Auf meinem zwieten PC habe ich ein Virus oder ein rojaner. meine startseite ist anders und läst sich nicht ändern und z.B die favoriten im Internet Explorer sind grau....

Logfile of HijackThis v1.99.1
Scan saved at 15:16:35, on 10.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivirus Programme\AntiVir\AVGUARD.EXE
C:\Programme\Antivirus Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Messenger\MsgPlus.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Antivirus Programme\AntiVir\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Antivirus Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.opzutusyzksyu.com/THr1C0hDLYcMIL60lGjNAfRxOiqserG83xz3vC9KKnLGPwSIyGqqiEvodKQpeVjv.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivirus Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c8.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://kroppenberg.dyndns.org/AxisCamControl.ocx
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivirus Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivirus Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Abgesehen vom fehlenden SP2 und ungepatchtem IE.
Ich denke mal, der PC ist nicht mehr zu retten. Neuaufsetzen nach Cidres Anleitung.
http://www.sophos.de/virusinfo/analy...2spybotcy.html

@Rene-Gad
Hast zwar schöner begründet, ich war aber diesmal schneller.

@SnooPDeville
klemmt bei Dir die "E"-Taste?

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

SP2 fehlt, stattdessen- Malware ohne Ende.

Zitat:

C:\WINDOWS\System32\paytime.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.opzutusyzksyu.com/THr1C0h...vodKQpeVjv.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll

Bitte Windows neu aufsetzen.
EDIT: Servus felix1

Wie die E Taste klemmt...? Egal muss dan den PC auch neumachen....

Zitat:

Zitat von SnooPDeville

Wie die E Taste klemmt...?

Das meine ich:

Zitat:

Hilfeeeeee

ok hab verstanden...!

Danke nochmals für die Antworten....

Jetzt habe ich mein Windows neu draufgespielt....

Jetzt habe ich von meinem Antivirus sofort eine MEldung bekommen das ich ein Trojaner: Win32/Bropia.Variant!Worm im Msn Messenger Verzeichnis haben...

Was ist das?????

Udn könnt ihr mir Anti Virus Programme vorschlagen die ich kostenlos runterladen kann (Freeware z.b AntiVir)


Achja und wo lade ich Sp 2 für Windows XP runter???

@SnooPDeville

Zitat:

Ok hab verstanden...!

scheinbar doch nicht ganz

Zitat:

Jetzt habe ich mein Windows neu draufgespielt....
Achja und wo lade ich Sp 2 für Windows XP runter??

Wenn du die Anletung richtig gelesen hättest, solltest du SP2 vor der I-Net-Verbindung installieren. Dann hättest du die Meldung

Zitat:

,,,von meinem Antivirus

nicht bekommen. Bitte Anleitung haargenau folgen. ebd. findest du, wo man SP2 bekommen kann.

Kann ich den SP2 jetzt trotzdem runterladen+installieren????

Wieso kamm die Fehlermeldung?

@SnooPDeville

Zitat:

Kann ich den SP2 jetzt trotzdem runterladen+installieren????

Den Rechner ist bereits wieder versäumt. Bitte besorge Dir SP2 von einem bekanntermaßen sauberen PC oder frage deine Kumpeln, die PC-Zeitschrifte innerhalb letzen Monaten gekauft haben.

Zitat:

Wieso kamm die Fehlermeldung?

Welche?

jetzt komme ich nicht mit.... wieso kann ich es nicht einfahc runterladen..? UDn wieso muss ich es irgdnwie besorgen und das von einem sauberen PC???

Diese Trojanermeldung meine ich, mit Win32/Bropia.Variant!Worm...!?!?

@SnooPDeville

Zitat:

wieso kann ich es nicht einfahc runterladen..?

Du kannst. Aber dein PC ist schon infiziert. Ergo: SP2 auf dem PC zu installieren ist sinnlos, denn die SPs beseitigen die Scwachstellen, nicht aber die Folgen der Ausnutzung deren. Außerdem: Ich kann nicht garantieren, dass der Virus nicht die dateien von SP so verändert, dass SP2 selbst unbrauchbar wird.

ochne soll ich jetzt wieder alles neumachen...

und bei mir ist die internetverbindung dauernd... alsos konstant wir haben die fritz.box so eingestellt das eine internetverbindung immer hergestellt wird. und diese infizierte datei hatte ich letztens schon auf dem PC denn diese datei(bzw. dazu gehörenden Ordner u.a: der ganze MSN Ordner) habe ich auch D: getan und dan wieder zurück nach der neuaufsetzung auf C: damit mein MSN Messenger die alte Einstellungen wieder erhält.
Kann ich diese datei oder den ganzen ordner nicht einfach löschen dann den Sp2 installieen???

@SnooPDeville

Zitat:

Kann ich diese datei oder den ganzen ordner nicht einfach löschen dann den Sp2 installieen???

Mache, was du für richtig hältst.
EOD

JA ich bin jetzt verwirrt, denn die datie hat ja kein Schaden angerichtet und alle die ich kenne bzw. viele haben sich den SP2 auch einfahc auf den PC installiert ohen den neu zu machen...?!

@snoopville

Du hast Rene-Gad´s Anweisungen in seiner Signatur zum "NEUAUFSETZEN DES SYSTEMS" Nicht befolgt ! Daher ist es ihm jetzt auch egal was du mit deinem System machst!

Zitat:

Mache, was du für richtig hältst.

Du hast Dein System wieder neu kompromitiert, verseucht, nenn es wie Du willst!
Da Du Deinen MSN ORDNER vor der FORMATIERUNG auf eine 2 Partition oder HDD kopiert hast, hast Du Dir gleich wieder nen Worm (welcher sich mit großer Sicherheit) im MSN Ordner befand auf bzw. in dein neu aufgesetztes Betriebssystem kopiert!

siehe auch: http://www.besuch-von-nebenan.de/up-...Archiv-115.htm

Also ließ dir nochmal RENE-GAD´s Signatur zum Neuaufsetzen durch, befolge wirklich jeden, aber auch jeden Schritt, mach Deine HDD komplett leer und beginne von vorne !!

Gruß Daniel ..