System32 (trojaner? oder virus?) need Help

#1 Hallo!

Ich habe seit vorgestern ein Problem. Undzwar öffnet sich jetzt jedesmal nach dem ich Windows XP hochgefahren habe der Syste32 Ordner. Ich habe keine Ahnung warum. Ich habe im Autostartverzeichnis nachgesehen und nix gefunden. Ich habe ausserdem den Advanced Startup Manager wo ich diesen Prozess ebenfalls nicht auswendig gemacht habe.

Ich habe gestern einige Freunde gefragt und die hatten unter anderem auch die Theorie, dass es ein Trojaner oder Virus sein könnte. Ich habe daher gestern einen Kompletten Systemcheck mit "AntiVir" gemacht. Jedoch fand das Programm garnichts.

Wer AntiVir kennt weiss sicherlich, dass wenn man das Programm startet es einen kurzen Durchlaufmacht wo er "initialisierung,speichertest,bootsektor" usw. testet. Er markiert bei mir alles mit einem "OK" bist auf "systemcheck" , wo er "WARNING" sagt.

Meine Frage:

Wenn es ein Trojaner oder Virus ist, wie kann ich ihn entfernen?
Warum erkennt AntiVir es in der Überprüfungssequenz,aber nicht wenn ich konkret nach Viren scanne??



Ich danke euch jetzt schon mal für eure Hilfe!

Gruß aus Berlin

#2 http://board.protecus.de/t16317.htm

Kleine Anleitung + weiterführende Links kannst du dort nachlesen. Arbeite das vielleicht zuerst einmal durch.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 hm danke ich bin grad am lesen aber so ganz versteh ich das nich :/

mit Ad-Ware hab ich gestern übrigens auch schon gescannt. is nix entdeckt worden.

#4 wo liegt denn das genaue verständnis problem?
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 so hab einen hijack this check gemacht

-------------
Logfile of HijackThis v1.99.1
Scan saved at 15:58:52, on 24.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Jens Rottmann\Eigene Dateien\RefreshLock.exe
C:\Programme\Opera\opera.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Jens Rottmann\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roughnecks.net.tc/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] "nwiz.exe " /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] "SOUNDMAN.EXE"
O4 - HKLM\..\Run: [ScanRegistry] "C:\W"
O4 - HKLM\..\Run: [BigDogPath] "C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SearchUpgrader] "C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Steam] ""
O4 - Startup: Verknüpfung mit RefreshLock.exe.lnk = C:\Dokumente und Einstellungen\Jens Rottmann\Eigene Dateien\RefreshLock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097875273156
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC81C1B-CAF0-4D15-822C-F6A9A94C90BC}: NameServer = 217.9.42.98 217.9.47.254
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


----------------
shredder und spybot haben nix gefunden...

ich surfe übrigens mit Opera und nicht mit dem IE

#6 Dann folge weiterhin der Anleitung und lass es zunächst einmal bei www.hijackthis.de auswerten, sowie die anderen Tools zum scannen und cleanen drüber laufen.
Wie du an der automatischen Log-Auswertung sehen kannst hast du nämlich ein paar Dinge auf deinem System die da nicht hingehören.

Fixe alle bösen, unnötigen und unbekannten Einträge die du nicht kennst bis auf:
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
diesen Eintrag lässt du drin.

Sofern du Englisch kannst, lese dir Aufmerksam die Anleitung auf folgender Seite durch und lade das Tool LSPFix herunter:
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm

Führe das Tool aus, setze das Häkchen bei "I know what I'm doing"
Wähle nur die Datei "xfire_lsp_10650.dll" aus und drücke danach auf ">>" um die Datei auf die rechte Seite zu bringen.
Abschließend drücke auf "Finish >>"
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 habe mein problem gelöst!
danke Malkesh! ich werde das board hier auf jedenfall weiter empfehlen! super service und beratung
und natürlich werde auch ich euch weiterhin konsultieren,wenn ich probleme habe!
dankeeee