Fehler! Ich hoffe um Hilfe!

SnooPDeville · 08.03.2006, 16:22

Hallo!

Als erstes freue ich mich hier angemeldet sein.

Und jetzt zu meinem Problem. Seit einiger ZEit (ca. 1-2 Wochen) kriege ich Pop-Ups von Erotikseiten udn anderen Seiten. Ausserdem kommt immer ein fehler mit explorer.exe und immer wenn ich PC herunterfahre kommt ein Fehler. Der Fehler hat mit "reader" zu tun.

Und hier HijackThis Log-File:

ogfile of HijackThis v1.99.1
Scan saved at 16:16:48, on 08.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivirus Programme\AntiVir\AVGUARD.EXE
C:\Programme\Antivirus Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Messenger\MsgPlus.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Antivirus Programme\AntiVir\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\E*****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.opzutusyzksyu.com/THr1C0hDLYcMIL60lGjNAfRxOiqserG83xz3vC9KKnLGPwSIyGqqiEvodKQpeVjv.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fussballcup.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivirus Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c8.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://kroppenberg.dyndns.org/AxisCamControl.ocx
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivirus Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivirus Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

hoerni26 · 08.03.2006, 16:27

hallo,

also als erstes sollte dein system schnellsten upgedatet werden auf SP 2.
desweiteren arbeite bitte Diese anleitung punkt für punkt ab.
halte dich genau an die anweisungen.
teile zum schluss das ergebniss der find.bat hier mit..

SnooPDeville · 08.03.2006, 16:33

ok danke, werde ich amchen.

Aber wenn ich den Service Pack 2 installiere wird mein PC langsamer....

hoerni26 · 08.03.2006, 16:51

das meinst du nur..
warum sollte dein pc nach der installation des SP 2 langsamer werden??

SnooPDeville · 08.03.2006, 16:55

weiß ich nicht...?

Aber ich habe mir das eScan doer so runtergeldane. Auf dem Desktop heißt das mwav.exe und das ist garkeine .rar Datei...

........Egal ich habe das hinbekommen mit rechtsklick und so....

jetzt nur ne frage bei mir öffnet sich kein Programmfenster mit Scan Option sondern diese Hauptprogramm "MicroWorld Anti Virus& Spyware Toolkit Utility (Ver 8.2)"

Achja gehört die datei "AVPCallback.log" auch zu eSacan?????

hoerni26 · 08.03.2006, 17:02

das ist alles richtig so..
geh genau so vor wie in der anleitung beschrieben..
dann klappt auch alles..

SnooPDeville · 08.03.2006, 21:35

ich ahbe jetzt das mit eScan gescannt und bei dieser Anleitung gibt es 2 möglichkeiten und die alternative...
Ich will jetzt die 2 Möglichkeit machen....

Ode soll ich die Treffer (Alternativ) hier ins Forum eintragen????

BataAlexander · 09.03.2006, 00:20

Hallo,

gehe wiefolgt vor:

Zitat:

