hi

habe mir etwas eingefangen. konnte es nicht mit ad-ware 6.0 und spybot löschen!
kann mir jemand helfen?
hier der log file von hijack.
danke!


Logfile of HijackThis v1.99.0
Scan saved at 11:17:56, on 20.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_L10IC1.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Dokumente und Einstellungen\CmRgN\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Device Detector] C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe -autorun
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [down] wmplayer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON AL-C900 Advanced] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_L10IC1.EXE /A "C:\WINDOWS\System32\E_L9D.tmp"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/9622b066/enter.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105589905458
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{724D49EC-57DC-40EF-9266-43ADEED99465}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe

kann mir keiner ein tip geben wie ich es löschen kann.
habe schon im abgesicherten modus probiert und nichts.
sbybot,g.data,norton,hijack,ad-ware keiner kann es löschen.
auch wenn ich es im tasmanager kille kommt es wieder.

was kann ich noch mache!

danke

@airjam
dein problem fängt ja hier schon an
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
also bitte system und IE updaten.

lade danach escan downloaden
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

Lade dir Escan runter.

Gehe genau nach der Anleitung vor.

Poste uns danach deine Ergebnisse dazu:

eile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Desweiteren solltest du dir überlegen, warum du mit einem total ungepatchten System durch die Gegend läufst.
Zuallererst ist das Service Pack 2 aktuell.
Weiterhin istv deine IE Version auch nicht aktuell:
www.windowsupdate.com

Edit:
Chaosman schön, dass wir uns einig sind :-)

so escan sagt

C:\WINDOWS\stoolbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\winmsdc.exe infected by "Trojan-Dropper.Win32.Agent.ed" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{F24CDEAB-EEC1-4358-95AC-D7C0699E95F5}\RP62\A0011544.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{F24CDEAB-EEC1-4358-95AC-D7C0699E95F5}\RP62\A0011547.exe infected by "Trojan-Dropper.Win32.Agent.ed" Virus. Action Taken: No Action Taken.



C:\WINDOWS\stoolbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\winmsdc.exe infected by "Trojan-Dropper.Win32.Agent.ed" Virus. Action Taken: No Action Taken.




zu sp2: geht leider nicht zu instalieren. mein produckt key ist falsch!

g-data findet ein virus unter den namen wtlbui.exe kann es aber nicht löschen.

@ airjam

teile uns bitte noch mit wieviel Viren auf Deinem Rechner gefunden wurden:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Total Files Scanned: 62771
Total Virus(es) Found: 9

habe im abgesicherten modus unter regedit und im windows verzeihniss die datein tcpsvcss.exe und die winmsdc.exe löschen können.

doch die wtlbui.exe kann ich nihct löschen.

jemand eine idee?

Manuelle Entfernung von Viren

Zitat:

Sichtbarmachen von Dateien und Ordnern: --> Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" sowie "Alle Dateien und Ordner anzeigen" aktivieren.

nicht löschen: C:\System Volume Information\_restore und Tool.Win32.Reboot -Einträge
Temporäre Ordner leeren: Clear Prog downloaden. Häkchen bei "Clear all", auf "Clear" klicken.
Adware: Entfernungstools zur System-Bereinigung.

In abgesicherten Modus booten, bei winXP u. winME Systemwiederherstellung deaktivieren, Datei(en) markieren/kopieren, in die Windows Suche übertragen, löschen. Nach dem Löschvorgang in normalen Modus booten. Systemwiederherstellung bei winXP u. winME aktivieren. Neu booten.

Zitat:

Windows Update: Betriebssystem

hallo,
eine kollegin von mir hatte das gleiche problem wie der obige fall, (keine windows updates geladen, nichteinmal SP1, diverse viren und spione, probleme mit dem internet, wtlbui.exe)

die kleineren viren und malware konnte ich mithilfe von AntiVir, Spybod S&D, Bazooka und HijackThis beseitigen. nach einigem probieren und drehen scheint auch due wtlbui.exe keine probleme mehr zu machen auch wenn ich die datei selbst nirgendwo gefunden habe (lt. virenscanner soll sie ebenfals in c:\windows sein, dort jedoch trozt sichtbarmachen aller dateien nichts gefunden, auch nicht mit einer suchroutine die sogar im ..\system volume information\ ordner sucht)

zumindest läuft die maschiene nun wieder einwandfrei, bis auf das keine updates installiert werden können, jedesmal kommt die fehlermeldung das der lizenzschlüssel falsch seie.
wie kann man den überprüfen/korrigieren? weil bei stemeigenschaften/allgemein kann man ihn ja nur anschauen


oder ist da noch ein verborgener virus aktiv?


vielen dank auf hilfe zum voraus,
mfg
arie

Ist es denn eine legale Version oder eine Kopie?

mussich noch abklären, aber ich tippe eher auf legal da sie in sachen pc zu wenig versteht um eine illegale zu besorgen.

arie