programme spinnen!!! Trojaner????

Hallo,

vor kurzem hab ich mir einen trojaner eingefangen,
und mein virenprogramm konnte es nicht löschen oder in die quarantäne stellen. da gabs nur noch die funktion rollback!!
die hab ich dann auch ausgeführt und es kam die narricht datein änderung zurückgesetzt!!
Hab dann auch mein viren programm (kaspersky) durchlaufen lassen und hart nichts gefunden!!

Aber 5 minuten nachdem bekomm ich jetzt andauernd infos von meinem kaspersky das irgentelche programme die registery ändern oder daten oder zugriff auf mein kaspersky wolllen (wird aber imme rder selbstschutz mechanismus ausgelöst!!

auszug:

16.08.2008 16:27:16 Prozess C:\Programme\Mozilla Firefox\firefox.exe (PID: 2872): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:27:16 Prozess C:\Programme\Mozilla Firefox\firefox.exe (PID: 2872): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:27:21 Prozess C:\Programme\Mozilla Firefox\firefox.exe (PID: 2872): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:27:21 Prozess C:\Programme\Mozilla Firefox\firefox.exe (PID: 2872): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:34:16 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt.
16.08.2008 16:34:16 Datei C:\Programme\ICQ6\ConfigFiles\TopSearchesDe.7z//TopSearchesDe.xml: kennwortgeschützt.
16.08.2008 16:40:36 Prozess C:\Programme\SurfMusik 3.1\SurfMusik.exe (PID: 3480): Versuch zur Ausführung von verdächtigen Aktionen wurde blockiert.
16.08.2008 16:41:59 Prozess C:\Programme\Mozilla Firefox\firefox.exe (PID: 3308): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:41:59 Prozess C:\Programme\Mozilla Firefox\firefox.exe (PID: 3308): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:34 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:35 Prozess C:\WINDOWS\system32\rundll32.exe (PID: 1116): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 16:42:40 Prozess C:\WINDOWS\system32\wuauclt.exe (PID: 0): Versuch zum Start einer kritischen Anwendung als untergeordneter Prozess erlaubt.
16.08.2008 16:45:10 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 1336): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.
16.08.2008 19:16:13 Prozess C:\WINDOWS\system32\wuauclt.exe (PID: 0): Versuch zum Start einer kritischen Anwendung als untergeordneter Prozess erlaubt.
16.08.2008 19:20:38 Prozess C:\WINDOWS\system32\dwwin.exe (PID: 0): Versuch zum Start einer kritischen Anwendung als untergeordneter Prozess erlaubt.
16.08.2008 19:20:38 Prozess C:\WINDOWS\system32\dwwin.exe (PID: 2604): Versuch zum Laden eines neuen oder veränderten Moduls erlaubt.

7.08.2008 13:13:23 Der Versuch von Prozess mit PID 3596 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 476 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.08.2008 13:13:23 Der Versuch von Prozess mit PID 3596 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1160 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde




17.08.2008 13:21:16 Prozess D:\Drivers\Audio\32bit\2K_XP\DevSetup.exe (PID: 2400): verdächtige Aktion. Versuch zum Erstellen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Wert SoundMAXPnP, Daten C:\Programme\Analog Devices\Core\smax4pnp.exe).
17.08.2008 13:21:22 Prozess D:\Drivers\Audio\32bit\2K_XP\DevSetup.exe (PID: 2400): Versuch zum Erstellen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Wert SoundMAXPnP, Daten C:\Programme\Analog Devices\Core\smax4pnp.exe) erlaubt.
17.08.2008 13:21:22 Prozess D:\Drivers\Audio\32bit\2K_XP\DevSetup.exe (PID: 2400): verdächtige Aktion. Versuch zum Erstellen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Wert MSPCLOCK, Daten rundll32.exe streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}).
17.08.2008 13:21:22 Prozess D:\Drivers\Audio\32bit\2K_XP\DevSetup.exe (PID: 2400): Versuch zum Erstellen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Wert MSPCLOCK, Daten rundll32.exe streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}) erlaubt.
17.08.2008 13:21:22 Prozess D:\Drivers\Audio\32bit\2K_XP\DevSetup.exe (PID: 2400): verdächtige Aktion. Versuch zum Erstellen eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Wert MSPQM, Daten rundll32.exe streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196}).

und weiter meldungen von programmen die eigentlich nichts böses tun können!!


ist des alles ganz normal oder ist der virus immer noch drauf????

mfg

 

Der Virus arbeitet ,versuch mal mit Kaspersky nach Rootkits zu suchen (Arbeitsplatz Durchsuchen) und zwar in Höchster Einstellung ,das nimmt Zeit aber es könnte dir den Beweis erbringen ,danach Wichtige Daten sichern /Die Festplatte langsam Formatieren und das Betribssystem neu aufspielen .
Die gepackten Dateien müssen auch durchsucht werden!

 

..naja...mein kaspersky hat nichts gefunden!!
soll ich die festplatte also jetzt formatieren???

und ich hätt dann noch ein problem..
ich weis nicht wie man sone festplatte formatiert!!
also wenn es einer weis und es mir zu erklären versucht bitte verständlich


mfg

 

Das kannst du mit deiner Windows-CD ,nach Start von CD,der Windowsregiestrierungserklärung und dem Finden des Jetzigen Betriebssystems einfach ESC drücken ,danach auf den Datenträger mit der Jetzigen Partition gehen ,diese Löschen mit entsprechender Taste
(Welche steht auf dem Bildschirm),Enter drücken,nochmals auf die Gelöschte Partition gehen und Enter drücken ,Jetzt Formatieren auswählen und Enter drücken.
Bewegen kannst du den Cusor mit den Pfeiltasten unter dem Nummernblock

 

Warum willst Du formatieren, wenn Kaspersky nix findet ???

Klick mal in meine Signatur und lade ein Hijackthis-Log hoch. Dann sehen wir weiter.

 

ÄÄÄMMM
was ist den ein Hijackthis-Log?????

 

-> HJT-Log anklicken.