Ein mir unbekanntes Virus problem

falsche Adressen werden geladen : Hijackthis durchführen und ggf HIER posten !

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html

-------------------------------------------------------------------------------------------------------------

Danach:
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
Virenscan machen
& ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung AUS / AN
Rechtsklick auf Arbeitsplatz
Eigenschaften
Systemwiederherstellung
Deaktivieren anhaken
Fertig :
Haken wieder RAUS !!

danke für die schnelle antwort

hier der log:
------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:37:43, on 04.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\ICQLite\ICQLite.exe
D:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~2\Sony\SONICS~1\SsAAD.exe
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\testtestt.exe
C:\WINDOWS\System32\nordsys.exe
C:\WINDOWS\System32\ctfmon.exe
d:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Gast\LOKALE~1\Temp\Rar$EX02.302\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] d:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SsAAD.exe] d:\PROGRA~2\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe
O4 - HKLM\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

Na , dann werte ihn auch mal selber aus .... Siehe oben !!! ggf Zusammenfassung hier posten ...
Für unsicheres Windows SP1 mache ich garnichts hier , bring es erst mal auf den neuesten Stand ... 

ok habe es nun ausgewertet scheint so weit alles ok zu sein.

Habe nun versucht in den Abgesicherten Modus zu starten aber ich komme irgendwie nicht rein... 

Hallo Lucadris,
zwei Probleme liegen hier:
C:\WINDOWS\System32\nordsys.exe
C:\WINDOWS\System32\testtestt.exe 
Malware, beide sind Trojaner!
Aber da sind noch ein paar Dinge die nicht gut sind. 

Hier ein Lösungsvorschlag der sich in der Vergangenheit besten bewährt hat.
Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Benütze das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Checke deinen PC vorsorglich auf weitere Malwareinfektionen!
Lade dir dazu die kostenlose Software von AVG Anti-Spyware, ehemals Ewido, herunter.
Ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://downloads.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.0.50.exe
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von AVG Anti-Spyware unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.

WICHTIG!
Dein Windows XP Betriebssystem ist nicht aktuell, es wurden nicht alle Sicherheitsupdates eingespielt und somit für Malware eine leichte Beute.
Hier muss unbedingt gehandelt werden!
Nur mit SP2 und allen Patches ist Windows XP ausreichend vor Gefahren geschützt.

Bitte umgehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 82MB:
http://download.winboard.org/downloads.php?release_id=1226

danke dir werde das sp2 auch gleich mal einspielen, sobald die probleme beseitigt sind, war bis jetzt immer zu faul diese Updates durchzuführen 

Hallo (und sorry 4 doppelpost)

Ich habe nun alles wegbekommen, nur 2 Sachen noch nicht:

C:\WINDOWS\System32\adir.dll\[UPX]  <--- Bei jedem Start wird von Avast angezeigt das dieser Virus im System befindet, nach dem löschen hab ich dann ruhe bis zum nächstem Start.

Und die nordsys.exe kann ich nicht finden, sie läuft aber noch im Taskmanager.

testttestt.exe habe ich erfolgreich entfernt.

Danke nochmal und hoffentlich zum letzten mal

Hallo,
bei deiner Kiste ist alle Mühe vergebens.Schuld daran bist ausschließlich du,der User ohne SP2...
In deinem Log lassen sich Trojaner entdecken der allerübelsten Sorte.Auch die Reste eines UPX-Packprogrammes .Dieses UPX wird von den bösen Jungs fast ausschließlich verwendet um ihre Trojaner unters Volk zu bringen.
Entweder du brennst dir ein frisches SP2 von Microsoft runter,oder du suchst in Computerheften nach einem solchen SP2.Das wird gerne dort beigelegt.Du kannst die Original-CD auch bei MS bestellen.Kosten 8 Euro.
Oder bei einem der vielen Windows-Software-Hilfeseiten downloaden und brennen.
Sobald du das erledigt hast,mußt du deine verseuchte Kiste neuaufsetzen.Alle Versuche in eine andere Richtung, sind von vornerein zum Scheitern verurteilt.Du bist eine Gefahr für dich selbst und alle, die mit dir "Computerkontakt" haben !!
Sir Reklov

Und die nordsys.exe kann ich nicht finden, sie läuft aber noch im Taskmanager.

Der Email Wurm W32/Nuwar ist noch aktiv!

Deaktiviere zuerst die Systemwiederherstellung von Windows XP.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm
Im Anschluss setzte OnlineScanner HouseCall von Trend ein:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php

Poste bitte auf jeden Fall den ausführlichen Scanberichte von HouseCall hier !

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung AUS / AN
Rechtsklick auf Arbeitsplatz
Eigenschaften
Systemwiederherstellung
Deaktivieren anhaken
Fertig :
Haken wieder RAUS !!