Security Warning - Roter kreis mit "!" drin

#1 Hallo zusammen. Ich habe ein Problem. Ich habe mir was runtergeladen und seit erscheit bei starten von windows roter kreis mit einem weißen "!" hinter dem roten kreis ist ein gründer kreis. Hier mal ein screenshot



Habe auch schon HiJackThis laufen lassen hier der log

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:45:03, on 19.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
F:\Programme\Power DVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Maria Rene\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Zone Labs Client] G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "F:\Programme\Power DVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "F:\Programme\Power DVD\Language\Language.exe"
O4 - HKLM\..\Run: [ofstkjcn] rundll32.exe "C:\Programme\ofstkjcn\oxchuxax.dll",Init
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxos.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: URL_LOADER - file://C:\Programme\url_loader\url_loader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186236129601
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186345234734
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7100 bytes

ausgewertet habe ich es auch schon. hier die auswertung

Zitat

[Y] Logfile of Trend Micro HijackThis v2.0.2 - Ihre Version sollte aktuell sein.
[WINXP] Platform: Windows XP SP2 (WinNT 5.01.2600) -
[Y] MSIE: Internet Explorer v7.00 (7.00.6000.16544) - Ihre Version sollte aktuell sein.
[Y] Boot mode: Normal - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\System32\smss.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\winlogon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\services.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\lsass.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\System32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\Explorer.EXE - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\spoolsv.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - Zone Alarm
[AVSCAN] C:\WINDOWS\system32\ZoneLabs\isafe.exe - Bestandteil von eTrust Antivirus
[Y] F:\Programme\Power DVD\PDVDServ.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\.*cyberlink.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Cyber Link PowerDVD
[Y] C:\WINDOWS\system32\rundll32.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[FIREWALL] C:\WINDOWS\avp.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Kaspersky Anti-Virus
[Y] C:\WINDOWS\system32\ctfmon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe - Nero Burning Monitor
[Y] C:\Programme\Cyberlink\Shared files\RichVideo.exe - Cyberlink
[Y] C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe - Fuzzy Algorithmusprüfung (3.99 / 5.00), Sicher
[FIREWALL] C:\WINDOWS\system32\ZoneLabs\vsmon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe - Nero Indexing Service
[Y] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINDOWS\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
[Y] C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
[Y] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe - Microsoft Windows Live Login Helper
[Y] C:\Dokumente und Einstellungen\Maria Rene\Desktop\HiJackThis\HijackThis.exe - Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = -
[Y] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [Zone Labs Client] G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - Firewall program from Zonelabs. Pro version inlcudes other online security options
[Y] O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup - Nicht bekanntes Programm. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit - Nicht bekanntes Programm. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe - Associated with "Nero Burning Rom" CD writing software. Checks for driver issues
[Y] O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime - Nicht gefährlich aber unnötig. QuickTime
[Y] O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k - Nicht gefährlich aber unnötig. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" - Nicht gefährlich aber unnötig. Speeds up the time it takes to load the Adobe Reader application. Your choice
[Y] O4 - HKLM\..\Run: [RemoteControl] "F:\Programme\Power DVD\PDVDServ.exe" - Remote Control background application for CyberLink\'s PowerDVD version 5 and above. Enables you to use a remote control with your DVD drive if your drive came with one. Not required if you don\'t have a remote control, or don\'t wish to use one
[Y] O4 - HKLM\..\Run: [LanguageShortcut] "F:\Programme\Power DVD\Language\Language.exe" - CyberLink PowerDVD related
[?] O4 - HKLM\..\Run: [ofstkjcn] rundll32.exe "C:\Programme\ofstkjcn\oxchuxax.dll",Init - Nicht bekanntes Programm.
[?] O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxos.dll,startup - Nicht bekanntes Programm.
[X] O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe - Nicht bekanntes Programm. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.
[Y] O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount - Fuzzy Algorithmusprüfung (4.04 / 5.00), Sicher
[X] O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe - Unbedingt fixen! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.
[Y] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') - Office related
[Y] O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') - Office related
[Y] O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') - Office related
[Y] O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') - Office related
[Y] O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe - Adjusts monitor colours across all programs
[Y] O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 - Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt.
[?] O8 - Extra context menu item: URL_LOADER - file://C:\Programme\url_loader\url_loader.htm - Wenn der Eintrag 'URL_LOADER' nicht bekannt ist, fixen! Zeigt Einträge beim Rechtsklick im IE. Unbekannte Einträge im 'Rechts-Klick-Menü' des IE immer mit HijackThis fixen.
[Y] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll - Der Eintrag wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll - Der Eintrag Sun Java Konsole wurde als Gut erkannt.
[Y] O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe - Der Eintrag wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe - Der Eintrag @xpsp3res.dll, wurde als Gut erkannt.
[Y] O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe - Der Eintrag ICQ6 wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe - Der Eintrag ICQ6 wurde als Gut erkannt.
[Y] O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm - Der Eintrag eBay wurde als Gut erkannt.
[Y] O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186236129601 - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186345234734 - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx - Prüfen ob Sie diese Seite kennen und ggf. fixen. Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
[Y] O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe - Dieser Dienst (Adobelmsvc.exe) wurde als gut identifiziert.
[AVSCAN] O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe - Dieser Dienst (isafe.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe - Dieser Dienst (NBService.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe - Dieser Dienst (NMIndexingService.exe) wurde als gut identifiziert.
[Y] O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe - Dieser Dienst (nvsvc32.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe - Dieser Dienst (RichVideo.exe) wurde als gut identifiziert.
[Y] O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe - Fuzzy Algorithmusprüfung (3.99 / 5.00), Sicher
[FIREWALL] O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - Dieser Dienst (vsmon.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

