Hallo.

Seit heute hab ich ein riesen Problem mit dem PC. Ich kriege als Startseite immer dieses makemesearch.com... Ebenso hab ich ein Problem mit einem so genannten Secure I... irgendwas, was sich immer wieder selbst installiert.
Ich kriege ständig Popups und das Internet ist ziemlich lahm.
Dauernd kriege ich unten die Meldung von Windows, dass der PC Spyware entdeckt hat..
Sobald ich den PC neustarte, gibt es ein Fehler mit einer Temp Datei und der PC startet schließlich neu. Nach dem Neustart krieg ich zunächst kein Desktopbild und es sieht so aus, als ob der PC sich aufgehangen hat.
Naja ...

Ich hab mal mein HijackThis log aufgelistet.
Ich bitte um Hilfe!!!!


Vielen Dank im voraus!!!


Logfile of HijackThis v1.99.1
Scan saved at 01:32:41, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\mshelp32.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Dokumente und Einstellungen\Caeasar\Startmenü\Programme\Autostart\winupdate01812907[1].exe
C:\WINDOWS\System32\mocih.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Media Access\MediaAccK.exe
C:\Dokumente und Einstellungen\Caeasar\Desktop\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro2\CheckNewUser.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mshelp32] C:\WINDOWS\System32\mshelp32.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [nap] C:\WINNT\nap.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: winupdate01812907[1].exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c11.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECF12CCE-3788-4021-94D4-766825557707}: NameServer = 217.237.151.225 217.237.150.225
O21 - SSODL: systemp - {D275724D-9BCF-4CB9-BEB3-C79199976DAE} - systemp.dll (file missing)
O21 - SSODL: NTDBGTOOL - {56150802-5AB8-4D0A-AB92-041D5461F5C8} - C:\WINDOWS\System32\xactdusx.dll
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe

Hallo Caesar84,

uploade bitte folgende Dateien:

C:\WINDOWS\System32\mshelp32.exe
C:\WINDOWS\System32\mocih.exe
C:\WINNT\nap.exe

hier:
http://www.malwareupload.com
Erläuterungen

Desweiteren führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung Scan im abgesichterten Modus(dauert etwa eine Stunde),http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Hallo. Habe die ersten drei Daten mal hochgeladen.

Escan habe ich mir auch runtergleaden und wie in der Anleitung steht installiert. Da ich aber leider den Abgesicherten Modus nicht starten kann (War doch F8 beim Starten oder?) .. hab ich das einfach mal kurz im normalen Modus ausgeführt. Innerhalb von 30 Sekunden hat er schon 50 infizierte Datein gefunden.. habe dann danach abgebrochen.

EDIT: Nach dem Scan:

File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\srvc32.exe infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Caeasar\Startmenü\Programme\Autostart\winupdate01812907[1].exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mocih.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cmdtel.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mxcjdjyi.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\systemp.exe infected by "Trojan.Win32.Starter" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sp.dat infected by "Trojan.Win32.Starter" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\x.exe infected by "Trojan-Dropper.Win32.Small.uy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysp.dll infected by "Trojan.Win32.Starter" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\xactdusx.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\srvc32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cmdteld.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mocihd.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\gah95on6.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\srdrv32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.

Gefunden: 23 Stück

Das sieht nicht gut aus

LAss escan aber dennoch einmalg ganz drüber laufen, auch wenn dich die kommende Zahl infizierter DAteien wahrscheinlich erschrecken wird...wennde glück hast, hast du keine Backdoor Viren drauf...aber dennoch seh ich nur noch das Neuaufsetzen des Systems als Lösung...

Kleines Update:

Ich habe jetzt mein AntiVir geupdatet und mal komplett durchlaufen lassen. Er konnte 50 Viren/Trojaner löschen .. im Abgesicherten Modus hab ich dann mit dem Regcleaner einige Reg einträge gelöscht .. "Wie z.B. diese Spool Sachen" .. die haben bei mir verursacht, dass ständig : "Warning! Your Computer is at risk" erschien.
Scheinbar läuft jetzt alles wieder.. habe zurzeit keinerlei Probleme mehr.

Ist eine Formatierung dennoch notwendig?

hab nix gesagt

Zitat:

Zitat von The Don - D.R.

neuaufsetzen musst du nur wenn du einen backdoor hast

Das würde ich nicht behaupten, aber gut

Zitat:

Bagz.h

Die ganze Reihe verfügt über Bachdoorfunktionalität, bei dem konkreten weiß ich es nicht zu 100%, aber man kann davon ausgehen
=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern".

Zitat:

Zitat von The Don - D.R.

hab nix gesagt

Sowas liebe ich, erinnert mich irgendwie an den User "bolek"