Hilfe für MSN Virus !!

Hallo, habe seit 2 - 3 tagen einen komischer virus von msn bekommen. Bekam eine Nachricht auf englisch mit einem file, und da ich viel auf english chatte mit ein paar freunden hab ich das file natürlich geöffnet, der link war

h**p://designoflife.net/youandme.*****

und die nachricht war haha look at us
es war eine .pif datei. Seitdem habe ich probleme mit MSN und heute konnte ich fast garnicht mehr ins internet, kein spiel konnte connecten, keine hcat programm kein email kein internet explorer, dann habe ich soviele prozesse gschlossen wie es ging, und sie an, da ging es wieder alles. Was für einen wurm oder virus habe ich ? habe bisher nichts gefunden, bitte um hilfe !!!



[red]EDIT by PCDJoshua:
Link untauglich gemacht[/red]

Hast du es mal vorab mit den gängigstenen Scanns probiert? = Viren- & Spywarescanner, HiJackThis ...
F
alls du keines davon besitzt, kannst du dir hier Anti-Vir, Ad-Aware/ Spyboot, CoolwebShredder/ HiJackThis aus unserem Software Archiv besorgen ...

Ja, ich hab den Fehler auch schon zu 50% behoben, also habe bei hijacker dieser windows file gefunden nvsc32.exe das wurde als gefählich eingestuft, und wenn ich diesen prozess beende dann geht das ganze internet wieder einbahnfrei. Habe diese datei auf rat von hijackers jetzt gelöscht aber sie startet trotzdem immer wieder beim hochfahren, was machen ich um diesen prozess für immer zu kicken ??

Deaktivier mal vorher die Systemwiederherstellung, falls du eine XP Maschine hast. Rechtsklick auf Arbeitsplatz: Eigenschaften: Systemwiederherstellung auf den Laufwerken deaktivieren ...

Irgendwas scheint da noch im Systemstart zu sein, solltest dort mal die Einträge überprüfen, dazu auf Ausführen gehen und msconfig eingeben, anschliessend die Anwendungen überprüfen, Haken beim Übeltäter entfernen ...

Oder mach einen HiJackThis Scann und lass mal die komplette Logfile hier auswerten: www.hijackthis.de, anschliessend fixen lassen ...

so, also es geht jetzt erstmal wieder, danke schonmal. Das file scheint jetzt zerstört zu sein. habe die systemwiederherstellung ausgeschaltet , kann ich die jetzt wieder anmachen ?

hier erstmal der log

Logfile of HijackThis v1.99.1
Scan saved at 21:46:16, on 10.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Dit.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [STOPzilla] C:\Programme\STOPzilla!\Stopzilla.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98E51B30-C10A-4D15-8595-8D137C56A5BC}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE20F1BD-42ED-42AA-B0C7-44C6867E5FB6}: NameServer = 192.168.0.1
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dein System ist noch nicht sauber

O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe

O4 - HKLM\..\Run: [svc] rundll32.exe

O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

Gehe in den abgesicherten Modus, fixe diese Einträge ohne das der IE geöffnet ist.

Lösche die Dateien die dazu gehöhren.
Die rundll32.exe bitte nur aus dem Verzeichnis c:\windows\system32\secure\rundll32.exe löschen.
Das gleiche gilt auch für die Datei svchost, nur aus dem Verzeichnis c:\windows\system32\rundll32\svchost.exe entfernen.

Scanne dein System vorsichtshalber noch mit eScan
http://www.trojaner-info.de/hijacker/escan.shtml

Beachte dabei die Hinweise auf der Seite.

Erst wenn alles sauber ist, die Systemwiederherstellung aktivieren

Viel Glück

ok, also dieser Hijacked internet acceses kriege ich nicht weg. Da brauche ich nochmal ei anderes Programm, also mein system sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 22:18:09, on 10.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Dit.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\DitExp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [STOPzilla] C:\Programme\STOPzilla!\Stopzilla.exe /autorun
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98E51B30-C10A-4D15-8595-8D137C56A5BC}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE20F1BD-42ED-42AA-B0C7-44C6867E5FB6}: NameServer = 192.168.0.1
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Nimm mal das Tool lspfix
http://www.cexx.org/lspfix.htm

das hoab ich aber was soll ich da löschen ?

