Hallo !!!

Brauche dringend euere Hilfe. Schlage mich seit ein paar Tagen mit dem von Antivir endeckten unten genannten Problem rum.

Habe schon viele Progs ausprobiert, beim neustart ist es wieder da.

Habe ihr eine idee oder hatten das gleiche Problem und es gelöst.

C:\DOKUME~1\STUDENT\LOKALE~1\TEMP\MC21.TMP

Enthält Signatur des SPR/Madtol.C- Programmes

Gib mal bitte ein Log von Hijackthis bzw lass es automatisch auswerten und stell die fragwürdigen Ergebnisse ein.

Links hier in der Linkliste Security.

Logfile of HijackThis v1.99.1

Scan saved at 22:53:20, on 17.07.2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\T-DSL SpeedManager\SpeedMgr.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

C:\Programme\PestPatrol\PPControl.exe

C:\Programme\PestPatrol\PPMemCheck.exe

C:\Programme\PestPatrol\CookiePatrol.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Programme\T-DSL SpeedManager\tsmsvc.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\DOKUME~1\Student\LOKALE~1\Temp\Rar$EX00.016\salt-water Leecher.exe

C:\Programme\VideoLAN\VLC\vlc.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\DOKUME~1\Student\LOKALE~1\Temp\Rar$EX00.843\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [ ] C:\WINDOWS\patch[1].exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\Run: [ ] C:\WINDOWS\patch[1].exe

O4 - HKCU\..\Run: [skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Registration Silent Hunter III.LNK = D:\Programme\Ubisoft\SilentHunterIII\Support\Register\RegistrationReminder.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: concept/design's onlineTV - {C6385D28-C1B1-419D-8560-44D0B554C713} - D:\Programme\onlineTV\onlineTV.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{CD573D54-5A5F-495D-842E-C65D8902AE1C}: NameServer = 212.7.148.65 212.7.148.97

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Wann hast Du zum letzten Mal Windowsupdates durchgefuehrt?

Dein XP-Updatestand: anno 2001

Dein IE-Updatestand: anno 2003

Mit anderen Worten: zu unsicher

Running processes:

C:\DOKUME~1\Student\LOKALE~1\Temp\Rar$EX00.016\salt-water Leecher.exe

Kennst Du dieses Programm?

Es koennte ein Teil Deines Virus sein.

O4 - HKLM\..\Run: [ ] C:\WINDOWS\patch[1].exe

...

O4 - HKCU\..\Run: [ ] C:\WINDOWS\patch[1].exe

Das koennte ein Teil Deines gefundenen Virus sein.

Es wird jeweils beim Systemstart und beim Anmelden des Benutzers immer mit gestartet.

Die restlichen Eintraege sind ok.

habe die drei Einträge gelöscht sind aber nach neustart wieder da.

habe doch für den ie 6 den sp1 drauf

habe die drei Einträge gelöscht sind aber nach neustart wieder da.

Versuchs nochmal im abgesicherten Modus mit dem McAfee Stinger (Link siehe Linkliste).

habe doch für den ie 6 den sp1 drauf

Das IE6 SP1 stammt vom Jahr 2003 - Korrektur - es wurde bereits im Jahr 2002 veroeffentlicht.

Danach kamen noch etliche MBs an IE-Patches raus.

Vor drei Tagen (15.07.05) gab es die letzte Meldung zu einem IE6-Problem: http://www.heise.de/security/news/meldung/61700

Auch gibt es fuer XP ServicePacks (mittlerweile SP2), die etliche Sicherheitsluecken stopfen.

Erstelle von Deinem System ein Backup und gehe auf http://windowsupdate.microsoft.com und lasse Dein System auf den letzten Stand bringen.

Damit das regelmaessig im Hintergrund erfolgen kann:

Nutze den Dienst Automatische Updates, der sollte grundsaetzlich an und auch konfiguriert sein.

Der Grund fuer das Nichtbenutzen dieses Dienstes: Paranoia bzw. einige - in manchen Zeitschriften hochgelobte - Tools, die diesen Dienst unbedingt ausschalten muessen, ohne den Nutzer ueber die Folgen zu informieren.

Weitere Tips zum sicheren Surfen:

- Keine Administratorberechtigungen zum Surfen:

Adminberechtigungen fuer den Benutzer ist die Standardeinstellung von Windows XP. Entziehe dem Benutzer fuer die taegliche Arbeit die Adminberechtigungen und gib diesem nur normale Benutzerrechte.

Die Adminberechtigungen nutzt Du nur, wenn es unbedingt noetig ist. Lege Dir fuer administrative Arbeiten einen separaten Benutzer an.

- Keine unbekannten Mails/Anhaenge oeffnen

- Nicht alles im Internet anklicken

- Nutze, soweit moeglich, Alternativen zu IE: Firefox, Thunderbird, Opera, etc.

- Nutze, soweit moeglich, Alternativen zu Outlook/Outlook Express: Thunderbird, Pegasus, Opera, etc.

Lad dir dochmal Avast! runter. Der Virenscanner kann sich in die Startroutine von Windows einklinken und führt einen Scan durch BEVOR Windows irgendwas laden kann. Damit habe ich bisher alles beseitigen können.

Und anschließend ist ein Windows Update pflicht!!!!

danke, sehe meine Fehler ein, aber wie kriege ich das Prg erstmal wieder los ???

Lad dir dochmal Avast! runter.

hatte ich schon geschrieben

wenn ich avast installiere stürzt mein pc beim hochfahren ab

super jetzt habe ich noch den graybird

Mein Vorschlag bevor bei Dir ein Virus nach dem naechsten aufschlaegt:

Neuinstallation

Danach XP SP2, IE6 SP1 und alle weiteren Windowsupdates

und die obigen Hinweise zum sicheren Surfen

Bevor du nach der neuinstallation mit online updates anfängst würde ich unbedingt zusehen das da schonmal irrgend ein schutz aktiv ist (firewall). Ansonsten ist das system in <3min unbrauchbar.