Antivir Problem: update exe verändert\antivir startet nicht mehr

#1 moinsen erstma, ich bin grade am rechner meiner freundin,
und glaube sie hatt sich was ziemlich böses eingefangen.

1. wenn ich antivir starten möchte, kommt ein ERROR:

The appliction module

C:\Programme\AntiVir PersoalEdition Classic\avcenter.exe

cannot be found or has been modified or destryed.
The controlcenter cannot be started.
Please check your installation.

2. wenn ich antivir updaten will kommt:

Bei dem Versuch das Internet Update zu starten ist folgender Fehler aufgetreten:

The program to execute is invalid or destroyed.

3. wenn ich es neu runterlade und dann installieren möchte, entpackt er es in ein temp ordner und suckt am ende des entpackens folgendes aus:
Die CRC-Summe von C:\DOKUME~1\LOKALE~1\Temp\RarSFX0\upgrade.exe
wurde verändert! Dies könnte von einem Virus verursacht worden sein!

hier schon mal die aktuelle logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:50:15, on 23.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sandra\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Ahead\Nero BackItUp\NBKeyScan.exe" /devicetypehilips
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1BCF84C-7905-4CC3-A4EA-148129E73137}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

#2 Versuche noch folgenden:
Lösche alle Ordner/Dateie in C:\DOKUME~1\LOKALE~1\Temp
Deinstallier Antivir und spiele es nochmals auf.

Nuja, hab das Log erst jetzt gesehen. Führe noch Punkt 2. , 3. von http://board.protecus.de/t23188.htm durch.
Ein bissel verseucht ist der Rechner....Service-Packs sind auch keine installiert- so kann man kein XP-System heute mehr am Netz verwenden....
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Auf dem Rechner sind auch mehrere Bots, ist vollkommen ungepatcht und nach dieser "Veraenderungsmeldung" koennte auch ein Virus wie Stanit aktiv sein. Ich wuerde den Rechner gleich plaetten! http://board.protecus.de/t23188.htm

Zur Kontrolle koennt ihr einen SCan mit Cureit im abgesicherten Modus machen....
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#4 zu schritt 2:

Zitat

Klicke den CleanUp! Button, um das Programm zu starten
Wenn man am Ende gefragt wird, ob der PC neustarten soll (reboot), klicke "yes"

kommt bei mir nicht, auch nach einem neustardt des rechners, kein ergenbins er findet immernoch genausoviele dateien wie vorher.

edit:
ich habs hinbekommen zwar anders als beschrieben, jetzt findet er nur noch einen file.

antivir kann ich nicht löschen sobald ich die setup.exe ausführen möchte kommt das die crc summe geändert wurde.

edit:
ich konnte die setup.exe überkopiren, jetzt läuft antivir wider einwandfrei.
hatt auch ne menge gefunden, bin mir aber nicht sicher ab das jetzt alles war.

edit:
1.log
24.07.2006 07:52 1.352 wpa.dbl
23.07.2006 22:55 39.772 smsc.exe
23.07.2006 22:55 70 i
23.07.2006 11:09 0 TFTP332
23.07.2006 11:05 0 TFTP240
23.07.2006 10:30 126 cnleruu.bat
23.07.2006 10:29 122 oynwvl.bat
19.07.2006 21:35 64 o
21.06.2006 14:05 57.384 avsda.dll
27.03.2006 17:06 380.350 perfh009.dat

2. log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7845-A943

Verzeichnis von C:\DOKUME~1\Sandra\LOKALE~1\Temp

24.07.2006 08:01 0 WER2.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 6.735.036.416 Bytes frei

3.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7845-A943

Verzeichnis von C:\WINDOWS

24.07.2006 07:57 20.480 drs.exe
24.07.2006 07:51 0 0.log
24.07.2006 07:51 2.118 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
24.07.2006 07:51 2.118 ModemLog_Kommunikationskabel zwischen zwei Computern #2.txt
24.07.2006 07:51 159 wiadebug.log
24.07.2006 07:51 50 wiaservc.log
24.07.2006 07:51 2.048 bootstat.dat
24.07.2006 07:49 32.552 SchedLgU.Txt
23.07.2006 23:21 606 win.ini
23.07.2006 23:21 227 system.ini
23.07.2006 23:02 0 nsreg.dat
23.07.2006 23:01 2.266 mozver.dat
23.07.2006 22:58 43 drsmartload2.dat
23.07.2006 22:58 0 newname.dat
23.07.2006 22:57 0 keyboard1.dat
23.07.2006 22:57 40 teller2.chk
19.07.2006 21:19 199.509 setupapi.log
28.06.2006 14:16 1.409 QTFont.for
28.06.2006 14:16 54.156 QTFont.qfn
21.06.2006 15:55 935 cdplayer.ini
15.04.2006 17:38 56 CoverDes.INI

