Trojaner-Board - PC arbeitet nicht mehr ordnungsgemäß-Fehlermeldungen server.exe, metinmetinmetin.exe bei PC Start

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PC arbeitet nicht mehr ordnungsgemäß-Fehlermeldungen server.exe, metinmetinmetin.exe bei PC Start (https://www.trojaner-board.de/113864-pc-arbeitet-mehr-ordnungsgemaess-fehlermeldungen-server-exe-metinmetinmetin-exe-pc-start.html)

PC arbeitet nicht mehr ordnungsgemäß-Fehlermeldungen server.exe, metinmetinmetin.exe bei PC Start

Hallo.
Ich habe ein Problem. Und zwar funktioniert mein PC seit ein paar Tagen nicht mehr richtig. Beim Start dauert es ewig bis die Desktopverknüpfungen angezeigt werden; der Sound geht nicht mehr; es kommen einige Fehlermeldungen am Anfang bezüglich server.exe, metinmetinmetin.exe etc.; Systemwiederherstellung ist auch nicht möglich und geöffnete Fenster bzw Ordner/Programme werden nicht mehr in der Taskleiste angezeigt. Das sind die Probleme die ich bisher rausfinden konnte.
Wäre schön wenn mir jemand helfen könnte.

Wenn ich die DDS Datei ausführe öffnet sich nur die dds.txt datei, welche ich hier mit gepostet habe. Die attach.txt öffnet sich nach dem scan nicht. Woran kann das liegen?

.DDS Logfile:

Code:

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 6.0.2900.2180  BrowserJavaVersion: 1.6.0_29

Run by caro at 19:06:36 on 2012-04-19

.

============== Running Processes ===============

.

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\explorer.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Dokumente und Einstellungen\caro\Eigene Dateien\Downloads\dds.com

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://startsear.ch/?aff=3

mStart Page = hxxp://startsear.ch/?aff=3

uURLSearchHooks: H - No File

BHO: IE5BarLauncherBHO Class: {78f3a323-798e-4aea-9a57-88f4b05fd5dd} - c:\programme\startsearch plugin\ssBarLcher.dll

BHO: Browsing Protection Class: {c6867eb7-8350-4856-877f-93cf8ae3dc9c} - c:\programme\kabel deutschland\sicherheitspaket\nrs\iescript\baselitmus.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: StartSearchToolBar: {7ac3e13b-3bca-4158-b330-f66dbb03c1b5} - c:\programme\startsearch plugin\ssBarLcher.dll

TB: Browsing Protection Toolbar: {265eee8e-3228-44d3-aea5-f7fdf5860049} - c:\programme\kabel deutschland\sicherheitspaket\nrs\iescript\baselitmus.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [ICQ] "c:\programme\icq7.6\ICQ.exe" silent loginmode=4

uRun: [Sony PC Companion] "c:\programme\sony\sony pc companion\PCCompanion.exe" /Background

uRun: [HKCU] c:\windows\system32\install\server.exe

mRun: [WinampAgent] c:\programme\winamp\winampa.exe

mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"

mRun: [MP10_EnsureFileVer] c:\windows\inf\unregmp2.exe /EnsureFileVersions

mRun: [C-Media Mixer] Mixer.exe /startup

mRun: [HKLM] c:\windows\system32\install\server.exe

mRun: [F-Secure Manager] "c:\programme\kabel deutschland\sicherheitspaket\common\FSM32.EXE" /splash

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

uExplorerRun: [Policies] c:\windows\system32\install\server.exe

mExplorerRun: [Policies] c:\windows\system32\install\server.exe

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - c:\programme\pokerstars\PokerStarsUpdate.exe

IE: {7644E42D-B096-457F-8B5B-901238FC81AE} - c:\programme\icq7.6\ICQ.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

TCP: DhcpNameServer = 83.169.184.225 83.169.184.161

TCP: Interfaces\{B9934E42-54CF-4AE0-B4A4-E7A8659D7FBC} : DhcpNameServer = 83.169.184.225 83.169.184.161

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\gemein~1\skype\SKYPE4~1.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

mASetup: {FRGY0BFB-LE00-URV3-FT6C-OJO7IHU840S8} - c:\windows\system32\svchost\server.exe Restart

mASetup: {M776XK6W-01N0-R04P-1X1U-AE2831H3C3O6} - c:\windows\system32\install\server.exe

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\dokumente und einstellungen\caro\anwendungsdaten\mozilla\firefox\profiles\rvb42iu6.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - google.de

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.3.6&q=

FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\zylom\zylomgamesplayer\npzylomgamesplayer.dll

FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll

FF - plugin: c:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\programme\google\picasa3\npPicasa3.dll

FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\microsoft silverlight\5.0.61118.0\npctrlui.dll

FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll

FF - plugin: c:\programme\mozilla firefox\plugins\npwachk.dll

FF - plugin: c:\programme\mozilla firefox\plugins\npzylomgamesplayer.dll

.

============= SERVICES / DRIVERS ===============

.

R? FSORSPClient;F-Secure ORSP Client

R? ggflt;SEMC USB Flash Driver Filter

R? pgusbmme;usb-audio.de MME-Adapter

R? pgusbwdm;usb-audio.de driver  (commercial 2.8.45)

R? s1029bus;Sony Ericsson Device 1029 driver (WDM)

R? s1029mdfl;Sony Ericsson Device 1029 USB WMC Modem Filter

R? s1029mdm;Sony Ericsson Device 1029 USB WMC Modem Driver

R? s1029mgmt;Sony Ericsson Device 1029 USB WMC Device Management Drivers (WDM)

R? s1029nd5;Sony Ericsson Device 1029 USB Ethernet Emulation (NDIS)

R? s1029obex;Sony Ericsson Device 1029 USB WMC OBEX Interface

R? s1029unic;Sony Ericsson Device 1029 USB Ethernet Emulation (WDM)

R? Sony PC Companion;Sony PC Companion

S? BEHRINGER_2902;usb-audio.de driver for BEHRINGER USB AUDIO

S? FSFW;F-Secure Firewall Driver

.

