winXXX.tmp.exe startet ständig und ich lande auf dem desktop...

#1 hi,
ich bin ein absoluter noob in sachen viren & co.
seit ich meinen pc habe, habe ich "AntiVir" und "ZoneAlarm" drauf, wobei ich bei antivir fast täglich neue updates runterlade. eigentlich dachte ich, ich wäre sicher, dem war wohl nicht so...

seit einiger zeit (wann es anfing weiß ich nicht mehr) lande ich oft auf dem desktop während die anwendungen in die taskleiste verschoben werden.
mir ist aufgefallen, dass immer wenn ich mich auf dem dektop wiederfinde, im taskmanager ein prozess startet: "winXXX.tmp.exe" --> XXX sind verschiedene abfolge von zahlen und buchstaben. diese prozesse befinden sich im ordner "c:\windows\temp", wo auch einige tausende "winXXX.tmp" dateien sind...freunde von mir, die ebenfalls windows XP benutzen, haben nichteinmal diesen ordner "\temp".

ich weiß nicht genau, ob ich mit meiner vermutung, es sei ein virus, richtig liege, aber ich wüsste sonst nichts...

also ich nutze windows xp media center edition und habe 2x 200gb festplatten- braucht ihr sonst noch informationen?

bitte helft mir...

mfg
stemafu

#2 stemafu

Hijackthis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi,
danke schonmal für die hilfe. hier nun die daten:
________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 15:45:23, on 01.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Media Center Diagnostic Kit\Tests\Bin\ehMonitor.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5BF3E4A3-7E64-4D53-B512-2E242E837D24} (CMCEInputCtl Object) - https://einfach.otto.de/ottoproj/ottomce//bin/activex/MCEControls.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEF565FC-3B62-4A64-BB28-BB6EAB3CB636}: NameServer = 192.168.2.1
O20 - Winlogon Notify: winudh32 - C:\WINDOWS\SYSTEM32\winudh32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

___________________________________________
und hier aus den 4 textdateien:

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 7412-8822

Verzeichnis von C:\WINDOWS\system32

28.02.2006 16:23 15.573 dfrgsrv.exe
24.02.2006 17:35 312.376 FNTCACHE.DAT
22.02.2006 15:40 12.620 wpa.dbl
20.02.2006 14:17 19.456 winudh32.dll
17.02.2006 15:39 0 ScreensaverManager.log
17.02.2006 15:39 8.213 Fireplace.log
12.02.2006 16:01 7.376 Fantasy Moon.log
12.02.2006 15:54 6.277 Earth 3D Screensaver.log
12.02.2006 15:52 9.384 Coral Clock.log
19.01.2006 20:31 262.144 wrap_oal.dll
19.01.2006 20:31 86.016 OpenAL32.dll
18.01.2006 13:05 57.344 avsda.dll
17.01.2006 13:53 9.025.024 Coral Clock 3D Screensaver.exe
14.01.2006 19:59 34.308 BASSMOD.dll
12.01.2006 15:37 229.888 Coral_Clock_3D_Screensaver.scr
06.01.2006 13:58 412.122 perfh007.dat
06.01.2006 13:58 61.960 perfc009.dat
06.01.2006 13:58 400.956 perfh009.dat
06.01.2006 13:58 72.978 perfc007.dat
06.01.2006 13:58 908.582 PerfStringBackup.INI
05.01.2006 04:41 2.836.320 MRT.exe
04.01.2006 17:14 9.863 Nature.log
30.12.2005 13:36 9.617 Watermill.log
29.12.2005 03:54 280.064 gdi32.dll
28.12.2005 12:27 8.557 The Lost Watch.log
28.12.2005 11:23 274.432 3Planesoft_Screensaver_Manager.scr
24.12.2005 10:54 664 d3d9caps.dat
23.12.2005 13:37 9.360 Ancient Castle.log
08.12.2005 19:32 176.167 rmoc3260.dll
08.12.2005 19:32 5.632 pndx5032.dll
08.12.2005 19:32 6.656 pndx5016.dll
08.12.2005 19:32 278.528 pncrt.dll
05.12.2005 18:09 2.323.664 d3dx9_28.dll
05.12.2005 14:08 5.242.934 toyhide.bmp
05.12.2005 14:08 5.242.934 Wallpaper Changer.bmp
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 339.968 pxwave.dll
02.12.2005 17:26 11.872.256 Earth 3D Screensaver.exe
02.12.2005 12:03 255.488 Earth_3D_Screensaver.scr
01.12.2005 04:31 1.492.480 shdocvw.dll






______________________________________________________________________
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 7412-8822