Also escan hat mir 64 nette viren und trojaner gezeigt. Angeben ist dass die Dateien infected sind, also alle dateien bei system 32 sind betroffen, was nun ? die kann ich ja nicht alle löschen

Arthas schrieb:

Also escan hat mir 64 nette viren und trojaner gezeigt. Angeben ist dass die Dateien infected sind, also alle dateien bei system 32 sind betroffen, was nun ? die kann ich ja nicht alle löschen 

Zum Vergrößern anklicken....

wenn das 64 bösewichte sind, dann müssen die weg ... und das alle dateien in system32 infiziert sein sollen, kann ich so nicht glauben. lade mal ad-aware, cwshredder und spybot aus dem softwarebereich runter, mach die aktuallisierung. dann lade dir mal den sysclean /sysclean package) von trendmicro runter, den du hier http://www.trendmicro.com/download/dcs.asp findest und das neueste viernpatternfile das du hier http://www.trendmicro.com/download/pattern.asp laden kannst und entpacke das patternfile in den ordner in dem die sysclean.com steht. dann geh mal in den abgesicherten modus und deaktivierst die systemwiederherstellung. und nun läßt du die progs mal nacheinander laufen und bereinigst alles was die gefunden haben. bei spybot kannst du auch mal die immunisierungsfunktion durchführen. dieser vorgang dauert dann natürlich eine weile. nach dem bereinigen rebootest du gehst wieder in den abgesicherten modus und läßt hijackthis mal laufen. das log kannst du dann hier www.hijackthis.de auswerten lassen. sollte da noch was gefunden werden, diese sachen dann mit hijackthis fixen. wenn du wieder online bist, kannst du noch ein paar online-scanner über die kiste jagen, wenn die nichts mehr finden ist deine kiste wieder sauber. die on-linescanner findest du hier www.antivirus-online.de ... und mal über dein surfverhalten nachdenken. du hast dir trotz sp2 ein haufen müll eingefangen ... von nichts kommt nichts ...

greetz

hugo

Arthas schrieb:

Also escan hat mir 64 nette viren und trojaner gezeigt. Angeben ist dass die Dateien infected sind, also alle dateien bei system 32 sind betroffen, was nun ? die kann ich ja nicht alle löschen

Zum Vergrößern anklicken....

Warum nicht?
Das liegt schlicht daran, dass Du mit Administratorrechten im Internet unterwegs bist und etwas, wie soll ich sagen, unbedarft herum klickst.
Dazu noch den IE in seinen Standardeinstellungen benutzt, ich sage nur ActiveX.
http://www.heise.de/security/dienste/browsercheck/

Vllt wäre ein Neuaufsetzen deines Systems angesagt
http://www.trojaner-board.de/showthread.php?t=12154

ok, also erstmal hab ich irgendwie bei meinem post etwas verschluckt, also es sind alle datein von system32/rundll32 betroffen. Aber ich werd die programme mal durchjagen

So also ich hatte nochmal Registry machine durchlaufen lassen und hatte damit 300 probleme behoben, aber ich habe immer noch diese 5 hijckaed internet accesses die ich selbst mit spybot nicht weg bekommen habe, mein log sieht jetzt so aus : Logfile of HijackThis v1.99.1
Scan saved at 20:09:20, on 11.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Dit.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\RunOnce: [SpybotSnD] C:\Programme\Spybot - Search & Destroy\SpybotSD.exe /autocheck
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98E51B30-C10A-4D15-8595-8D137C56A5BC}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE20F1BD-42ED-42AA-B0C7-44C6867E5FB6}: NameServer = 192.168.0.1
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Was kann ich noch machen um diese hojacked acceses wegzubekommen ?

http://www.cexx.org/lspfix.htm versuchs mal mit dem lspfix prog ...

greetz

hugo

das Progr. habe ich, aber was genau soll ich da löschen ? es werden mir 4 verschiedene prozesse angezeigt.mswsock.dll winrnr.dll rsvpvp.dll newdotnet6_38.dll können die alle gelöscht werden ??

Bitte newdotnet6_38.dll entfernen

ok

hey ihr ..... könntet ihr mir vl auch helfen .....
habe auch nen msn virus .... seit ein paar tage!
das is eine datei die sich von user zu user selbst verschickt hat .... es läuft durch das das ganze msn es die datei wird an alle online benutzer geschickt ohne das du es weißt wenn du die datei öffnest is der virus da und ich bekommen ihn nichtmehr weg.... er hat auch was mit meinem antivir programm gemacht ....
helft mir bitte! :-[

hab auch neu installiert is einfacher