der Liste der verdächtigen Spyware-Jägern (rogue anti-spyware tools).
schau hier:
 http://www.spywarewarrior.com/rogue_anti-spyware.htm
ua. verdächtig durch:
aggressive advertising ; broswer hijacking; unconscionable license terms ; Ad-ware knockoff.
Bringt dir mehr Probleme als es löst.

Fixe/lösche dann mit HJT:
- alle Einträge bei RO und R1  (sind 8 Stück)
  ab Temp\se.dll/spage.html bis
  Main,HomeOldSP = about:blank
  soweit diese vom og. Tool noch NICHT entfernt
  werden konnten.

- O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll

- O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll

- O2 - BHO: (no name) - {F37A4563-0580-485B-891D-9AA11454D601} - C:\WINDOWS\System32\kiae.dll

- O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll

- überprüfe mit http://virusscan.jotti.org/de diese
  winshost.exe bei  C:\WINDOWS\System32\winshost.exe
 
  Gehe davon aus, daß es Troj/Bagledl-C oder einer
  der Varianten ist:---> www.sophos.de/virusinfo/analyses/trojbagledlc.html
  Falls böse (= Virus) dann auch
 
- O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe   fixen/löschen.

- O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll,DllInstall

- O4 - HKLM\..\Run: [Ad-Protect] C:\Programme\Ad-Protect\ad-protect.exe /s

- O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

- O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe (falls böse !)

- O4 - HKCU\..\Run: [wingo] C:\WINDOWS\System32\wingo.exe

- O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

- O4 - Global Startup: Tutorial_SW.lnk = C:\WINDOWS\twain_32\S6U12BX\sw_tuto.exe

- O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

- 016: ab install.global-netcom.de/ieloader.cab bis
       runter zu file://c:\ex.cab  (10 Einträge) fixen

- O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx

- O18 - Filter: text/html - {9E4AE787-3CA7-4406-98C1-8AEB56B0DE2D} - C:\WINDOWS\System32\kiae.dll

- O18 - Filter: text/plain - {9E4AE787-3CA7-4406-98C1-8AEB56B0DE2D} - C:\WINDOWS\System32\kiae.dll

- O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)


Dieses Ad-Protect hat dir jede Menge Einträge gebracht. Ist auch generell zu überlegen, ob du dein
Systmem nicht formatierst und komplett neu aufsetzt.
Es fehlen alle Patches auf deinem XP. Offen für jeden Angriff.