r3i.exe - XSYZ - WinFixer2005

11.10.2005, 17:54

Hallo, habe seit kurzem ein nerviges Problem:
Beim start, wird immer eine komische r3i.exe erstellt (und in regelmäßigen intervallen zwischendurch gestartet. Endet mit einer Fehlermeldung (isn Dosfenster))- gleichzeitig kommt immer ein neuer Eintrag in die Regedit in das Run verzeichnis, das den Namen "XSYZ" hat und eine (zufälliggenerierte) datei unterm system32 ordner öffnen (ne exe, die immer anders heißt, bei jedem Systemstart..)

Gleichzeitig hab ich auch die meldung mit WinFixer2005 - kriege das auch nicht weg.

Ich hatte immer das Problem, dass ab und zu (also in regelmäßigen Intervallen während ich Arbeite) immer eine Fehlermeldung: "Kann objekt (dann komische Zeichen - so ca. 10stk.) nicht laden." (o.ä.) habe das jetzt wegbekommen (durchwurschtelt in der Regedit, aber vielleicht hilft das ja).

Habe keine Einträge gefunden, die erklären, was r3i.exe oder der komische XSYZ-eintrag sind - gleichzeitig finde ich nicht die entsprechenden stellen, wo WinFixer2005 sich wohl hineininstalliert haben soll ..

Kann mir jemand helfen?

Edit:
Habe jetzt gerade herausgefunden, dass die r3i.exe ein Javascriptfile is, (in einer EXE?!)..
Naja - andauert wird da was von lycos\.co.uk geschwafelt.. Kann sie euch auch komplett posten, wenn das hilft

11.10.2005, 18:03

Logfile of HijackThis v1.99.1
Scan saved at 19:40:15, on 11.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\spool.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ps2.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\System32\fwdmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\**\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com w*w.avp.ch w*w.avp.com w*w.avp.ru w*w.awaps.net w*w.ca.com w*w.f-secure.com w*w.kaspersky.ru w*w.mcafee.com w*w.my-etrust.com w*w.nai.com w*w.networkassociates.com w*w.sophos.com w*w.symantec.com w*w.trendmicro.com w*w.viruslist.com w*w.viruslist.ru w*w3.ca.com
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\sstts.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\ddcyx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [FWDMON.EXE] C:\WINDOWS\System32\fwdmon.exe
O4 - HKLM\..\Run: [xsyz] C:\WINDOWS\System32\essfwx.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKLM\..\RunServices: [xsyz] C:\WINDOWS\System32\essfwx.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Startup: Wecker.lnk = Programmieren\Wecker\Project1.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SFO Teil 1 - {1A768A07-91F5-47A8-925C-1F37E8CD5F15} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: SFO Teil 2 - {AABA90AF-9A96-48B3-AD10-8F673B6857A3} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O15 - Trusted Zone: w*w.archiviosex.net
O15 - Trusted Zone: w*w.linkautomatici.com
O15 - Trusted Zone: w*w.redfunny.com
O15 - Trusted Zone: w*w.skymasters.biz
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\\MAIN.MHT!h**p://69.57.146.110/tor/de/chm/de.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - h**p://media.grab.com/media/fbd793/games/files/209/SproutLauncher.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7855F01-6F65-42A6-8902-B3560B172048}: NameServer = 192.168.2.1
O20 - Winlogon Notify: ddcyx - C:\WINDOWS\System32\ddcyx.dll
O20 - Winlogon Notify: sstts - C:\WINDOWS\SYSTEM32\sstts.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:\WINDOWS\spool.exe

11.10.2005, 18:13

Oha - und den SasserVirus habe ich auch gerade wiedergefunden ^^
System fährt sich nach 60 sek. runter...
Habe update (von Windows) installiert und den Windoof Sasser-finder drüberlaufen lassen - nur der findet nichts ^^ klasse..
Habe das jetzt aber (hoffentlich) unterdückt,
meine komischen anderen Fehler sind aber immernoch vorhanden (also eigentlich alles, was hier drunter steht :P )

dartus · 11.10.2005, 22:36

Hallo HalloVonMir,

Dein System ist völig verseucht, u.a. läuft der bei Dir:
http://www.sophos.com/virusinfo/anal...2sdbotadp.html

Halte Dich an diese empfohlene Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

15.10.2005, 23:06

Gibt es auch ne Freeware software dafür (also gegen den Virus?)?

dartus · 15.10.2005, 23:21

Hallo HalloVonMir,

definitiv, NEIN!

Da ist ja nicht nur ein Schadensprogramm, sondern mehrere!

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

dartus

17.10.2005, 14:23

Aber mal ganz ehrlich: ich schreibe hier rein in der Hoffnung, meinen PC nicht komplett neu zu installieren und das einzige was kommt, ist: Mach alles platt. Ich meine darauf wäre ich auch alleine gekommen. Naja - wenn ihr meint, dass das das Beste sei - hätte auf mehr gehofft.

15.10.2005, 23:06	#5
HalloVonMir Gast	r3i.exe - XSYZ - WinFixer2005 Gibt es auch ne Freeware software dafür (also gegen den Virus?)?

17.10.2005, 14:23	#7
HalloVonMir Gast	r3i.exe - XSYZ - WinFixer2005 Aber mal ganz ehrlich: ich schreibe hier rein in der Hoffnung, meinen PC nicht komplett neu zu installieren und das einzige was kommt, ist: Mach alles platt. Ich meine darauf wäre ich auch alleine gekommen. Naja - wenn ihr meint, dass das das Beste sei - hätte auf mehr gehofft.

r3i.exe - XSYZ - WinFixer2005

Plagegeister aller Art und deren Bekämpfung: r3i.exe - XSYZ - WinFixer2005