Hi, ich habe ein Problem.Bei mir schalten sich immer irgendwelche Bilder ein und lassen sich dann aber auch wegdrücken.Bei einem check mit Antivir läuft alles gut aber bei einer bestimmten Windows Media Player datei, erscheint eine Problemmeldung und die Suche wird abgebrochen.
Die Datei lässt sich nicht löschen weil die angegebene Datei angeblich nicht existiert.Was kann ich tun?Ich lese schon lange die Infobeiträge und merke das ich gar nicht weiss was posten und zippen oder so ist.
Danke im vorraus.

@pietzel
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
lade dir HJT hier
anleitung hier
poste dann ein HJT logfile
chaosman

Hi, erstmal vielen Dank für den Tip.Hat aber nicht geholfen.Wenn ich die Dateien löschen möchte, sagt er immer die zu löschende Datei kann nicht gefunden werden.Überprüfen sie bitte den datei oder Pfad Namen. Die Dateien lassen sich auch nicht aus dem Ordner verschieben da Sie angeblich nicht existieren.Was kann das sein?

@pietzel
poste doch mal den pfad und dateiname und ein HJT logfile
chaosman

Wie poste ich den den Pfad?

Ich habe jetzt mit HijackThis einen scan durchgeführt und das Ergebnis abgespeichert.Was mache ich jetzt?

habe einen scan durchgeführt und das ergebnis abgespeichert.was mache ich jetzt?

@ pietzel

Du bist hier nicht der Einzige, der Fragen hat! Was Du jetzt machst? Warten, bis Du an der Reihe bist. Warten und lesen: erstelle ein Hijack This Logfile und poste es mittels copy&paste. Denk ausserdem daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

Hi, entschuldigung aber die doppelte Fragestellung war ein Versehen.Ich bin wirklich nur auf Hilfe aus und möchte hier nicht ungeduldig erscheinen.Ich habe Deine Tips befolgt und konnte durch Hijack this eine logfile erstellen.Ist es richtig diese jetzt hier einzufügen?

Logfile of HijackThis v1.99.0
Scan saved at 12:35:02, on 14.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\sp2chek.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\?ttrib.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\pingnet.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\getdns.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll (file missing)
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp2chek.exe] sp2chek.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [DNSCacheBoost] C:\WINDOWS\System32\dnsping.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [netssh.exe] netssh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Dld] C:\WINDOWS\System32\?ttrib.exe
O4 - HKCU\..\Run: [Ouen] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\deoe.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: http://*.search-soft.net
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...4538c9cf204eed
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCBD410-27DA-4214-BCA0-253F711C0FE7}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{A37A0AD1-AE7D-47A2-B235-0BBE8CE320EB}: NameServer = 69.50.166.94 69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5D79B4-B693-4AB8-86B0-18751D206209}: NameServer = 69.50.166.94,69.31.80.244
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O18 - Filter: text/html - {D754EA82-7BF0-4524-B738-E998365D6C59} - C:\WINDOWS\System32\rcpie.dll
O18 - Filter: text/plain - {D754EA82-7BF0-4524-B738-E998365D6C59} - C:\WINDOWS\System32\rcpie.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wenn jemand zeit hat, wäre es nett mal drauf zu schauen und mir dann auch hoffentlich jemand helfen kann.
Danke im vorraus.

Hallo,

auch dein Rechner gehört leider aus dem Verkehr!u.a wegen dem hier

http://www.sophos.de/virusinfo/analy...jciadoorf.html

Lese dir folgenden Link durch,arbeite ihn genau ab,und formatier deinen Rechner!

http://www.trojaner-board.de/showpos...28&postcount=2

Gruss

Hi, erst einmal vielen dank für Deine Mühe. Ich bin geschockt.Dass es so schlimm ist hätte ich nicht gedacht.Ich habe mir mal durch gelesen was mann so machen muss und habe echte Zweifel das alles zu schaffen. Denn PC habe ich vor einem halben Jahr geschenkt bekommen, jedoch habe ich keinerlei Software oder etwas anderes dazu erhalten.Muss ich mir jetzt Windows xp neu kaufen oder was muss ich tun?
Ich bin echt aufgeschmissen, ausserdem habe ich doch Antivir und Zonealarm die ganze Zeit aktiviert gehabt.Wie kann denn so etwas passieren? Aber ich muss schnell etwas unternehmen weil mein Sohn 9 Jahre sich gerade sehr für Computer interessiert und ich dies auch unterstützen möchte.Jedoch mit ständig sich öffnenden merkwürdiger Bilder ist dies nicht mehr tragbar.Wie gehe ich denn jetzt in meiner Situation am besten vor?
Vielen Dank und vielleicht bis dann.
Mit freundlichem Gruss
Pietzel

@ pietzel

Zitat:

Denn PC habe ich vor einem halben Jahr geschenkt bekommen, jedoch habe ich keinerlei Software oder etwas anderes dazu erhalten.

Dann solltest du beim Verschenker über den Verbleib der CD mal nachhaken, da dies aus rechtlicher Sicht schon bedenklich ist und wie du siehst, wenn wirklich mal ein Problem besteht, sei es durch Malware oder andere Systeminstabilitäten, dann kannst du nicht einmal dein System neu aufsetzen oder reparieren.

Der Hauptgrund der Verseuchung, ist mal wieder auf ein nicht aktuell gehaltenes OS sowie verwendete Software, surfen mit Admin-Rechte und falscher Konfiguration zurückzuführen!

Normalerweise hat HerrKautz Recht, dass bei dieser derartigen Verseuchung ein Neuaufsetzen das Beste wäre, aber da dies kein Ciadoor sonder ein Agent.eb Trojaner ist, könnte man es mit einer Bereinigung versuchen.
http://www.trendmicro.com/vinfo/viru...ENT.EB&VSect=T

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hi, ich befolge gerade Deinen Rat.Den habe ich aber nicht im abgesicherten Modus laufen lassen.Was mache ich denn wenn der scan zu Ende gelaufen ist und ich die gefundenen Dateien im mittleren Fenster aufgelistet habe?
Vielen Dank erst einmal.
Gruss Pietzel

Glaub mir, ich poste nicht zum Spass, dass du mit eScan im abgesicherten Modus scannen sollst.

Poste einfach nur die gefundene Malware nicht mehr und nicht weniger.

Hi, habe alles befolgt jedoch komme ich hier nicht weiter:
Zitat cidre:Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Was kann ich dann machen? Die gefundenen Viren lassen sich zwar makieren, aber nicht kopieren oder ausschneiden.Ich kann also nicht weiterarbeiten.Wenn ich mwav öffne, startet automatisch ein neuer scan .Wie öffne ich denn mwav.log?Und vor allem, wie kann ich die virus Log Info von eScan AV posten und was bedeutet posten überhaupt.Sorry wenn ich hier mit soviel Unwissenheit ganz schön blöd darstehe aber ich bin echt am Ende.Vielen Dank für die bisher erhaltene Hilfe und vielleicht bis dann.
Mit freundlichem Gruss
Pietzel