Verzeichnis von C:\DOKUME~1\Steffen\LOKALE~1\Temp





______________________________________________________________________
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 7412-8822

Verzeichnis von C:\WINDOWS

01.03.2006 15:58 2.118 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
01.03.2006 15:58 0 0.log
01.03.2006 15:58 157 wiadebug.log
01.03.2006 15:58 50 wiaservc.log
01.03.2006 15:57 2.048 bootstat.dat
01.03.2006 15:56 32.574 SchedLgU.Txt
01.03.2006 15:56 12 bthservsdp.dat
01.03.2006 15:56 7.350 ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt
01.03.2006 15:56 1.075.685 WindowsUpdate.log
27.02.2006 12:36 116 NeroDigital.ini
26.02.2006 19:48 94.435 setupact.log
26.02.2006 18:42 432.942 setupapi.log
25.02.2006 17:08 1.367 win.ini
25.02.2006 17:08 275 system.ini
24.02.2006 13:59 505 ODBC.INI
19.02.2006 16:01 35 Ulead32.INI
17.02.2006 15:28 796.672 GPInstall.exe
11.02.2006 17:41 78.503 DirectX.log
11.02.2006 17:20 81.920 ALCFDRTM.VER
03.02.2006 17:28 978 Active Setup Log.txt
01.02.2006 17:57 1.073.106.944 MEMORY.DMP
25.01.2006 16:34 68 IDMan.INI
23.01.2006 11:03 2.177 eReg.dat
23.01.2006 11:02 737.280 iun6002.exe
23.01.2006 11:02 22.860 Battlecraft 1942 Setup Log.txt
13.01.2006 20:07 606 EventSystem.log
11.01.2006 15:20 42.567 ehOCGen.log
11.01.2006 15:20 90.067 MedCtrOC.log
11.01.2006 15:20 578.014 iis6.log
11.01.2006 15:20 240.704 comsetup.log
11.01.2006 15:20 319.878 tsoc.log
11.01.2006 15:20 1.374 imsins.log
11.01.2006 15:20 91.533 ntdtcsetup.log
11.01.2006 15:20 36.952 ocmsn.log
11.01.2006 15:20 31.511 tabletoc.log
11.01.2006 15:20 10.164 KB908519.log
11.01.2006 15:20 91.887 plusoc.log
11.01.2006 15:20 373.607 ocgen.log
11.01.2006 15:20 142.221 netfxocm.log
11.01.2006 15:20 32.947 msgsocm.log
11.01.2006 15:20 670.384 FaxSetup.log
11.01.2006 15:20 233.716 msmqinst.log
06.01.2006 20:34 10.391 KB912919.log
06.01.2006 20:34 1.355 imsins.BAK
06.01.2006 20:31 25.652 updspapi.log
06.01.2006 13:58 3.723 dahotfix.log
06.01.2006 13:58 19.455 dasetup.log
26.12.2005 12:51 81.920 ALCFDRTM.EXE
26.12.2005 11:42 316.640 WMSysPr9.prx
24.12.2005 02:22 7.583 Coral Clock 3D Screensaver.html
21.12.2005 16:27 1.228 ChristmasSS.LOG
15.12.2005 08:33 10.457 KB910437.log
15.12.2005 08:33 17.432 KB905915.log
04.12.2005 12:07 34.075 wmsetup.log





______________________________________________________________________
Verzeichnis von C:\

01.03.2006 16:06 0 sys.txt
01.03.2006 16:05 16.340 system.txt
01.03.2006 16:04 126 systemtemp.txt
01.03.2006 16:03 112.569 system32.txt
01.03.2006 15:57 1.073.074.176 hiberfil.sys
01.03.2006 15:57 1.610.612.736 pagefile.sys
25.02.2006 17:08 209 boot.ini
19.01.2006 09:18 2.500 button1.gif
06.01.2006 16:39 40 Auth.prof
25.12.2005 16:11 190 drwtsn32.log

#4 stemafu

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" (HijackThis geoeffnet lassen)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O20 - Winlogon Notify: winudh32 - C:\WINDOWS\SYSTEM32\winudh32.dll


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ... (von hier aus)

C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\winudh32.dll

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

scanne mit smitfraud.fix (Option 2) und poste den scanreport
http://virus-protect.org/artikel/tools/smitfrautfix.html

Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#5 also bei "smitfraud.fix" weiß ich nicht, was man aus dem report entnehmen soll , da einzige was dort stand war folgendes:
______________________________________
SmitFraudFix v2.21

Rapport fait à 18:43:33,82 le 01.03.2006
Executé à partir de C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

