Msn Virus Popups Handyklingeltöne!

Hallo hab ein kleines Problem und zwar hat mir eine Freundin erst letztens über msn ein message geschickt die lautete: Bist du das nicht auf dem Video --> entsprechender Link. Ich, schlau wie ich bin ging drauf und das video ging nich. Man brauchte eines dieser plug ins. Da mein Pc sooderso frisch formatiert war und ich mir nix dabei gedachte einen "flash player plug in" runterzuladen wie es anfangs normal ist, bin voll in die falle getappt. Und schon hatte ich ein virus. Der Virus hat nun meiner kompleten Kontakliste (war ja klar) das selbe geschickt. Als ich dann in den Explorer gegangen bin und auf gehen wollte öffnete er mir irgendeine andere schwachsinnige türkischsprachig suchseite (dies war bei jeder seite die ich eingegeben hatte). was kann ich nun gegen diesen Virus machen. Antivir hab ich durchlaufen lassen er hat nichts gefunden, das einzigste war eine Warnung das er die Datei "C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden! "(<--kann damit nix anfangen )
beim Protokoll gebracht hat. nunja habe auch diesen einen "Clean Virus msn Scan" runtergeladen und er hat auch nix gefunden. zusätzlich tauchen im geregelten Abstand Klingeltonanzeigen popups auf (5 oder 7 stück), die auch über den Explorer geöffnet werden. Die Cookies und andere temporäre datei habe ich shcon gelöscht.Bringt aber nichts

Ich würde mich Hilfe sehr freuen.
Ach Übrigens hier noch das Hi jack this dokument:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:04, on 15.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\mirc.exe
C:\WINDOWS\system32\mirc.exe
C:\WINDOWS\system32\mirc.exe
C:\Programme\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AxBx\VirusKeeper 2009 Pro Probeversion\vk_service.exe
C:\Programme\AxBx\VirusKeeper 2009 Pro Probeversion\VirusKeeper.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [scvhost] mirc.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Programme\AxBx\VirusKeeper 2009 Pro Probeversion\VirusKeeper.exe
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - DefaultPrefix: http://www.myhottersearchbox.com/not_found_de/?url=
O13 - WWW Prefix: http://www.myhottersearchbox.com/not_found_de/?url=
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Programme\AxBx\VirusKeeper 2009 Pro Probeversion\vk_service.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6951 bytes

 

Aja was ich grad sehe in der hijack this dokument ist der Link zu finden der immer kommt wenn ich Im Internet Explorer etwas eingebe. -->http://www.myhottersearchbox.com/not_found_de/?url=

komischerweise geht das surfen bei Mozilla wunderbar. Ich hab auch antivirus programm wo ich die cookies löschen kann und da lösche ich genau diesen http://www.myhottersearchbox.com/not_found_de/?url= aber es kommt trotzdem noch. naja wollte ich nur mal so am rande noch erähnen

 

>Da mein Pc sooderso frisch formatiert war

Nochmal bitte!

Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Temporäre Dateien löschen, mit:
CCleaner (Portable- kein Installer) http://www.wintotal.de/Software/index.php?id=2185
Anleitung:http://virus-protect.org/ccleaner.html
Mit HijackThis fixen:

Code:

O4 - HKLM\..\Run: [scvhost] mirc.exe
O13 - DefaultPrefix: http://www.myhottersearchbox.com/not_found_de/?url=
O13 - WWW Prefix: http://www.myhottersearchbox.com/not_found_de/?url=

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

 

ja ok mach ich

 

was soll der Scheiß?

 

IUch hab einfach mal diesen quckscan gemacht.
4 dateine waren nich in ordung oder so

Hier die Doc File.

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1656
Windows 5.1.2600 Service Pack 2

15.01.2009 20:49:56
mbam-log-2009-01-15 (20-49-53).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48983
Laufzeit: 2 minute(s), 50 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\WINDOWS\system32\mirc.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\mirc.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\mirc.exe (Backdoor.Bot) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mirc.exe (Backdoor.Bot) -> No action taken.

 

Sorry mein Kumpel hat irgend einen scheiss geschrieben. Wäre froh wenn du mir trotzdem helfen könntest

 

da man nie weiss, was der Backdoor bereits infiziert hat- und es kaum möglich ist dies rauszufinden:
http://www.trojaner-board.de/12154-...s-systems-und-anschliessende-absicherung.html

 

Da das System eh frisch und wohl nicht viel drauf ist. Komplett neu aufsetzen. Ist das sicherste. Sonst hast noch irgendwo ein Rest der dann in nem Monat sich wieder verbreitet hat.

 

Also meine hi jack this log file auswertung sagt mir ich soll gewisse einträge fixen. Diese habe ich nun gefixt. Ich bekomme nun aber immernoch Werbeseiten aufgerufen. In meinem msn verschicke ich immer noch diesen link an meine buddys. was nun ?

 

setz dein System neu auf- was ist daran so schwer?

 

Habs mit hijack this gelöst bekommen. Hab einfach so ne Anwendung die, die Protokollauswertung zwar nich als gefährlich gewärtet hat, aber auch nich kannte, gefixt. Jetzt hab ich kein Problem mehr. --> Virus vernichtet ^^
Vielen danke für eure Hilfe.

 

das ist mir nicht mal ein lol wert...