[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

Gruß

Schrulli

SnooPDeville · 09.03.2006, 14:21

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Mar 08 17:32:17 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Wed Mar 08 17:32:17 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Mar 08 17:32:17 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Mar 08 17:32:18 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed Mar 08 17:32:21 2006 => System found infected with winupdates.mediagateway Adware (mediagatewayx.dll)! Action taken: No Action Taken.
Wed Mar 08 17:32:19 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Wed Mar 08 17:31:48 2006 => File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus! Action Taken: No Action Taken.
Wed Mar 08 18:44:08 2006 => File C:\Dokumente und Einstellungen\Mark\Desktop\m00.exe infected by "Backdoor.Win32.RShot.c" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Mar 08 17:32:21 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\mediagatewayx.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Wed Mar 08 17:35:06 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\poke bend chic drive\SECTSTOP.exe tagged as "not-a-virus:AdWare.Win32.Lop.p". Action Taken: No Action Taken.
Wed Mar 08 18:15:23 2006 => File C:\Dokumente und Einstellungen\Eugen\Eigene Dateien\Eigene Bilder\Animal wallpaper pack.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.z". Action Taken: No Action Taken.
Wed Mar 08 18:15:49 2006 => File C:\Dokumente und Einstellungen\Eugen\Eigene Dateien\Eigene Bilder\The Incredibles.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.z". Action Taken: No Action Taken.
Wed Mar 08 18:20:28 2006 => File C:\Dokumente und Einstellungen\Eugen\Eigene Dateien\mirc616.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Wed Mar 08 18:35:57 2006 => File C:\Dokumente und Einstellungen\Eugen\Eigene Dateien\Steafn Raab\EIGENE~1\ANIMAL~1.EXE tagged as "not-a-virus:AdWare.Win32.SaveNow.z". Action Taken: No Action Taken.
Wed Mar 08 18:46:21 2006 => File C:\Dokumente und Einstellungen\Mark\Eigene Dateien\Matrix3DSetup.exe1.exe tagged as "not-a-virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Wed Mar 08 17:32:19 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Mar 08 21:06:42 2006 => Total Errors: 423
Wed Mar 08 21:06:42 2006 => Time Elapsed: 03:34:52
Wed Mar 08 21:06:42 2006 => Total Objects Scanned: 118036
Wed Mar 08 17:31:08 2006 => Virus Database Date: 3/7/2006
Wed Mar 08 21:06:40 2006 => Virus Database Date: 3/7/2006
Wed Mar 08 21:07:08 2006 => Virus Database Date: 3/7/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Was soll ich jetzt tun....... nochmals danke

stupormundi · 09.03.2006, 14:42

Servus, SnooPDeville!
Ein Gegencheck würde mich mal interessieren!
Lass´ mal folgende Dateien

Zitat:

C:\Dokumente und Einstellungen\Mark\Desktop\m00.exe

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
stupormundi

SnooPDeville · 09.03.2006, 14:50

Datei: m00.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Backdoor-Server/RShot.C backdoor gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus BackDoor.Generic2.LUV gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Proxy.737 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Agent.A!tr gefunden
Kaspersky Anti-Virus Backdoor.Win32.RShot.c gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Backdoor.Win32.RShot.c gefunden

Das habe ich bei der Datei m00.exe bei jotti herausgefunden soll cih die jetzt löschen?

stupormundi · 09.03.2006, 14:53

Löschen alleine genügt da leider nicht mehr!
Bitte halte dich an Cidres Anleitung.
Dort ist auch gleich erklärt/verlinkt, warum löschen oder sonstige Basteleien nichts mehr bringen!

sorry for the bad news, stupormundi

SnooPDeville · 09.03.2006, 14:58

Soll ich jetzt C: formatieren?? Und nur wegen dieser Datei...

Was ist eigentlich mit anderen Datein die eScan entdeckt hat....

stupormundi · 09.03.2006, 15:02

Die anderen Funde sind Nebensache in diesem Fall!
Du hast einen sogenannten Backdoor-Trojaner in Deinem System - ja, Du sollst "wegen dieser Datei ..." Dein System neu machen!

Warum? - Eben das steht alles in Cidres übergründlicher Anleitung!
Und nein - es genügt nicht, einfach mal diese Datei zu löschen (wäre wohl zu einfach, nicht wahr?)

stupormundi
~~Edit~~Servus, Schrulli! Wichtig ist, dass wir einer Meinung sind, nicht wahr? ~~/edit~~

BataAlexander · 09.03.2006, 15:03

Hallo,

die anderen Dateien die eScan entdeckt hat sind auch nicht zu bejubeln, aber bei einem Backdoor ist dieser erst mal Dein Hauptproblem.
Jemand kann mit Deinem Rechner eventuell machen, was er will. Findest Du das gut.
Daher befolge stupormundi Rat.

[Edit]Hallo stupormundi, diesmal hast Du den Vortritt

[\Edit]

Gruß

Schrulli

Fehler! Ich hoffe um Hilfe!

Plagegeister aller Art und deren Bekämpfung: Fehler! Ich hoffe um Hilfe!