_________________________________________
und bei "echo.bat":


10)DPF????
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 7412-8822

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.02.2006 13:14 231.072 avsniff.dll
22.02.2006 13:11 878 avsniff.inf
17.11.2005 14:03 198.304 avsniffdlgs.dll
22.02.2006 13:07 537.704 AXXPEE.dll
22.02.2006 13:11 241 CabSA.inf
22.02.2006 01:00 2.390 catalog.dat
22.02.2006 01:00 6.899 ecbootil.vxd
17.11.2005 13:56 42.112 ecmldr32.dll
22.02.2006 01:00 288.376 ecmsvr32.dll
17.11.2005 13:57 6.850 navapi.vxd
17.11.2005 13:57 201.896 navapi32.dll
22.02.2006 01:00 124.584 naveng32.dll
22.02.2006 01:00 788.136 navex32a.dll
31.01.2005 13:13 595 OSD38A.OSD
31.01.2005 13:11 685.120 ppctl.dll
02.10.2004 21:34 151.552 RSGameLoader.dll
22.02.2006 13:14 161.480 rufsi.dll
22.02.2006 01:00 97.072 scrauth.dat
22.02.2006 01:00 14 symaveng.cat
22.02.2006 01:00 901 symaveng.inf
22.02.2006 01:00 43.448 tcdefs.dat
22.02.2006 01:00 927.699 tcscan7.dat
22.02.2006 01:00 264.108 tcscan8.dat
22.02.2006 01:00 519.170 tcscan9.dat
22.02.2006 01:00 453 tinf.dat
22.02.2006 01:00 148 tinfidx.dat
22.02.2006 01:00 1.957 tinfl.dat
22.02.2006 01:00 48.353 tscan1.dat
22.02.2006 01:00 1.237 tscan1hd.dat
22.02.2006 01:00 5.516 v.grd
22.02.2006 01:00 2.242 v.sig
22.02.2006 01:00 106.244 virscan.inf
22.02.2006 01:00 944.229 virscan1.dat
22.02.2006 01:00 560.980 virscan2.dat
22.02.2006 01:00 145.388 virscan3.dat
22.02.2006 01:00 320.086 virscan4.dat
22.02.2006 01:00 2.138.104 virscan5.dat
22.02.2006 01:00 387.048 virscan6.dat
22.02.2006 01:00 3.219.298 virscan7.dat
22.02.2006 01:00 1.491.742 virscan8.dat
22.02.2006 01:00 3.093.134 virscan9.dat
22.02.2006 01:00 32 virscant.dat
26.02.2006 15:14 2.072 vscanmsx.dat
22.02.2006 01:00 224 zdone.dat
44 Datei(en) 17.749.088 Bytes

Anzahl der angezeigten Dateien:
44 Datei(en) 17.749.088 Bytes
0 Verzeichnis(se), 72.912.756.736 Bytes frei

#6 **




loesche mit der Killbox
C:\WINDOWS\Downloaded Program Files\RSGameLoader.dll

PC neustarten

dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
+

und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#7 der scanner hat 5 infizierte objekte gefunde. hier der report:
____________________________________
Thursday, March 02, 2006 6:52:52 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 2/03/2006
Kaspersky Anti-Virus database records: 168713


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\

Scan Statistics
Total number of scanned objects 253401
Number of viruses found 2
Number of infected objects 5
Number of suspicious objects 0
Duration of the scan process 03:16:29

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPIVS9U7\p[1].exe Infected: Trojan-Downloader.Win32.Zlob.hr skipped

C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDM7K7I9\mullbin1[1].exe Infected: Trojan.Win32.Dialer.oy skipped

C:\RECYCLER\S-1-5-21-1392434548-1987883866-1883757410-1008\Dc1.exe Infected: Trojan-Downloader.Win32.Zlob.hr skipped

C:\System Volume Information\_restore{E0F24CD3-965B-4975-9AEE-E1C4234262F9}\RP189\A0066679.exe Infected: Trojan.Win32.Dialer.oy skipped

C:\System Volume Information\_restore{E0F24CD3-965B-4975-9AEE-E1C4234262F9}\RP189\A0066709.exe Infected: Trojan-Downloader.Win32.Zlob.hr skipped

Scan process completed.
_______________________________________
hier der log von HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 18:55:56, on 02.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Media Center Diagnostic Kit\Tests\Bin\ehMonitor.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEF565FC-3B62-4A64-BB28-BB6EAB3CB636}: NameServer = 192.168.2.1
O20 - Winlogon Notify: winudh32 - winudh32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#8 stemafu

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPIVS9U7<--loeschen
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDM7K7I9<--loeschen

3.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
PC neustarten

5.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren

6.
scanne noch mal mit Kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit