Habe mir "Trojan.Xombe.A" in den PC geholt

#1 Hallo Fachleute,
ich habe vor ein paar Tagen den Anhang einer (Pseudo)Mail von Microsoft geöffnet, die dem Trojaner Xombe EInlaß gewährt. Gemerkt habe ich das, nachdem T-online meinen eMail-Account gesperrt hat, weil wohl tausende von Mails von meinem Konto aus abgegangen sind. Ich habe sofort Ad-aware laufen lassen, AntiVir und was ich sonst an Freeware im Internet gefunden habe. Leider habe ich keine Ahnung, ob ich damit Schlimmeres verhütet habe, mein PC läuft eigentlich normal.
Ich muß allerdings versichern, daß mein PC völlig clean ist, ehe T-online meinen Account wieder freischaltet.
Ich habe gefunden, daß man ein hijackthis.log erstellen kann, auf dem Kenner Malware entdecken können. Ich habe das also mal gemacht, und hoffe auf kompetente Hilfe oder Ratschläge. Ich kenne nämlich sonst nur ANWENDER, wie ich auch nur einer bin.
Im Voraus tausend Dank!

Logfile of HijackThis v1.97.7
Scan saved at 17:29:09, on 27.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\QKeys\QKeys.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC04.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG04.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [bbbruge] ovrizp.exe autorun
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int139750.exe -auto
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1075201953291
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38013.1313888889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#2 Also das ist ein Dialer:

O4 - HKLM\..\Run: [websx] C:\Programme\websx\int139750.exe -auto

Was das ist weiss ich nicht, darum bitte virus@protecus.de schicken:

O4 - HKLM\..\Run: [bbbruge] ovrizp.exe autorun

und das kann auch raus, ist aber nicht gefaehrlich:

O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

Wenn du das ge"fix"t hast( anhaken und "fix checked" druecken) mache zur Sicherheit noch einen Onlinescan mit Trend und mit RAV:
http://www.bul-online.de/av/onlinescan.shtml

Waere interessant zu erfahren, ob sie noch was gefunden haben. Waehrend des Onlinescanns bitte dein Guard von Antivir deaktivieren.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo raman,

Danke für die prompte Antwort! Du hast mir sehr geholfen!
Ich habe den Dialer und Überflüssiges entfernt, d.h. ich habe 5 files entfernt und gleichzeitig sind auf dem desktop 8 backups erschienen. Was mache ich denn damit??
Den ominösen file "O4 - HKLM\..\Run: [bbbruge] ovrizp.exe autorun" habe ich erstmal stehenlassen und an die angegebene Adresse geschickt. Die haben geantwortet, daß der Anhang fehle. Ich habe den file so abgeschrieben wie oben und in der Liste steht. Was können die mit "Anhang" meinen? (Soll ich ihn vielleicht besser ausschneiden und einfügen?)
Ich habe 5 online-scans durchlaufen lassen, auch wie empfohlen Trend und Rav - keiner hat etwas gefunden. Allerdings wurde auch das seltsame "04........ovrizp.exe autorun" nicht beanstandet.
Scheinbar ist mein PC jetzt doch (fast) clean?
Gruß, G.

PS
Habe nochmal Ad-aware laufen lassen und was gefunden:
6 Files Data Minor identified
2 registry vulnerability values identified, wahrscheinliche Virusinfektion (HKEY_ Classes_Root...... Location: regfile\shell\open\command""0 sowie csrfile\shell\open\command""0.
WAS SAGT MAN DAZU???