Hi habe ein ernstes Vireproblem.
Nach dem formatieren habe ich direkt sp1 und andere Windowsupdates installiert, aber ich hab trotzdem immer und immerwieder diesen RBot
ich hoffe hier kann mir jemand weiterhefen wie ich mein System noch Retten kann

Logfile of HijackThis v1.99.0
Scan saved at 20:16:32, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\YPager.EXE
F:\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
E:\Steam\Steam.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105197564703
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38AC1760-0838-4C79-AFAF-A7DE059F496B}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Noch was, was nicht unbedingt hier her passt :
Weiss jemand woran es liegen kann das ich in sämtlichen Spielen .. egal ob CS oder Morrowind usw alle paar sekunden in mehr oder weniger gleichen abstaenden kurze Ruckler hab? an meiner Hardware leigt es sicher nicht .. 3.2ghz 1 gb ddr ram 9800 pro
Das mit den Rucklern habe ich erst seit ein paar Tagen

Wie kommst du darauf, daß du einen RBot auf dem Rechner hast?
cacatoa

sorry hätte ich noch erwähnen sollen.
Mein antvir meldet mir des halt


hier noch leicht verändertes Log

Logfile of HijackThis v1.99.0
Scan saved at 20:36:09, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\YPager.EXE
F:\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\WINDOWS\System32\wuauclt.exe <-- das war beim letzten net dabei

C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe
F:\hjt\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105197564703
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38AC1760-0838-4C79-AFAF-A7DE059F496B}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hi,
HiJackThis sagt, die folgenden Prozesse gehören gefixt:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE

Wobei ich glaube, daß der Messenger Absicht ist, oder?
Die Datei:
C:\WINDOWS\System32\wuauclt.exe
bitte online bei Jotti scannen lassen. Bitte berichte das Ergebnis (die 11 Zeilen hier reinkopieren).
Desweiteren rate ich dir, einen eScan genau nach Anleitung durchzuführen (dauert ca. 1 Stunde).
Dann auch dieses Ergebnis posten (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
Zuerst aber Jotti und das Ergebnis davon.
cacaota

Ne mit yahoo hab ich nichts zu tun.
Danke schonmal für deine Hilfe. Hier zunächst einmal das Ergebnis von Jotti:

File: wuauclt.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (0.40 seconds taken)
Norman Virus Control No viruses found (0.64 seconds taken)

mit escan naja dauert noch.. finde nirgendwo einen funktionierenden mirror dafür

ok nach etlichen versuchen ging es doch bei nem mirror wo sonst die seite net angezeigt werden konnte.. mein inet soinnt total
ab udn an bekomm ich auch nen popup was mir sagt: cant create socket.. danach funzt keine hompage mehr als ob ich off wäre obwohl ich es net bin
escan schaut sich gerade bei mir um bis später :>

Also, dann die Einträge fixen und eScan laufen lassen (mußt ja nicht daneben stehen)
cacatoa

jo einträge sidn gefixt bin tv gucken bis später =) und DAAAAAAAAAAAAANKE
bin schon echt am verzweifeln hier :/
falls du noch ne idee hast was dieses regelmäßige ruckeln in saemtlichen spielen sein kann :> hab ein offenes ohr

MfG

Despi

@ despi,
bin kein Spiele-Freak, aber vielleicht verrät uns der eScan etwas...
Bis denn
cacatoa
Edit: update auf SP2 wär auch mal nicht verkehrt....

hab sp2 nicht weil es sich als sehr inkompatibel zu den meisten spieleanwendungen zeigt, desweiteren auchzu diversen sprachtools.

mein antvir meldet mir gerade noch folgendes:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{C99D1B3D-4498-43CB-8C20-1AC1647A60DE}\RP5\A0003255.EXE

Enthält Signatur des Wurmes Worm/Spybo.374000.B

C:\SYSTEM VOLUME INFORMATION\_RESTORE{C99D1B3D-4498-43CB-8C20-1AC1647A60DE}\RP7\A0003325.EXE

Enthält Signatur des Wurmes Worm/Spybo.374000.B

hab diese und auch die Rbot Dinger schon mehrmals mit antivir aufgespürt und gelöscht.. aber sie kommenhalt immerwieder
Noch bis vor2 Wochen lief mein System stabil mit SP1 gut... 8 Monate oder so.Naja dann hab ich mal formatiert und seitdem hab ch diese Probleme

Ganz einfach erst mal:
Systemwiederherstellung deaktivieren, runterfahren.
Neu booten, Systemwiederherstellung wieder aktivieren, weg sind se....
cacatoa
Edit:
EScan doch sowieso im abgesicherten Modus bei deaktivierter Systemwiderherstellung durchführen.

wie deaktivier ich die systemwiederherstellung :/?

noch ein weiterer antvirfund:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F39E506D-10F9-456F-828D-A0D9282DE75E}\RP8\A0003170.EXE

Enthält Signatur des Wurmes Worm/Wootbot.E

das ist im grunde genommen ganz einfach. rechtsklick auf arbeitsplatz, eigenschaften. unter systemwiederherstellung einfach einen haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" hin.
aber dass der wurm immer wieder auftaucht?... hm.. seltsam..

Rechte Maustaste Arbeitsplatz, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren
Später dann Aktivieren nicht vergessen!
cacatoa

@ chris:
Ist normal, da Signaturen in der Systemwiederherstellung immer wieder auftauchen, wenn nicht richtig entfernt/neu installiert wurde.
cacatoa