Meldung: Systemneustart in 60sec - Virus?

#1 Hi!
Ich bin's wiedermal, der Dantama. Und ich hab schopn wieder ein Problem.
Die üblichen Progs wie Spybot, AdAware, Antivir konnten nix mehr finden. Der PC von meinem Daddy gibt nämlich ständig die Meldung: Schwerer Fehler . . .Systemneustart in 60sec . . . Dachte an den LoveSan-Wurm. Aber auch die Tools dazu fanden nix. Fehler taucht immer wieder auf. Bin jetzt echt ratlos.

Poste mal das Logfile von Hijack mit der Bitte, dass da mal jemand rüber schaut und hilft. Vielen Dank für die Mühe im vorraus.

Code

Logfile of HijackThis v1.97.7
Scan saved at 18:00:59, on 06.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\DeTeWe\OpenDimension\driver\Capictrl.exe
C:\Programme\DeTeWe\OpenDimension\driver\HNetCtrl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\systems.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Mathias\LOKALE~1\Temp\Rar$EX00.734\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [System Loader] systems.exe
O4 - HKLM\..\RunServices: [System Loader] systems.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37655.1808564815

__________
- Schön, das es Leute hier gibt, von denen man was lernen kann ! ! !

#2

Zitat

C:\WINDOWS\System32\systems.exe

Diese Datei unter http://www.kaspersky.com/remoteviruschk.html prüfen.
Es könnte sich um den PWSteal.Tarno.C handeln. Falls positiv, diese Einträge entfernen:

O4 - HKLM\..\Run: [System Loader] systems.exe
O4 - HKLM\..\RunServices: [System Loader] systems.exe


Fixen:
O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - http://freeload.cc/secure/ieloader.cab
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Mache dir bitte auch die Muehe die Datei an virus@free-av.de zu schicken, damit die Leute von Antivir den in ihre Erkennung einbauen koennen.
__________
MfG Ralf
SEO-Spam Hunter