Ich hoffe das das ihr mir weiterhelfen könnt.

#2 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 Bei Punkt 3 kommt bei mir kein log file, wo könnte ich den denn finden???

#4 Anleitung http://sicher-ins-netz.info/analyse/hjt.html
Woher kommt dan dein erster HJ logfile?
__________
MfG Argus

#5 Hatte mich verschrieben, es war bei punkt 2 wo kein Log file kam, sorry

#6 Da hast du doch wohl die Alternativ download genommen?
__________
MfG Argus

#7 Ja genau weil die andere bei mir nicht ging, der hat das programm dann deinstalliert

#8 Download ComboFix via Anhang

Wenn das auch nicht geht
Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
Kopiere den Inhalt des Berichts in diesen Thread (C:\rapport.txt )
__________
MfG Argus

#9 hier der log

Zitat

SmitFraudFix v2.253

Scan done at 23:47:51.70, 2007-11-19
Run from C:\Dokumente und Einstellungen\......\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{345221DF-A891-449F-A232-7C96841E4379}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{345221DF-A891-449F-A232-7C96841E4379}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{345221DF-A891-449F-A232-7C96841E4379}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Edit:

ich weiß nicht ob das dran liegt aber bevor ich diesen scheiß runtergeladen habe ging alles noch aber jetzt zb wenn ich das programm was du in anhang hast downloaden will kommt immer diese Seite "http://dns4error.com/" oder auch bei seite die durch buttons anklickte vorher ging das alles

#10 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k)
O4 - HKLM\..\Run: [ofstkjcn] rundll32.exe "C:\Programme\ofstkjcn\oxchuxax.dll",Init
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxos.dll,startup
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O8 - Extra context menu item: URL_LOADER - file://C:\Programme\url_loader\url_loader.htm

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Avenger
Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\drvxos.dll
C:\WINDOWS\system32\drvxos.dll
C:\Windows\xpupdate.exe

Folders to delete:
C:\Programme\ofstkjcn

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus

#11 hier derlog von Avenger

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jkoibiya

*******************

Script file located at: \??\C:\mjbal^na.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drvxos.dll deleted successfully.


File C:\WINDOWS\system32\drvxos.dll not found!
Deletion of file C:\WINDOWS\system32\drvxos.dll failed!

Could not process line:
C:\WINDOWS\system32\drvxos.dll
Status: 0xc0000034



File C:\Windows\xpupdate.exe not found!
Deletion of file C:\Windows\xpupdate.exe failed!

Could not process line:
C:\Windows\xpupdate.exe
Status: 0xc0000034

Folder C:\Programme\ofstkjcn deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#12 Was fuer ein Up-to-date Virenscanner wird eigenlich benutzt?

Schau mal nach ob "C:\Windows\xpupdate.exe noch da ist
__________
MfG Argus

#13 ne ist nichts da, weiß auch ehrlich gesagt nicht was das ist.

Habe immer noch diese problem mit diesen komischen seiten wie "http://dns4error.com/". Wenn ich zb auch aufs dieses board will kommt diese seite oder so komische andere seiten. Was könnte das sein?

#14 Versuche doch nochmal ob du Combofix via Anhang runterladen kannst
__________
MfG Argus

#15 nein leider kommt immer noch diese seite anstatt der download. wo ich grade aufs board wollte kam anstatt das board diese seite "http://mainfeedhere.com/404.php"