4.log
Volumeseriennummer: 7845-A943

Verzeichnis von C:\

24.07.2006 08:05 0 sys.txt
24.07.2006 08:04 25.105 MTE3NDI6ODoxNg.exe
24.07.2006 08:04 32.768 drsmartload.exe
24.07.2006 08:04 6.258 system.txt
24.07.2006 08:04 290 systemtemp.txt
24.07.2006 08:03 94.595 system32.txt
24.07.2006 07:57 4.948 dodi.exe
24.07.2006 07:56 20.480 drsmartload849a7f.exe
24.07.2006 07:56 20.480 drsmartload46a7f.exe
24.07.2006 07:56 20.480 drsmartload45a7f.exe
24.07.2006 07:55 20.480 windk.exe
24.07.2006 07:51 402.653.184 pagefile.sys
23.07.2006 23:21 194 boot.ini
23.07.2006 22:58 20.480 drsmartload849a7e.exe
23.07.2006 22:58 28.672 drsmartload46a7e.exe
23.07.2006 22:58 20.480 drsmartload45a7e.exe
23.07.2006 22:58 40.960 nwnmed_7.exe
23.07.2006 22:57 36.864 kybrded_7.exe
23.07.2006 22:57 81.920 dfndred_7.exe
21.11.2003 16:17 31.699 ADS_ERR.DBF

#5 ponedo

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

PC neustarten

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:

C:\WINDOWS\System32\aspr_keys.ini
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\smsc.exe
C:\WINDOWS\System32\i
C:\WINDOWS\System32\TFTP332
C:\WINDOWS\System32\TFTP240
C:\WINDOWS\System32\cnleruu.bat
C:\WINDOWS\System32\oynwvl.bat
C:\WINDOWS\System32\o
C:\WINDOWS\drs.exe
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\teller2.chk
C:\MTE3NDI6ODoxNg.exe
C:\drsmartload.exe
C:\dodi.exe
C:\drsmartload849a7f.exe
C:\drsmartload46a7f.exe
C:\drsmartload45a7f.exe
C:\windk.exe
C:\drsmartload849a7e.exe
C:\drsmartload46a7e.exe
C:\drsmartload45a7e.exe
C:\nwnmed_7.exe
C:\kybrded_7.exe
C:\dfndred_7.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint
+
noch mal die 4 Logs von datfindbat

------------------------------------------------------------------------

Zitat

Worm/IRCBot.FU - Worm (Information)
http://www.avira.com/de/threats/section/fulldetails/id_vir/1204/worm_ircbot.fu.html
Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
• Prozessorgeschwindigkeit
• Aktueller Benutzer
• Freier Festplattenplatz
• Freier Hauptspeicher
• Arbeitszeit der Malware
• Informationen über das Netzwerk
• Plattform ID
• Informationen über laufende Prozesse
• Größe des Speichers
• Benutzername


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• Datei herunterladen
• Datei ausführen
• DDoS Attacke durchführen
• Datei Hinaufladen

kein Wunder...ein Rechner ohne WindowsUpdates...voellig ungeschuetzt im Internet...........
__________
MfG Sabina

rund um die PC-Sicherheit

#6 sry war im urlaub, schon mal danke für alles.

avenger futzt nicht, es kommt folgenen meldung.

Integrity check failed! This File has been modified.
Reason might be possible virus infection!

nach die aktuelle,

Logfile of HijackThis v1.99.1
Scan saved at 00:14:18, on 11.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sandra\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1BCF84C-7905-4CC3-A4EA-148129E73137}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2FuZHJh\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Idle Process - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

#7 man koennte ja nun noch weiter sauebern, aber ich empfehle es nicht, ich sehe noch aktive Dienste von den Wuermern und selbst, wenn man das alles loescht, ist und bleibt der Rechner kompromitiert.
Du haettest formatieren sollen und dann das SP2 laden.
__________
MfG Sabina

rund um die PC-Sicherheit

#8 jo wird mir woll nichts anderes übrig bleiben. denoch danke für die hilfe.