Hallo. Seit einige Stunden spinnt mein Pc total. Es kommen trotz firewall immer wieder popups von irgendwelchen lovechats und eine datei namens win32res.exe öffnet meinen firefox um dort irgendein antiviren prog runterzuladen. wenn ich den pc neu starte öffnet sich ein selbstentpackendes zip archiv und extrahiert irgendwelche dateien (rmz.dll,...)Bitte um Hilfe. Während ich das hier jetzt geschrieben hab, hat sich sicher 10 mal ein popup fenster geöffnet, unter anderem
h**p://w*w.hug-ediscounts.com/tau.html

Logfile of HijackThis v1.99.1
Scan saved at 13:20:17, on 15.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RHJhYWd1dWw\command.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\CursorXP\CursorXP.exe
C:\PROGRA~1\Stardock\OBJECT~1\DesktopX\DesktopX.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Mozilla Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://oehinfo.uibk.ac.at/chemie/modules.php?name=Forums[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\System32\geebx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [wnxlib] rundll32.exe C:\WINDOWS\System32\wnxlib.dll,start
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - h**p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt119INAT
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\dn0401dqe.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATIintergrated - Unknown owner - C:\WINDOWS\atigraphics.exe (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RHJhYWd1dWw\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: MS Ins Config (MSiCFG) - Unknown owner - C:\WINDOWS\msiconfig.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


P.S. SP 2 hab ich heruntergeladen, aber lässt sich nicht installieren, weils immer abstürzt!!

Nutze die Editierfunktion (rechts unten) und mache alle links unbrauchbar (http-->h**p)

Vorher wird Dir hier wohl nicht geholfen - vielmehr riskierst Du die gesamte Entfernung Deines Logs

stupormundi

entschuldigung, hab ich leider vergessen. Habs jetzt aber ausgebessert. Hoffe dass ihr mir jetzt helfen könnt. THX Draaguul.

Servus wieder!
Bei Dir läuft eine ganze Menge Mist. Da stellt sich die Frage nach der Sinnhaftigkeit eines Bereinigungsversuches - noch dazu, wo SP2 nicht installiert werden kann!
Lass´ mal folgende Dateien

Zitat:

C:\WINDOWS\msiconfig.exe
C:\WINDOWS\System32\wnxlib.dll

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

stupormundi

Also das sieht ja nicht grad gut aus:

Datei: msiconfig.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH

AntiVir
Trojan/Crypt.D.114 gefunden

ArcaVir
Trojan.Crypt.D gefunden

Avast
Win32:SpyBot-A3308 gefunden

AVG Antivirus
Generic.CQZ gefunden

BitDefender
Backdoor.SDBot.038AA553 gefunden

ClamAV
Trojan.Crypt-3 gefunden

Dr.Web
Win32.HLLW.MyBot.based gefunden

F-Prot Antivirus
W32/Trojan.BEF gefunden

Fortinet
W32/Tilebot.D!tr gefunden

Kaspersky Anti-Virus
Trojan.Win32.Crypt.d gefunden

NOD32
a variant of IRC/SdBot gefunden

Norman Virus Control
W32/SDBot.VUK gefunden

UNA
Trojan.Win32.Crypt gefunden

VirusBuster
Keine Viren gefunden

VBA32
Trojan.Win32.Crypt.d gefunden




Datei: wnxlib.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PETITE

AntiVir
Keine Viren gefunden

ArcaVir
Keine Viren gefunden

Avast
Win32:Trojano-3428 gefunden

AVG Antivirus
Keine Viren gefunden

BitDefender
Keine Viren gefunden

ClamAV
Keine Viren gefunden

Dr.Web
Keine Viren gefunden

F-Prot Antivirus
Keine Viren gefunden

Fortinet
Keine Viren gefunden

Kaspersky Anti-Virus
Keine Viren gefunden

NOD32
a variant of Win32/Akbot gefunden

Norman Virus Control
Keine Viren gefunden

UNA
Keine Viren gefunden

VirusBuster
Keine Viren gefunden

VBA32
Backdoor.xBot.1 (paranoid heuristics) gefunden (mögliche Variante)

Das sind die daten die ich bei h**p://virusscan.jotti.org/de erhalten habe. DANKE!! übrigens für die rasche Hilfe!

Ich schätze dass eine Bereinigung bloße Zeitverschwendung sein wird, bei dem Krams, der der aktiv ist. Stupormundi hat ja noch nicht mal alle verdächtigen Einträge aus dem Logfile zur näheren Analyse bei Jotti in Betracht gezogen. Da wären z.B. noch

Zitat:

C:\WINDOWS\RHJhYWd1dWw\command.exe
C:\Programme\Network Monitor\netmon.exe
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\dn0401dqe.dll

U.a. ist der Grund ein ungepatchtes Windows (kein Service Pack 2). Achte darauf, dass Du zuerst das SP2 indas frische Windows installierst und erst dann online gehen darfst. Beachte die Anleitung unten in meiner Signatur "Neuaufsetzen des Systems".

Hallo draaguul,
das dein Log nicht dolle ist hast du ja selbst gemerkt.Das dir bei Backdoortrojanerbefall keine Wahl bleibt als das hier :
http://www.trojaner-board.de/showthread.php?t=12154
sollte dir auch klar sein...
Halte dich an die Anleitung,besonders den Punkt zur Absicherung vor dem ersten Gang ins Netz und dir wird solch übles Log nicht mehr widerfahren.
Irrlicht
Edit
Der Kerl tippt zusätzlich mit den Zehen;ich bin sicher.....
Hallo Cosi.....

Servus, cosinus!

Zitat:

Stupormundi hat ja noch nicht mal alle verdächtigen Einträge aus dem Logfile zur näheren Analyse bei Jotti in Betracht gezogen.

Das hat den Grund, weil mir die anderen schon klar waren

Also @draaguul: Wie irrlicht (*servus*) das schon vollkommen richtig beleuchtet hat, hast Du da einen Hintertürl-Trojaner im Pelz sitzen - da kann und will ich Dir auch nur den Rat geben, Dein System nach Cidres Anleitung neu aufzusetzen.
Installiere das SP2 und die Updates vor dem Wiedereinstieg ins I.Net.
alles gute, stupormundi

Irgendwie hab ich mir das schon gedacht. Bis heut früh um ca. 6 Uhr war noch alles in Ordnung. Ich glaub die files zum scannen, die mir cosinus geraten hat, kann ich mir sparen, weil ich den pc gleich nach dem filebackup neu aufsetzen werde. Die command.exe hab ich gegoogelt und hab da was gefunden, dass das anscheinend ein ziemlich böser Virus ist. Also denke ich dass jegliche Versuche den PC wieder clean zu machen ziemlich sinnlos sein werden, weil noch andere bösartige sachen drauf sind. Nur noch eine kurze Frage: Welche Firewall und welches Antivirenprog würdet ihr mir empfehlen? Hab zur Zeit ZoneAlarmPro und Antivir.

Danke euch allen, für eure Hilfe!!
MFG Draaguul.

Zitat:

Welche Firewall und welches Antivirenprog würdet ihr mir empfehlen? Hab zur Zeit ZoneAlarmPro und Antivir.

Diese Frage ist nicht sinnvoll zu beantworten. Schau Dir lieber mal Cidres Anleitung an (vor allem seine 12 Punkte zur Absicherung des Systems). Wenn Du dich danach richtest, brauchst Du eine PFW gar nicht (Interne XP Firewall reicht völlig), der Virenscanner ist reine Geschmackssache (Hauptsache regelmäßig aktuelle Patches verfübar)

stupormundi