=============== Created Last 30 ================

.

2012-04-19 16:40:20        --------        d-----w-        c:\dokumente und einstellungen\caro\anwendungsdaten\f-secure

2012-04-19 16:24:15        81864        ----a-w-        c:\windows\system32\drivers\fsdfw.sys

2012-04-19 16:22:46        --------        d-----w-        c:\programme\Kabel Deutschland

2012-04-19 16:21:06        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\fssg

2012-04-19 02:45:00        297472        ----a-w-        c:\windows\system32\metinmetinmetin.exe

2012-04-18 17:40:47        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\f-secure

2012-04-17 18:04:07        --------        d-----w-        c:\windows\system32\svchost

2012-04-17 17:50:09        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Elcomsoft Password Recovery

2012-03-27 20:55:37        1606        ----a-w-        c:\windows\system32\PerfStringBackup.TMP

2012-03-21 19:55:44        --------        d-----w-        c:\programme\Sony Media Go Install

2012-03-21 19:39:40        14640        ------w-        c:\windows\system32\spmsgXP_2k3.dll

2012-03-21 19:37:18        25512        ----a-w-        c:\windows\system32\drivers\ggsemc.sys

2012-03-21 19:37:18        13224        ----a-w-        c:\windows\system32\drivers\ggflt.sys

2012-03-21 19:37:18        1112288        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll

2012-03-21 19:37:01        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Sony Ericsson

2012-03-21 19:36:50        --------        d-----w-        c:\programme\Sony Ericsson

2012-03-21 19:32:44        --------        d-----w-        c:\programme\Sony

2012-03-21 19:30:07        221184        ----a-w-        c:\windows\system32\wmpns.dll

2012-03-21 18:39:57        --------        d-----w-        c:\windows\system32\LogFiles

.

==================== Find3M  ====================

.

2012-03-13 12:56:43        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-02-08 16:54:03        80896        ----a-w-        c:\windows\cadkasdeinst01.exe

.

============= FINISH: 19:07:01,89 ===============

--- --- ---

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Leider geht mailwarebytes nicht installieren. Ich wollte die neueste version installieren. Es kommt folgende Fehlermeldung:
"Run-Time error '372':

Failed to load control 'vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may outdated. Make sure you are using the version of the control that was provided with your application.

Dann macherstmal mit ESET weiter

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=4f7f1ddd0cf8e2409d3e718aea93c322

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-04-19 08:38:42

# local_time=2012-04-19 10:38:42 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=crash

# scanned=50718

# found=5

# cleaned=0

# scan_time=3836

C:\Dokumente und Einstellungen\caro\Eigene Dateien\Downloads\cnet2_CMI8738_WDM_0639XP_zip.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\caro\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\MyBabylonTB.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\WINDOWS\system32\metinmetinmetin.exe        Win32/Spatet.I trojan (unable to clean)        00000000000000000000000000000000        I

C:\WINDOWS\system32\install\server.exe        Win32/Spatet.I trojan (unable to clean)        00000000000000000000000000000000        I

C:\WINDOWS\system32\svchost\server.exe        Win32/Spatet.I trojan (unable to clean)        00000000000000000000000000000000        I

Habe das mit der attach datei doch noch hinbekommen. Hier noch als Anhang. Lieben Gruß

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also wie schon oben beschrieben, an sich funktioniert alles, außer die systemwiederherstellung, dann werden geöffnete Programme in der taskleiste nicht angezeigt, Windows media player lässt sich nicht öffnen (Fehlermeldung :"die operation kann aufgrund zu geringen Arbeitsspeichers nicht durchgeführt werden") und beim starten des PC's dauert es ziemlich lange bis die Desktopverknüpfungen geladen haben und es kommen vorab zig Fehlermeldungen. Außerdem geht der sound nicht, wenn ich zum Bsp YoutubeVideos anschauen möchte. Habe aber eben bemerkt, das der Sound an sich geht, also wenn ich über Winamp oder meinen LastfmPlayer Musik hören will.

Im Startmenü ist alles beim alten, soweit ich das überblicken kann.

Habe den PC noch mit Gmer scannen lassen. Im Anhang ist das Textdokument.

Außerdem vllt noch was zu den Fehlermeldungen die am Anfang erscheinen:

"server.exe- Komponente nicht gefunden- Anwendung konnte nicht gestartet werden, weil mozglue.dll, nspr4.dll, plc4.dll, mozsqlite3.dll, nssutil3.dll nicht gefunden werden konnten" - diese Fehlermeldungen erscheinen jeweils 3-4 mal hintereinander, welche ich mit OK bestätigen muss und dann öffnen sich noch Meldungen, dass metinmetinmetin.exe, server.exe und firefox.exe ein Problem festgestellt haben und beendet werden müssen.

Führe mal vorsichtshalber unhide aus - und bitte JETZT keine Programme mehr ohne Absprache einfach so ausführen!

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Ok habe ich gemacht. Hat sich aber nichts groß verändert. die eigtl Probleme bestehen ja noch weiterhin.

Das ist mir schon klar, unhide sollte auch nur für den Fall der Fälle verschwundene Icons wieder anzeigen

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Habe die Datei runtergeladen, doch wenn ich sie starten will kommt eine Fehlermeldung. OTL hat ein Problem festgestellt und muss beendet werden.

Probier es dann bitte im abgesicherten Modus aus

OTL geht leider im abgesicherten Modus auch nicht starten.